セキュリティ研究者向けのインターネット データ検索エンジン

検索エンジンは、IT セキュリティ専門家を含むすべての人にとって 21 世紀に不可欠なツールになりました。

製品レビューをチェックしたり、ホテルを予約して単語の同義語を見つけたりするには、Google などの検索エンジンが必要です。

Google の大成功を見ると、現在では、Safari、Bing、Yandex、DuckDuckGo など、非常に多くの検索エンジンを見つけることができます。

しかし、これらの公的に利用可能な検索エンジンであらゆる情報が入手できると思いますか?

答えはいいえだ。

では、会社や Web サイトのセキュリティに不可欠な情報を見つける必要がある場合はどうしますか?

これらの検索エンジンでデータが利用できない場合はどうすればよいでしょうか?

眉をひそめないでください。解決策は存在します！

主にサイバーセキュリティ チームやセキュリティ研究者のニーズに応えるために設計されたツールを備えた特定の検索エンジンがあります。これらの検索エンジンは、セキュリティ運用に活用できる貴重な情報を参照するのに役立ちます。

これらを使用すると、露出したインターネット デバイスの検索、脅威の追跡、脆弱性の分析、フィッシング シミュレーションの準備、ネットワーク セキュリティ侵害の発見などを行うことができます。

この記事では、これらの検索エンジンについて詳しく学び、セキュリティ調査に使用できる最適な検索エンジンを確認します。

しかし、

セキュリティ調査における情報収集の重要性は何ですか?

セキュリティ目的での情報収集は、研究者がデータとプライバシーを守り、脅威の可能性を分析するために行う最初のステップです。

このプロセスには次の 2 つの目標が含まれます。

• OS ホスト名とシステム タイプ、システム バナー、システム グループ、列挙などのシステム関連データの収集
• プライベート、パブリック、および関連するネットワーク ホスト、ドメイン名、ルーティング ケーブル、プライベートおよびパブリック IP ブロック、オープン ポート、SSL 証明書、UDP および TCP 実行サービスなどのネットワーク情報を収集します。

これらのデータを収集する利点は次のとおりです。

• ネットワーク内に接続されているすべてのデバイス、ユーザーが誰であるか、およびそれらの位置を把握するには、それらのデバイスを保護することができます。そこに不一致が見つかった場合は、ネットワークを保護するためにシステムまたはユーザーをブロックできます。
• 収集された情報は、セキュリティ上の問題が発生する前に脆弱性を見つけて修正するのに役立ちます。
• フィッシング、マルウェア、ボットなどの考えられる攻撃パターンとその手法を理解します。
• データを使用して、製品のパフォーマンスやどの分野が最も収益性が高いかを把握し、製品を形作るための市場インテリジェンスを導き出します。

ここで、セキュリティ専門家に最適な最高のインターネット データ検索エンジンをいくつか見てみましょう。

初段

Shodan は 、インターネットに接続されているデバイスのセキュリティ調査を行う大手検索エンジンです。世界中の何千人ものセキュリティ専門家、研究者、CERT、大企業などがこのツールを使用しています。

Webサイト以外にも、Webカメラ、IoTデバイス、冷蔵庫、建物、スマートTV、発電所などにもご利用いただけます。 Shodan は、インターネットに接続されているデバイス、その位置、およびそれらを使用している人々を検出するのに役立ちます。これにより、デジタル フットプリントを見つけ、ユーザーがインターネットを使用して直接アクセスできるネットワーク内のすべてのシステムを追跡できます。

経験に基づいたビジネスおよび市場インテリジェンスを実行して、製品を利用しているユーザーとその場所を理解することで、競争力を高めます。 Shodan のサーバーは世界中にあり、24 時間年中無休で利用できるため、最新のインテリジェンスを取得してデータを分析できます。

これは、特定の製品の潜在的な購入者、その製品を最も多く生産している国、またはセキュリティの脆弱性や攻撃によって最も影響を受けている企業について知るのに便利なツールです。 Shodan は、他のツールが Shodan のデータにアクセスできるようにパブリック API も提供します。 Nmap、Chrome、Firefox、FOCA、Maltego、Metasploit などの統合をサポートしています。

犯罪的知財

Criminal IP は 、革新的な IP ベースの検索システムと追跡テクノロジーを備えた、新進気鋭のセキュリティ OSINT 検索エンジンです。このシステムは、IP ベースのサイバー脅威インテリジェンスを使用して、悪意のある IP とリンク、フィッシング サイト、証明書、産業用制御システム、IoT、サーバー、CCTV、およびすぐ。

Criminal IP は、入力されたキーワードから検索結果を提供し、IP アドレスのバナー情報と照合します。さまざまなフィルターを使用して、検索結果をさらに絞り込みます。ユーザーは、SSL 証明書、オープンポート、脆弱性、IP 地理位置情報、さらには悪意のある IP アドレスを追跡するための不正使用記録も見つけることができます。

