Shodan est un outil bien connu des experts en sécurité et des acteurs malveillants. Lancé en 2009, il a gagné en popularité en 2013 suite à une couverture médiatique sur CNN et Forbes.
Où OSINT rencontre l'analyse de port
Shodan est à la croisée des chemins entre Intelligence Open Source (OSINT) et balayage de port. Les données qu'il présente ne sont pas nouvelles - l'analyse des ports est un processus bien connu et bien intégré dans les environnements de sécurité matures. La principale nouveauté qu'il apporte est la disponibilité des données pour n'importe qui, de manière anonyme et passive.
Pour un acteur malveillant planifiant une attaque, smise en conserve pour les ports ouverts présente certains risques, dont la détection par un système de détection d'intrusion (IDS). Shodan aurait utilisé scanners distribués dans le monde pour collecter ses données, apportant de puissantes capacités d'anonymat et de furtivité à n'importe qui, d'un attaquant non formé à un acteur étatique.
Depuis Shodan analyse toutes les adresses IP, cela augmente également le risque qu'une organisation soit victime d'un attaque non ciblée. Là où un port sensible accidentellement laissé ouvert n'aurait peut-être jamais été trouvé par un acteur malveillant auparavant, l'outil donne désormais une visibilité rapide à un acteur à la recherche d'une cible mûre. Il y a quelques semaines, Shodan aurait été utilisé par des acteurs malveillants pour identifier rapidement des cibles potentielles sur lesquelles exploiter le Vulnérabilité Microsoft Exchange.
Pourquoi devriez-vous surveiller Shodan
Le résultat final est clair : les acteurs malveillants peuvent facilement accéder aux informations sur les vulnérabilités sur l'infrastructure d'une organisation.
Devriez-vous être surveiller Shodan même si vous avez une solution de balayage de port? La réponse est oui, simplement parce que des acteurs malveillants le font. En cas d'accident, il est primordial pour une organisation de disposer des mêmes informations que ces acteurs, et en même temps qu'eux.
Notez que vous devriez ne pas compter exclusivement sur Shodan pour l'analyse des ports. Il ne fournit pas une image complète de votre propre infrastructure et ne garantit aucune fréquence dans leurs analyses. Il ne peut pas remplacer un analyseur bien configuré car cela peut prendre des mois avant qu'il ne détecte et n'associe une mauvaise configuration à votre organisation.
En suivant l'approche de sécurité approfondie, il est important d'avoir à la fois un inventaire de vos actifs publics et de leurs versions, ainsi que de surveiller Shodan en tant que couche supplémentaire au cas où un actif serait manqué ou caché dans un environnement informatique fantôme.
Ajout de la surveillance Shodan aux capacités d'une organisation peut se faire de deux manières :
- An compte peut être créé directement avec le service, et un analyste sécurité dédié à la gestion de l'outil.
- Une plate-forme existante, qui couvre également d'autres risques, peut utiliser Shodan comme source de données et surveillez-le sans surcharge importante pour une équipe de sécurité.
Produit de Flare Systems, Firework, surveille Shodan dans le cadre de sa surveillance. Nous contacter pour en savoir plus.
> Lire l'article suivant sur « Shodan : comment nous évaluons les risques et priorisons les alertes »
