A szervezet támadási felülete magában foglalja az összes digitális, fizikai és külső informatikai eszközt, megosztott hálózatokat, és még a közösségi média belépési pontjait is, amelyek érzékenyek a kibertámadásokra. Ez egy dinamikus entitás, amely folyamatosan fejlődik új technológiákkal és működési változásokkal. E felület hatalmasságának felismerése elengedhetetlen a hatékony kezeléshez.

Mi az Attack Surface Management (ASM)?​

Az ASM egy proaktív megközelítés, amely magában foglalja a szervezet támadási felületének folyamatos monitorozását és elemzését a lehetséges sebezhetőségek és támadási vektorok azonosítása érdekében. A támadó perspektíváját alkalmazza, hasonló technikákat és eszközöket használ, gyakran etikus hackerek bevonásával. Az ASM magában foglalja a hagyományos penetrációs tesztelést, a sebezhetőségi vizsgálatokat, az IT-infrastruktúra folyamatos figyelését és a fenyegetés modellezését.

A 4 lépéses ASM életciklus​

1. Eszközfelderítés​

Ez az alapvető lépés magában foglalja az összes informatikai eszköz azonosítását, beleértve az ismeretlen vagy nem jóváhagyott eszközöket és szoftvereket. A modern ASM megoldások automatizálják ezt a folyamatot, hogy naprakész eszközlistát tartsanak fenn.

2. Sebezhetőség elemzése​

Az eszközök azonosítása után a szervezetek elemzik azokat a lehetséges sebezhetőségek szempontjából. Ez magában foglalja a nyitott hálózati portok, a hibás konfigurációk, a hiányzó szoftverjavítások, a nyilvánosságra hozott jelszavak és a kódolási hibák értékelését.

3. Kockázati prioritás​

Nem minden sebezhetőség egyenlő az üzleti hatást vagy a kihasználhatóságot tekintve. Az ASM magában foglalja a kármentesítési erőfeszítések rangsorolását különböző tényezők alapján, beleértve a helyreállítás egyszerűségét, a hasznosítási lehetőségeket és a korábbi eseményeket.

4. Kármentesítés​

Az utolsó lépés a kiemelt kockázatok kezelését célzó intézkedések végrehajtását foglalja magában, amelyet gyakran elősegítenek az ASM-megoldások, amelyek alapvető információkat szolgáltatnak a biztonsági csapatoknak az időben történő cselekvéshez.

Kihívások és lehetőségek​

A távmunka elterjedése és a felhőszolgáltatások növekvő elterjedése jelentősen kiszélesítette a támadási felületeket, új sebezhetőségeket és kifinomult támadási módszereket vezetett be. A hagyományos kiberkockázat-kezelési megközelítések gyakran nem megfelelőek ezekre a változó kihívásokra. Az ASM proaktív jellege segít a szervezeteknek azonosítani és mérsékelni az új kiberfenyegetéseket, javítva az észlelési és reagálási képességeket. Ez a biztonsági szint kulcsfontosságú a bizalom kiépítéséhez és a szilárd biztonsági pozíció fenntartásához a mai digitális környezetben.

Az Advanced Attack Surface Management több, mint egy eszközkészlet; ez egy gondolkodásmódváltás a támadó nézőpontjának megértése és előrejelzése felé. A sebezhetőségek azonosítására, elemzésére, rangsorolására és orvoslására szolgáló átfogó, dinamikus megközelítés alkalmazásával a szervezetek jelentősen fokozhatják védekezésüket a kiberfenyegetések folyamatosan fejlődő tömbje ellen. Míg a konkrét valós példákat bonyolult általánosítani, az ASM alapelvei továbbra is univerzálisan alkalmazhatók a különböző szervezeti környezetekben.

A tartománynévrendszert (DNS) gyakran az internet telefonkönyveként írják le, amely az ember által olvasható tartományneveket olyan IP-címekre fordítja, amelyeket a számítógépek megértenek. Az internetkapcsolatban betöltött kulcsszerepe azonban a kibertámadások elsődleges célpontjává is teszi. Ez a blogbejegyzés a DNS-rendszerben rejlő sebezhetőségekkel és az ezeket a kockázatokat súlyosbító gyakori helytelen konfigurációkkal foglalkozik.

