adminvista.com

Internetdatasökmotor för säkerhetsforskare

By rik

Sökmotorer för cybersäkerhet: En djupdykning

Under 2000-talet har sökmotorer utvecklats till oumbärliga verktyg för alla, och IT-säkerhetsexperter är inget undantag. Vi förlitar oss på plattformar som Google för att granska produktomdömen, boka resor eller till och med hitta synonymer. Med Googles framgång som förebild finns nu ett flertal sökmotorer, som Safari, Bing, Yandex och DuckDuckGo. Frågan är dock: är all information verkligen tillgänglig via dessa allmänna sökmotorer?

Svaret är nej. Så, hur gör man för att hitta den specifika information som är avgörande för ens företags eller webbplats säkerhet? Vad händer när den önskade informationen inte dyker upp i dessa vanliga sökmotorer? Oroa dig inte, det finns en lösning!

Det finns specialiserade sökmotorer som är utrustade med verktyg särskilt anpassade för att möta behoven hos cybersäkerhetsteam och säkerhetsforskare. Dessa verktyg möjliggör navigering genom värdefull information som kan stärka dina säkerhetsåtgärder. Användningsområden inkluderar att identifiera sårbara enheter, spåra potentiella hot, analysera säkerhetsluckor, förbereda för nätfiskeövningar och upptäcka intrång i nätverkssäkerheten.

Den här artikeln ger en introduktion till dessa specialiserade sökmotorer och presenterar de bästa alternativen för din säkerhetsforskning.

Betydelsen av informationsinsamling inom säkerhetsforskning

Informationsinsamling är ett avgörande första steg för säkerhetsforskare som strävar efter att skydda data, integritet och analysera potentiella hot. Denna process innefattar huvudsakligen två aspekter:

  • Insamling av systemrelaterad data som OS-värdnamn, systemtyper, systembanners, systemgrupper och uppräkning.
  • Insamling av nätverksinformation som privata, offentliga och associerade nätverksvärdar, domännamn, routingtabeller, privata och offentliga IP-block, öppna portar, SSL-certifikat samt UDP- och TCP-tjänster.

Fördelarna med att samla in denna typ av data är betydande:

  • Du får en överblick över alla anslutna enheter i nätverket, deras användare och platser, vilket underlättar säkerhetsåtgärder. Avvikelser kan snabbt upptäckas och åtgärdas genom att blockera system eller användare för att skydda nätverket.
  • Den insamlade informationen hjälper till att identifiera sårbarheter som kan åtgärdas innan de orsakar säkerhetsproblem.
  • Man får en förståelse för potentiella attackmönster och metoder, som nätfiske, skadlig programvara och botnät.
  • Data kan användas för att analysera produktprestanda, identifiera de mest lönsamma områdena och få marknadsinsikter för att förbättra erbjudanden.

Låt oss nu utforska några av de främsta sökmotorerna för internetdata som är idealiska för säkerhetsexperter.

Shodan

Shodan är en framstående sökmotor för säkerhetsundersökningar av enheter som är anslutna till internet. Den används flitigt av säkerhetsexperter, forskare, CERT-organisationer och stora företag över hela världen.

Shodan täcker inte bara webbplatser utan även webbkameror, IoT-enheter, kylskåp, byggnader, smart-TV-apparater och kraftverk. Verktyget hjälper till att kartlägga dina internetanslutna enheter, deras placering och användare. Det ger insikt i dina digitala fotspår och hjälper dig att övervaka system som är direkt tillgängliga via internet. Genom empirisk affärs- och marknadsinformation kan man dessutom få en konkurrensfördel genom att förstå vem som använder produkten och var. Shodans servrar är globalt placerade och tillgängliga dygnet runt, vilket garanterar tillgång till den senaste informationen och analysen.

Det är ett användbart verktyg för att identifiera potentiella köpare av en specifik produkt, vilka länder som producerar mest, eller vilka företag som är mest utsatta för säkerhetsrisker. Shodan erbjuder även ett publikt API för att möjliggöra integrering med andra verktyg, inklusive Nmap, Chrome, Firefox, FOCA, Maltego och Metasploit.

ZoomEye

ZoomEye är Kinas första sökmotor för cyberrymden, utvecklad av Knownsec. Den kartlägger cyberrymden lokalt och globalt genom kontinuerlig skanning av tjänsteprotokoll och portar via ett stort nätverk av mappningsnoder. Den använder global mätning baserad på IPv6, IPv4 och domännamnsdatabaser. År av teknisk utveckling har lett till en egen kärnsökmotor för cyberrymden, som även möjliggör trendanalys av insamlad data över tid.

