У XXI столітті пошукові системи стали невід’ємною частиною нашого життя, включно з професіоналами у сфері інформаційної безпеки.
Ми покладаємося на такі пошукові інструменти, як Google, для перевірки відгуків про продукти, бронювання готелів або пошуку синонімів слів.
Враховуючи надзвичайний успіх Google, сьогодні існує безліч пошукових систем, зокрема Safari, Bing, Yandex, DuckDuckGo та інші.
Але чи вважаєте ви, що вся інформація доступна через ці загальновідомі пошукові системи?
Відповідь – однозначно НІ.
Отже, як ви будете діяти, коли вам потрібно знайти дані, критично важливі для безпеки вашої компанії або веб-сайту?
Що робити, якщо потрібна інформація відсутня у загальнодоступних пошукових системах?
Не варто хвилюватися, рішення є!
Існують спеціалізовані пошукові системи, що мають у своєму арсеналі інструменти, розроблені спеціально для потреб фахівців з кібербезпеки та дослідників у цій сфері. Ці пошукові платформи надають доступ до цінної інформації, яку можна використовувати для забезпечення безпеки.
З їх допомогою можна ідентифікувати відкриті інтернет-пристрої, відстежувати потенційні загрози, аналізувати вразливості, готуватися до імітації фішингових атак, виявляти порушення мережевої безпеки та багато іншого.
У цій статті ми глибше розглянемо ці пошукові системи, а також познайомимось з найкращими інструментами, які можна використовувати для досліджень у сфері безпеки.
Але спершу…
Яка важливість збору даних у процесі дослідження безпеки?
Збір інформації є початковим кроком, який роблять дослідники з метою захисту власних даних, конфіденційності та аналізу можливих загроз.
Цей процес включає дві основні цілі:
- Збір системних даних, таких як назви хостів ОС, типи систем, системні банери, системні групи, переліки тощо.
- Збір інформації про мережу, наприклад, приватні та загальнодоступні хости, пов’язані мережі, доменні імена, кабелі маршрутизації, приватні та загальнодоступні блоки IP-адрес, відкриті порти, сертифікати SSL, запущені служби UDP і TCP та інше.
Переваги збору цих даних:
- Отримання чіткого уявлення про всі пристрої, підключені до вашої мережі, ідентифікація користувачів та їх місцезнаходження дозволяє забезпечити їх надійний захист. У випадку виявлення будь-якої невідповідності, ви можете заблокувати систему або користувача, щоб гарантувати безпеку вашої мережі.
- Зібрана інформація допоможе виявити вразливі місця та виправити їх до того, як вони можуть спричинити проблеми з безпекою.
- Розуміння можливих моделей атак та їхніх методів, зокрема, фішингу, шкідливого програмного забезпечення, ботів тощо.
- Використання даних для оцінки ефективності ваших продуктів, визначення найбільш прибуткових напрямків, отримання аналітичної інформації про ринок з метою вдосконалення ваших пропозицій.
Тепер розглянемо декілька найкращих систем пошуку даних в Інтернеті, які є корисними для професіоналів у сфері безпеки.
Shodan
Shodan – це провідна пошукова система для проведення досліджень безпеки пристроїв, підключених до Інтернету. Тисячі фахівців з безпеки, дослідників, CERT, великих підприємств та інших користуються цим інструментом по всьому світу.
Окрім веб-сайтів, ви можете використовувати Shodan для пошуку веб-камер, пристроїв Інтернету речей, холодильників, будівель, розумних телевізорів, електростанцій тощо. Shodan допомагає знаходити ваші пристрої, підключені до Інтернету, їхнє розташування та користувачів. Це дає змогу відстежувати ваш цифровий слід та ідентифікувати всі системи у вашій мережі, до яких користувачі мають прямий доступ через Інтернет.
Отримайте конкурентну перевагу, розуміючи, хто використовує ваш продукт та їхнє місцезнаходження, проводячи емпіричний бізнес-аналіз та дослідження ринку. Сервери Shodan розташовані по всьому світу та доступні цілодобово, що дає вам можливість отримувати найновішу інформацію та аналізувати дані.
Це корисний інструмент для визначення потенційних покупців певного продукту, країн, які його найбільше виробляють, або компаній, які найбільше постраждали від вразливостей безпеки чи атак. Shodan також надає публічний API для доступу інших інструментів до його даних. Він підтримує інтеграцію з Nmap, Chrome, Firefox, FOCA, Maltego, Metasploit та іншими інструментами.
ZoomEye
ZoomEye, перша китайська пошукова система кіберпростору, розроблена компанією Knownsec. ZoomEye створює мапу локального або загального кіберпростору, скануючи та виявляючи численні сервісні протоколи та порти 24/7, використовуючи велику кількість вузлів відображення та глобальний аналіз на основі IPv6, IPv4 і баз даних доменних імен сайту.
Роки технологічного розвитку дозволили створити власну унікальну пошукову систему кіберпростору. Таким чином, вона сприяє аналізу тенденцій на основі зібраних даних, динамічно відображених у просторі та часі.
Ви можете використовувати навігацію ZoomEye для пошуку певних компонентів, щоб точно і швидко знаходити цільові ресурси. Для цього вона має різні категорії обладнання, наприклад, шлюзи, CDN, великі дані, диктофони, CMS, веб-фреймворки, програмні платформи тощо.
