Shodan : comment nous évaluons les risques et hiérarchisons les alertes

Shodan : où l'OSINT rencontre l'analyse des ports

La surveillance des ports ouverts sur Shodan peut sembler simple, mais la réalité est qu'il y a beaucoup de données qui changent régulièrement. Avoir encore une autre source qui génère plusieurs alertes n'est pas quelque chose que de nombreux experts attendent avec impatience. 

Hiérarchisation des alertes

Il existe deux grands types d'alertes pouvant provenir de la surveillance de Shodan : des alertes sur votre propre infrastructure et la alertes sur les hôtes inattendus et l'informatique fantôme.

Les conclusions, l'analyse et assainissement les étapes sont différentes pour les deux cas d'utilisation, et Firework utilise une approche différente pour chacun d'eux.

Alertes pour infrastructure connue

Pour les infrastructures connues, les recherches sont effectuées par Firework sur Shodan pour n'importe quelle adresse IP, domaine ou sous-domaine que la plateforme connaît. 

Dans ce cas, l'objectif pour une plateforme comme Firework est de identifier les événements inattendus ou inhabituels.

Par exemple, il est normal que le port 443 soit ouvert sur le serveur hébergeant le nom de domaine principal d'une organisation. En revanche, il est inhabituel d'avoir un port 9200 (Elasticsearch) ouvert sur un sous-domaine lié à une équipe QA. C'est aussi un risque d'avoir un service ouvert avec des vulnérabilités connues. Shodan enrichit en fait les réponses du réseau avec un contexte basé sur les numéros de version et permet même recherche par vulnérabilité, comme le montre l'image ci-dessous. 

En conséquence, Firework utilise un ensemble d'heuristiques pour évaluer le risque d'un résultat Shodan et l'attribuer un score de 1 à 5 basé sur le système de notation à l'échelle du système. Cela permet aux utilisateurs d'éviter les alertes de faux positifs et de filtrer rapidement les résultats de recherche lors d'une enquête ou d'une évaluation.

Alertes pour Shadow IT

Les serveurs situés en dehors du périmètre connu peuvent également être utilisés comme point d'entrée pour un acteur malveillant, et Shodan peut aider l'acteur à identifier ces hôtes.

Dans ce cas, l'objectif de Firework est d'exécuter recherches basées sur des noms de domaine et des mots-clés liés à une organisation pour identifier les hôtes qui contiennent des indices de toute relation avec l'organisation. Les résultats obtenus de cette manière sont également notés sur une échelle de 1 à 5.

Extraire la valeur de Shodan

Ce approche de priorisation permet aux organisations de tirer parti des analyses puissantes de Shodan et de surveiller rapidement et en permanence quelles sont les informations passivement disponible pour les acteurs malveillants, tout en se concentrant sur les alertes hautement prioritaires.

Pour en savoir plus sur Firework et Shodan, réserver une démo avec notre équipe.

> Lire l'article précédent sur "Shodan : où l'OSINT rencontre l'analyse des ports"

Partager cet article

Éric Clay

Directeur Marketing

Eric Clay possède une solide expérience en cybersécurité et une expérience significative en matière d'élaboration d'approches marketing pour les entreprises SaaS. Clay a commencé sa carrière dans une agence de marketing B2B en tant que consultant externe pour les processus de génération de leads entrants dans les domaines de la cybersécurité et du SaaS, puis est devenu directeur marketing de deux startups de cybersécurité. En tant que directeur marketing de Flare, Clay travaille avec notre équipe marketing pour définir et améliorer les stratégies et approches marketing.

Contenu similaire