A DNS-sebezhetőségek megértése​

1. DNS-hamisítás (gyorsítótár-mérgezés): Ez a támadás a DNS-gyorsítótár hamis információkkal való megrongálását jelenti, és a felhasználók tudta nélkül rosszindulatú webhelyekre irányítja a felhasználókat. Adathalász támadásokhoz és rosszindulatú programok terjesztéséhez vezethet.

2. DNS-erősítő támadások: Az elosztott szolgáltatásmegtagadás (DDoS) egyik formája, ahol a támadók a nyílt DNS-kiszolgálókat kihasználva nagy mennyiségű forgalommal árasztják el a célpontot, túlterhelve és működésképtelenné téve azt.

3. DNS-alagút: A rosszindulatú szereplők DNS-lekérdezések és -válaszok segítségével adatokat csempészhetnek ki a hálózatból, megkerülve a legtöbb tűzfalat, és veszélyeztetve az adatbiztonságot.

4. NXDOMAIN támadások: DNS-kiszolgáló elárasztása nem létező rekordokra vonatkozó kérésekkel, ami a szerver túlterheléséhez és esetleges összeomlásához vezet.

Gyakori DNS-hibás konfigurációk​

1. Open Resolvers: A bármilyen IP-címről érkező lekérdezések fogadására konfigurált DNS-kiszolgálók kihasználhatók DNS-erősítő támadásokra. A válaszok ismert és megbízható IP-címekre való korlátozása csökkentheti ezt a kockázatot.

2. Elégtelen sebességkorlátozás: A DNS-lekérdezések sebességkorlátozásának elmulasztása a kiszolgálót sebezhetővé teheti a DDoS-támadásokkal szemben. Az ésszerű lekérdezési korlátok beállítása segít csökkenteni ezt a sebezhetőséget.

3. A DNSSEC hiánya: A DNSSEC (DNS Security Extensions) biztonsági réteget ad azáltal, hogy lehetővé teszi a DNS-válaszok digitális aláírását. DNSSEC nélkül az adatok integritása nem biztosítható, így a rendszer nyitva marad a hamisító támadások előtt.

4. Nem megfelelő naplózás és figyelés: A naplók karbantartásának vagy a DNS-forgalom figyelésének elmulasztása megakadályozhatja a támadásra utaló szokatlan minták időben történő észlelését.

A DNS biztonságának legjobb gyakorlatai​

1. A DNSSEC megvalósítása: Ez biztosítja, hogy a DNS-válaszok hitelesek legyenek, és ne manipulálják őket.

2. DNS-sebességkorlátozás konfigurálása: Ez segít a DDoS-támadások mérséklésében azáltal, hogy korlátozza azon kérések számát, amelyekre a szerver egyetlen IP-címről válaszol egy adott időkereten belül.

3. Rekurzió letiltása vagy osztott DNS konfigurálása: Ha a szerverének nem kell rekurzív lekérdezéseket biztosítania a nyilvánosság számára, tiltsa le ezt a funkciót. Alternatív megoldásként használhatja a Split DNS-t a belső és külső lekérdezések elkülönítésére.

4. A DNS-szoftver rendszeres frissítése: Tartsa naprakészen DNS-szoftverét, hogy biztosítsa az ismert biztonsági rések javítását.

5. Hozzáférés-vezérlési listák (ACL) használata: Az ACL-ek konfigurálásával korlátozhatja, hogy ki kérdezhet le DNS-kiszolgálóiról.

6. DNS-naplók figyelése: A rendszeres megfigyelés segíthet a gyanús tevékenységek korai felismerésében.

Következtetés​

Bár a DNS az internetes infrastruktúra kritikus összetevője, nem mentes a sebezhetőségétől. A hálózati rendszergazdák és a kiberbiztonsági szakemberek számára kulcsfontosságú, hogy megértsék ezeket a kockázatokat és az azokat súlyosbító általános hibás konfigurációkat. A legjobb gyakorlatok megvalósításával és a DNS-tevékenységek rendszeres figyelemmel kísérésével jelentősen csökkentheti a kockázatokat, és biztonságosabb internetes környezetet biztosíthat.

