Shodan - инструмент, хорошо известный как экспертам по безопасности, так и злоумышленникам. Запущенный в 2009 году, он приобрел популярность в 2013 году после освещения в СМИ CNN и Forbes.
Где OSINT встречает сканирование портов
Shodan находится на перекрестке между Open Source Intelligence (OSINT) и сканированием портов. В представленных данных нет ничего нового - сканирование портов - хорошо известный и хорошо интегрированный процесс в зрелых средах безопасности. Главное новшество - доступность данных для всех, анонимно и пассивно.
Для злоумышленника, планирующего атаку, поиск открытых портов представляет определенные риски, включая обнаружение системой обнаружения вторжений (IDS). Shodan якобы использует распределенные сканеры по всему миру для сбора своих данных, предоставляя мощные возможности анонимности и скрытности любому, от неподготовленного злоумышленника до государственного деятеля.
Поскольку Shodan сканирует все без исключения IP-адреса, это также увеличивает вероятность того, что организация станет жертвой нецелевой атаки. Там, где уязвимый порт, случайно оставленный открытым, мог никогда не быть обнаружен злоумышленником раньше, теперь инструмент дает быструю видимость действующему лицу, ищущему зрелую цель. Несколько недель назад Shodan якобы использовался злоумышленниками для быстрого определения потенциальных целей, на которых можно было использовать уязвимость Microsoft Exchange.
Почему вам следует следить за Shodan
Конечный результат очевиден: злоумышленники могут легко получить доступ к информации о потенциальных уязвимостях в инфраструктуре организации.
Следует ли вам следить за Shodan, даже если у вас есть решение для сканирования портов? Ответ - да, просто потому, что это делают злоумышленники. В случае аварии для организации критически важно иметь ту же информацию, что и эти участники, и в то же время, что и они.
Обратите внимание, что вам не следует полагаться исключительно на Shodan для сканирования портов. Он не дает полного представления о вашей собственной инфраструктуре и не гарантирует частоту их сканирования. Он не может заменить хорошо настроенный сканер, поскольку могут пройти месяцы, прежде чем он обнаружит и связывает неправильную конфигурацию с вашей организацией.
Следуя углубленному подходу к безопасности, важно иметь как инвентарь ваших общедоступных активов, так и их версий, а также отслеживать Shodan в качестве дополнительного уровня на случай, если актив пропущен или скрыт в теневой ИТ-среде.
Добавить мониторинг Shodan к возможностям организации можно двумя способами:
Где OSINT встречает сканирование портов
Shodan находится на перекрестке между Open Source Intelligence (OSINT) и сканированием портов. В представленных данных нет ничего нового - сканирование портов - хорошо известный и хорошо интегрированный процесс в зрелых средах безопасности. Главное новшество - доступность данных для всех, анонимно и пассивно.
Для злоумышленника, планирующего атаку, поиск открытых портов представляет определенные риски, включая обнаружение системой обнаружения вторжений (IDS). Shodan якобы использует распределенные сканеры по всему миру для сбора своих данных, предоставляя мощные возможности анонимности и скрытности любому, от неподготовленного злоумышленника до государственного деятеля.
Поскольку Shodan сканирует все без исключения IP-адреса, это также увеличивает вероятность того, что организация станет жертвой нецелевой атаки. Там, где уязвимый порт, случайно оставленный открытым, мог никогда не быть обнаружен злоумышленником раньше, теперь инструмент дает быструю видимость действующему лицу, ищущему зрелую цель. Несколько недель назад Shodan якобы использовался злоумышленниками для быстрого определения потенциальных целей, на которых можно было использовать уязвимость Microsoft Exchange.
Почему вам следует следить за Shodan
Конечный результат очевиден: злоумышленники могут легко получить доступ к информации о потенциальных уязвимостях в инфраструктуре организации.
Следует ли вам следить за Shodan, даже если у вас есть решение для сканирования портов? Ответ - да, просто потому, что это делают злоумышленники. В случае аварии для организации критически важно иметь ту же информацию, что и эти участники, и в то же время, что и они.
Обратите внимание, что вам не следует полагаться исключительно на Shodan для сканирования портов. Он не дает полного представления о вашей собственной инфраструктуре и не гарантирует частоту их сканирования. Он не может заменить хорошо настроенный сканер, поскольку могут пройти месяцы, прежде чем он обнаружит и связывает неправильную конфигурацию с вашей организацией.
Следуя углубленному подходу к безопасности, важно иметь как инвентарь ваших общедоступных активов, так и их версий, а также отслеживать Shodan в качестве дополнительного уровня на случай, если актив пропущен или скрыт в теневой ИТ-среде.
Добавить мониторинг Shodan к возможностям организации можно двумя способами:
- Счет может быть создан непосредственно службой, и аналитиками безопасности назначена управляющим инструментом.
- Существующая платформа, которая также покрывает другие риски, может использовать Shodan в качестве источника данных и отслеживать его без каких-либо значительных накладных расходов для группы безопасности.