Ви також можете проводити пошук за спеціальними темами та перевіряти оцінку впливу вразливостей. Ці теми включають бази даних, галузі, блокчейн, брандмауери, маршрутизатори, мережеві сховища, камери, принтери, WAF, мережеві сховища тощо. Переглядайте звіти для отримання детальної інформації. ZoomEye пропонує безкоштовний тарифний план для 10 000 результатів на місяць. Платні тарифні плани починаються від 35 доларів на місяць за 30 000 результатів.
Censys
Censys REST API – це ще один безпечний і надійний варіант для пошуку даних з метою забезпечення безпеки. Вся інформація, доступна через веб-інтерфейс, також доступна програмно через цей API.
Цей інструмент необхідний для виконання всього доступу за сценарієм. Їхні кінцеві точки API вимагають автентифікації за допомогою HTTP через ідентифікатор API. Censys пропонує декілька кінцевих точок API, які включають:
- Кінцева точка пошуку для виконання пошуку за індексами Alexa Top Million, IPv4 і сертифікатами. У результаті ця кінцева точка відображає останні дані для вибраних полів.
- Кінцева точка View збирає структуровані дані про певний веб-сайт, хост або сертифікат після отримання домену веб-сайту, IP-адреси хосту або відбитка SHA-256 сертифіката.
- Кінцева точка звіту дозволяє визначити розбивку сукупних значень отриманих результатів для певного запиту.
- Масова кінцева точка збирає структуровані дані про масові сертифікати, якщо у вас є відбитки SHA-256 цих сертифікатів.
- Кінцева точка облікового запису отримує дані про ваш обліковий запис в Censys, включно з використанням квоти вашого поточного запиту.
- Кінцева точка даних відображає метадані інформації, яку можна завантажити з Censys.
GreyNoise
Почніть дослідження даних за допомогою простого інтерфейсу GreyNoise. GreyNoise збирає дані про IP-адреси, допомагаючи інструментам безпеки та повідомляючи аналітикам, коли немає підстав для занепокоєння.
Набір даних Rule It Out (RIOT) від GreyNoise пропонує контексти зв’язку між користувачами та бізнес-додатками (такими як Slack, Microsoft 365 тощо) або мережевими службами (наприклад, серверами DNS або CDN). Завдяки цьому стандартному підходу аналітики можуть впевнено ігнорувати нешкідливі або нерелевантні дії та мати більше часу на дослідження реальних загроз.
Дані надаються через інтеграцію з SOAR, SIEM, TIP, інструменти командного рядка та API. Крім того, аналітики також можуть переглядати дані за допомогою зазначених вище платформ або інструменту аналізу та візуалізації GreyNoise. Виявлення будь-якої системи, що сканує Інтернет, одразу сповіщає вас про те, що пристрій може бути зламано.
Ваша команда безпеки може виявляти інтернет-трафік, досліджуючи дані за допомогою мови запитів GreyNoise (GNQL). Інструмент визначає поведінку за допомогою CVE та тегів, а також відображає випадки загроз. Він також збагачує та аналізує дані, зібрані з тисяч IP-адрес, щоб визначити наміри та методи.
SecurityTrails
Посильте свою безпеку та приймайте впевнені бізнес-рішення за допомогою точних та вичерпних даних SecurityTrails. Їхній API працює швидко і завжди доступний, що дозволяє вам отримувати доступ до історичних і поточних даних без зайвих затримок.
Ви можете переглядати історію записів DNS, яка повністю проіндексована і доступна для постійного використання. Здійснюйте пошук серед приблизно 3 мільярдів поточних та історичних даних WHOIS разом зі змінами WHOIS. Вони щодня оновлюють свою базу даних, яка налічує понад 203 мільйони записів і постійно зростає.
Використовуйте ці дані для пошуку доменних імен та веб-сайтів, щоб дізнатися, які технології використовуються. Отримуйте доступ до пасивних наборів даних DNS щомісяця, які включають понад 1 мільярд записів. Ви також можете дізнаватися найсвіжішу інформацію про IP-адреси, імена хостів та домени в режимі реального часу.
Ви навіть можете знайти всі субдомени, відомі на цю дату. SecurityTrails містить індексовану інформацію та тегування, що полегшує та прискорює пошук даних. Знайдіть підозрілі зміни запису DNS та подивіться їхню кореляцію за допомогою API.
Завдяки системі підрахунку репутації ви можете отримати доступ до даних, щоб запобігти зловмисникам, їхнім IP-адресам та доменам. Відстежуйте загрози, контролюючи командні та контрольні сервери, щоб отримати інформацію про шкідливе програмне забезпечення.
Проводьте онлайн-розслідування шахрайства, перевіряйте придбання та злиття, а також знаходите приховані деталі та онлайн-активи без будь-яких проблем. Захистіть свій бренд, отримуючи сповіщення, коли товарний знак вашого бренду або інший матеріал, захищений авторським правом, використовується на шахрайських доменах.
Висновок
Проблеми з кібербезпекою зростають, і найкращий спосіб захистити свої дані та конфіденційність – це виявити та усунути вразливості, перш ніж хтось зможе ними скористатися.
Тому використовуйте ці пошукові системи даних в Інтернеті та проводите дослідження, щоб бути на крок попереду зловмисників та приймати обґрунтовані бізнес-рішення.