További lépések​

A DNS-kezelésért felelős személyek számára javasoljuk, hogy rendszeresen ellenőrizzék DNS-konfigurációikat, tájékozódjanak a legújabb DNS-sebezhetőségekről és fenyegetésekről, és vegyenek részt kiberbiztonsági fórumokon, hogy megosszák egymással tapasztalataikat és tanuljanak a társaiktól. Ne feledje, hogy a kiberbiztonság területén a proaktív tartás kulcsfontosságú digitális eszközei védelmében.

Egy olyan korszakban, amikor a felhőszolgáltatások dominálnak, az önálló üzemeltetés vonzereje továbbra is erős az irányítást és testreszabást keresők számára. Az öntárhely arra a gyakorlatra utal, hogy saját szervereket állítanak be és kezelnek webhelyek, alkalmazások vagy szolgáltatások futtatásához, ahelyett, hogy külső szolgáltatókra hagyatkoznának. Ez a bejegyzés bemutatja a self-hosting lényegét, annak előnyeit, kihívásait és az indulás módját.

Miért válassza a saját tárhelyszolgáltatást?​

1. Ellenőrzés és adatvédelem: Az önkiszolgáló szolgáltatás teljes körű ellenőrzést biztosít az adatok felett. Egy olyan korban, ahol az adatvédelmi aggályok a legfontosabbak, az öntárhely biztosítja, hogy érzékeny adatai az Ön kezében maradjanak.

2. Testreszabás: Széles körű testreszabást tesz lehetővé. A beállítást úgy módosíthatja, hogy tökéletesen megfeleljen egyedi igényeinek, ami a kereskedelmi tárhelyszolgáltatások esetében nem mindig lehetséges.

3. Készségfejlesztés: A saját szerver kezelése értékes tanulási tapasztalat lehet. Bővíti a hálózatkezeléssel, a szerverkezeléssel és a kiberbiztonsággal kapcsolatos ismereteit.

4. Költséghatékonyság: Hosszú távú projektek esetén az önálló üzemeltetés költséghatékonyabb lehet. Elkerülheti az ismétlődő előfizetési díjakat, csak a hardverért és az áramért kell fizetnie.

A Self-Hosting kihívásai​

1. Műszaki ismeretek: Bizonyos szintű műszaki szakértelmet igényel. A kiszolgáló beállítása és karbantartása bonyolult lehet, különösen a biztonsági és hibaelhárítási problémák kezelésekor.

2. Időbefektetés: Az önálló üzemeltetéshez idő kell. A rendszeres frissítések, biztonsági mentések és figyelés elengedhetetlenek a szerver zökkenőmentes működéséhez.

3. Hardver és megbízhatóság: Ön felelős a hardverért. Ez azt jelenti, hogy biztosítani kell a megbízhatóságát, frissíteni kell, és kezelni kell a hibákat.

4. Biztonsági kockázatok: A professzionális tárhelyszolgáltatások robusztus biztonsági intézkedései nélkül a saját üzemeltetésű szerverek sebezhetőbbek lehetnek a támadásokkal szemben, ha nem megfelelően kezelik őket.

Ismerkedés a Self-Hosting szolgáltatással​

1. A megfelelő hardver kiválasztása: Igényeitől függően ez a könnyű alkalmazásokhoz használható Raspberry Pi-től a nehezebb feladatokhoz szükséges robusztusabb szerverekig terjedhet.

2. Operációs rendszer kiválasztása: Az olyan Linux disztribúciók, mint az Ubuntu vagy a CentOS, stabilitásuk és közösségi támogatásuk miatt népszerűek.

3. A kiszolgálókezelés alapvető ismerete: Ismerkedjen meg az alapvető parancsokkal, a szoftvertelepítéssel, a hálózati konfigurációval és a biztonsági gyakorlatokkal.

4. A kiszolgáló beállítása: Telepítse a szükséges szoftvereket, például webszervert (Apache vagy Nginx), adatbázisszervert (MySQL, PostgreSQL) és minden egyéb szükséges eszközt.