Med hjälp av ZoomEyes komponentnavigering kan användare snabbt och exakt hitta måltillgångar. Man kan söka efter olika utrustningstyper såsom gateways, CDN, Big Data-lösningar, röstinspelare, CMS, webbramverk och mjukvaruplattformar. Det finns även möjlighet att söka efter specifika ämnen och genomföra sårbarhetsbedömningar, till exempel inom databaser, industrier, Blockchain, brandväggar, routrar, nätverkslagring, kameror, skrivare och WAF. ZoomEye erbjuder en gratis plan som tillåter 10 000 sökresultat per månad, medan betalplanerna börjar på 35 dollar per månad för 30 000 resultat.

Censys

Censys REST API är ett annat tillförlitligt alternativ för säkerhetsrelaterade datasökningar. Detta API ger programmatisk tillgång till all information som är tillgänglig via webbgränssnittet. Deras API-slutpunkter kräver autentisering via API-ID och erbjuder flera olika slutpunkter:

  • **Sök-slutpunkt:** Utför sökningar mot Alexa Top Million, IPv4 och Certifikatindex. Denna slutpunkt levererar de senaste uppgifterna för de valda fälten.
  • **Visa-slutpunkt:** Samlar in strukturerad information om specifika webbplatser, värdar eller certifikat genom att använda domännamn, IP-adresser eller SHA-256-fingeravtryck.
  • **Rapport-slutpunkt:** Identifierar den sammanlagda värdefördelningen för resultaten av en specifik fråga.
  • **Bulk-slutpunkt:** Samlar in strukturerad data om flera certifikat med hjälp av deras SHA-256-fingeravtryck.
  • **Konto-slutpunkt:** Ger tillgång till kontodata i Censys, inklusive kvotanvändningen.
  • **Data-slutpunkt:** Visar metadata för den information som kan laddas ner från Censys.

GreyNoise

Med ett användarvänligt gränssnitt kan du snabbt komma igång med din dataforskning via GreyNoise. GreyNoise samlar data om IP-adresser och hjälper säkerhetsanalytiker att snabbt identifiera potentiella hot.

GreyNoises ”Rule It Out” (RIOT) dataset ger kommunikationskontexter mellan användare och affärsapplikationer (som Slack och Microsoft 365) eller nätverkstjänster (som DNS-servrar eller CDN). Detta unika perspektiv gör det möjligt för analytiker att med säkerhet ignorera ofarliga aktiviteter och fokusera på att undersöka de verkliga hoten. Informationen levereras genom SOAR-, SIEM- och TIP-integrationer, kommandoradsverktyg och API. Användare kan även analysera aktiviteter genom GreyNoises analys- och visualiseringsverktyg.

Om man upptäcker att ens system skannar internet är det viktigt att omedelbart vidta åtgärder eftersom enheten kan vara komprometterad. Säkerhetsteam kan analysera data genom att använda GreyNoise Query Language (GNQL), vilket gör det möjligt att bestämma beteenden baserat på CVE:er och taggar, samt visa hotinstanser. Verktyget analyserar data från tusentals IP-adresser för att identifiera avsikter och metoder.

SecurityTrails

Med korrekta och omfattande data från SecurityTrails kan du stärka din säkerhet och fatta säkrare affärsbeslut. Deras API är snabbt och ständigt tillgängligt, vilket ger direkt tillgång till både historisk och aktuell data.

SecurityTrails erbjuder fullständigt indexerad DNS-posthistorik. De har även cirka 3 miljarder aktuella och historiska WHOIS-data, inklusive WHOIS-ändringar. Deras databas uppdateras dagligen och innehåller för närvarande över 203 miljoner datapunkter. Användare kan söka efter domännamn och undersöka vilken teknologi som används på olika webbplatser, få tillgång till passiva DNS-datauppsättningar (månadsvis över 1 miljard poster) och lära sig om IP-adresser, värdnamn och domäner i realtid.

SecurityTrails kan identifiera samtliga kända underdomäner, och deras indexering och taggning gör det snabbt och enkelt att söka efter information. API:et används för att hitta misstänkta DNS-poständringar och se korrelationer, samt förhindra attacker genom att identifiera illvilliga aktörer, deras IP-adresser och domäner, och spåra kommando- och kontrollservrar för att få information om skadlig programvara. Verktyget kan också användas för att utföra bedrägeriforskning online, analysera förvärv och fusioner, och upptäcka dolda tillgångar. Det ger skydd för varumärken genom att upptäcka när varumärkesskyddat material används i bedrägliga domäner.

Slutsats

Med de ökande cyberhoten är det viktigare än någonsin att skydda data och integritet genom att stärka systemens sårbarheter innan de kan utnyttjas. Genom att använda de ovannämnda sökmotorerna för internetdata kan du ligga steget före potentiella angripare och fatta välgrundade affärsbeslut.

12 Online Pentest-verktyg för spaning och exploateringssökning

4 Användbara verktyg för online-DNS och omvänd IP-adresssökning