#92 Schützen Sie die Außenmauern Ihres Schlosses mit Verwundbarkeitsscans.
Subscribe to get the latest
on Wed Jun 15 2022 17:00:00 GMT-0700 (Pacific Daylight Time)
with Darren W Pulsipher, Matt Lembright,
In dieser Episode spricht Darren mit Matt Lembright, Direktor für Bundesanwendungen bei Censys, darüber, wie Censys die Angriffsfläche für internetverbundene Geräte analysiert, um Organisationen dabei zu helfen, Schwachstellen zu beseitigen.
Keywords
#cybersecurity #endpointmanagement #vulnerability #cyberattack #iot #edge #censys
Matt verbrachte acht Jahre als Geheimdienstoffizier beim Militär. Im späteren Teil seines Dienstes half er beim Aufbau der Cyber-Missionstruppen als Teil des US Cyber Command. Nachdem er seinen Dienst beendet hatte, arbeitete er mit Army Cyber und einigen Start-ups, bevor er zu Censys kam.
Eine typische Schwachstellenanalyse erfordert von einer Organisation, dass sie angibt, woran sie interessiert sind, zum Beispiel eine Liste von IP-Adressen für einen Schwachstellen-Scan. Anschließend werden diese Schwachstellen entdeckt und können behoben werden. Ein Censys-Scan kann anhand einiger grundlegender Informationen wie einer Domäne und einigen IP-Adressen einen breiten und tiefgehenden Scan des Internets durchführen und alles entdecken, was die Organisation besitzt. Zusätzlich überwacht Censys kontinuierlich nach denselben Zusammenhängen und Korrelationen innerhalb des Datensatzes. Wenn zum Beispiel die Marketingabteilung eine ungeschützte Website einrichtet, die kein TLS hat, wird Censys es bemerken. Censys nimmt eine externe Sicht ein, um zu wissen, was zu einem beliebigen Zeitpunkt für einen Angreifer verfügbar ist.
Selbst wenn zum Beispiel jemand eine Anwendung in der Cloud bereitstellt, sie nicht auf der Domain platziert und Sicherheitsverschleierung verwendet, kann Censys sie dennoch erkennen, wenn sie sich in einer Cloud-Umgebung befindet, die der Organisation gehört. Cloud-Verbindungen werden neue Cloud-Instanzen entdecken, die auftauchen. Einige verbindende Informationen, egal ob es sich um WHOIS- oder DNS-Informationen handelt, müssen mit einigen dieser Instanzen korrelieren. Censys wird immer besser darin, diese Arten von Instanzen zu erkennen.
Die Analogie einer Burg funktioniert hier gut. Eine Organisation möchte sich nicht nur auf das verlassen, was sie intern mit Kameras und Schildwachen sehen können. Sie möchten eine wandernde Sicherheitspatrouille, um Bedrohungen abzufangen, noch bevor sie die Burgmauern erreichen. Die Patrouille kann die Burg so beobachten, wie es ein Angreifer tun würde. Censys durchstreift das Internet aus einer externen Perspektive und sieht Dinge so, wie es ein potenzieller Hacker sehen würde.
Ein Werkzeug, das Censys in Betracht zieht, ist JARM von Salesforce, ein aktives TLS-Fingerprinting-Werkzeug. Wenn Dinge bereitgestellt werden, die nicht dem Fingerprinting auf einem bestimmten Server entsprechen, werden sie als Anomalien auffallen. Es ist wichtig, nach Architekturen zu suchen, die in einer bestimmten Konfiguration sein sollten, es aber nicht sind.
Eine wichtige Frage ist, wie Censys verhindern kann, schlechten Spielern zu helfen. Zunächst einmal sehen die schlechten Spieler bereits das, was Censys sehen kann, vielleicht nicht in diesem Ausmaß, daher hilft Censys Organisationen dabei, das Spielfeld auszugleichen. Eine externe Sichtbarkeit in großem Maßstab kann dazu beitragen, die Schwachstellen zu beseitigen, die von schlechten Spielern ausgenutzt werden können. Zum Beispiel hat Censys der Ukraine geholfen, Schwachstellen zu identifizieren, die der Gegner hätte nutzen können, um das Schlachtfeld zu gestalten. Censys verfügt außerdem über ein gutes Sicherheitsteam, das schwierige Entscheidungen darüber trifft, mit wem sie Geschäfte machen möchten und wer Zugang erhalten kann.