5. A biztonság biztosítása: Tűzfalszabályok alkalmazása, biztonságos SSH-hozzáférés és rendszeres frissítések. Fontolja meg a behatolásérzékelő rendszerek, például a Fail2Ban használatát.

6. Rendszeres karbantartás: Rendszeres biztonsági mentések ütemezése, a kiszolgáló állapotának figyelése és a szoftver frissítése a zavartalan működés érdekében.

Következtetés​

Az önálló tárhelyszolgáltatás kifizetődő utazás lehet, amely vezérlést, testreszabást és adatvédelmet kínál. Ez azonban nem mentes a kihívásoktól. Műszaki know-how-t, időt és proaktív megközelítést igényel a biztonság és a karbantartás terén. Ha hajlandó felvállalni ezeket a kihívásokat, az önálló tárhelyszolgáltatás erős lépés lehet a digitális függetlenség felé.

Következő lépések​

Azok számára, akik érdeklődnek az önálló fogadás iránt, kezdje kicsiben. Kísérletezzen egy egyszerű projekttel, például egy személyes blog vagy egy fájlszerver tárolásával, és fokozatosan növelje a méretet, ahogy egyre magabiztosabbá és szakértelmükké válik. Az önálló otthonteremtéshez vezető út folyamatos tanulási élmény, tele kihívásokkal és jutalmakkal.

An open source append only database of known subdomains. The goals are to discover, store and serve subdomains as fast as possible in a hassle free way.

NOTE: This project is in early stage! It takes some time to be up-to-date.

The current speed of finding subdomains of tesla.com is ~0.311s with 604 unique entry.

$ time curl "https://columbus.elmasy.com/lookup/tesla.com"
...
real	0m0.311s
user	0m0.021s
sys	0m0.010s

Query​

Website​

A website is built into the binary to present the capabilities of Columbus. URL: https://columbus.elmasy.com/

CLI​

Using our CLI tool:

$ columbus lookup elmasy.com
dev.elmasy.com
elmasy.com
one.scanner.elmasy.com
status.elmasy.com
autoconfig.elmasy.com
columbus.elmasy.com
three.scanner.elmasy.com
four.scanner.elmasy.com
autodiscover.elmasy.com
scan.elmasy.com
two.scanner.elmasy.com
gw.elmasy.com
www.elmasy.com
db.elmasy.com
api.elmasy.com
blog.elmasy.com

HTTP API​

By default, the API returns a JSON array:

$ curl "https://columbus.elmasy.com/lookup/elmasy.com"
["dev","","one.scanner","status","autoconfig","columbus","three.scanner","four.scanner","autodiscover","scan","two.scanner","gw","www","db","api","blog"]

Set Accept header to text/plain to get a newline delimed string:

$ curl -H "Accept: text/plain" "https://columbus.elmasy.com/lookup/elmasy.com"
dev

one.scanner
status
autoconfig
columbus
three.scanner
four.scanner
autodiscover
scan
two.scanner
gw
www
db
api
blog

NOTE: The empty string (or line) represent the domain itself.

Sources​

Certificate Transparency​

Multiple Scanners are always running and inserting every found domain.

Logs:

• Argon
• Mammoth
• Nessie
• Nimbus
• Oak
• Sabre
• Trustasia
• Xenon
• Yeti

The full list of logs can be found here.

DNS Servers​

Using our DNS servers is the easiest way to contribute to the project. Every valid record will be inserted into the database.

List of servers (TCP + UDP):

• 194.163.175.29:53
• 178.18.241.104:53
• 149.102.156.147:53
• 149.102.156.148:53

Contributing is this simple:

amass enum -tr 194.163.175.29,178.18.241.104,149.102.156.147,149.102.156.148 -d example.com

subfinder -r 194.163.175.29,178.18.241.104,149.102.156.147,149.102.156.148 -d example.com

Or just:

dig @149.102.156.148 example.com

Popular domains​

This external shell script collects commonly used, "popular" domains and run external tools on it using our DNS servers to ensure, that the most important domains are always up to date.

Integration​

One of the main aspect was the ease of integration into other systems with the API or embedding the result into a website as the CORS setting allows it.