Criminal IP は現在、4 つの異なる検索モードを提供しています。

• アセット検索
• ドメイン検索
• 画像検索
• エクスプロイト検索

これは、すべての IT 資産の脅威レベルを評価する便利な総合ツールです。さらに、Criminal IP の API 統合により、企業や機関内のセキュリティ担当者は、攻撃者が内部資産に侵入するのをブロックし、知らないうちに攻撃面にさらされている可能性のある資産を監視することができます。

Criminal IP は現在、さまざまなプランを提供する正式サービスを開始しており、多くの機能はまだ無料です。

ズームアイ

中国初のサイバースペース検索エンジン ZoomEye は Knownsec を利用しています。 ZoomEye は、膨大な数のマッピング ノードと、IPv6、IPv4、およびサイト ドメイン名データベースに基づくグローバルな調査を通じて、多くのサービス プロトコルとポートを 24 時間年中無休でスキャンして検出することにより、ローカルまたは全体的なサイバースペースをマッピングします。

長年にわたる技術変革により、独自の中核となるサイバースペース検索エンジンを開発できるようになりました。このようにして、空間と時間にわたって動的にマッピングされた蓄積データの傾向分析を促進します。

ZoomEye のコンポーネント検索ナビゲーションを使用して、ターゲットのアセットを正確かつ迅速に検出できます。このために、ゲートウェイ、CDN、ビッグデータ、ボイスレコーダー、CMS、Web フレームワーク、ソフトウェア プラットフォームなど、複数の種類の機器を備えています。

特別なトピックに対して検索し、脆弱性の影響評価を確認することもできます。これらのトピックには、データベース、業界、ブロックチェーン、ファイアウォール、ルーター、ネットワーク ストレージ、カメラ、プリンター、WAF、ネットワーク ストレージなどが含まれており、レポートを確認して詳細なアイデアを把握してください。 ZoomEye は、1 か月あたり 10,000 件の結果に対して無料の料金プランを提供しています。有料プランは、30,000 件の結果に対して月額 35 ドルから始まります。

センシス

Censys REST API は、 セキュリティのためにデータ検索を実行するためのもう 1 つの安全で信頼できるオプションです。 Web インターフェイス経由でアクセスできるのと同じ情報に、この API を使用してプログラムでアクセスできます。

すべてのスクリプトによるアクセスを実行するには、このツールが必要です。 API エンドポイントには、API ID による HTTP による認証が必要です。これらは、以下を含む複数の API エンドポイントを提供します。

• Alexa Top Million、IPv4、および証明書のインデックスに対して検索を実行するための検索エンドポイント。その結果、エンドポイントには選択したフィールドの最新データが表示されます。
• View エンドポイントは、Web サイトのドメイン、ホストの IP アドレス、または証明書の SHA-256 フィンガープリントを取得した後、特定の Web サイト、ホスト、または証明書に関する構造化データを収集します。
• レポート エンドポイントを使用すると、特定のクエリに対して取得された結果の集計値の内訳を確認できます。
• バルク エンドポイントは、バルク証明書の SHA-256 フィンガープリントを取得すると、バルク証明書に関する構造化データを収集します。
• アカウント エンドポイントは、現在のクエリのクォータ使用量を含む、Censys のアカウント データを取得します。
• データ エンドポイントには、Censys からダウンロードできる情報のメタデータが表示されます。

グレイノイズ

GreyNoise のシンプルなインターフェイスを使用してデータ調査を開始します。 IP アドレスに関するデータを収集し、セキュリティ ツールを飽和させ、セキュリティ アナリストに心配する必要はないと伝えます。

GreyNoise の Rule It Out (RIOT) データセットは、ユーザーとビジネス アプリケーション (Slack、Microsoft 365 など) またはネットワーク サービス (DNS サーバーや CDN など) との間の通信コンテキストを提供します。この独創的な視点により、アナリストは自信を持って無害または無関係なアクティビティを無視し、実際の脅威を調査する時間を増やすことができます。

データは、SOAR、SIEM、TIP 統合、コマンドライン ツール、API を通じて提供されます。これに加えて、アナリストは上記のプラットフォームまたは GreyNoise の分析およびビジュアライザー ツールを使用してアクティビティを表示することもできます。インターネットをスキャンしているシステムが検出されると、デバイスが侵害されている可能性があるとすぐに警告されます。

セキュリティ チームは、GreyNoise クエリ言語 (GNQL) を使用してデータを調査することで、Web 上のトレードクラフトを発見できます。このツールは、CVE とタグを使用して動作を判断し、脅威インスタンスを表示します。また、数千の IP アドレスから収集したデータを強化および分析して、意図と方法を特定します。

セキュリティトレイル

SecurityTrails を使用すると、正確かつ包括的なデータでセキュリティを強化し、自信を持ってビジネス上の意思決定を行うことができます。 API は高速で常に利用できるため、時間を無駄にすることなく過去および現在のデータにアクセスできます。

完全にインデックスが作成され、いつでもアクセスできる DNS レコード履歴を表示できます。約 30 億の現在および過去の WHOIS データと WHOIS の変更から検索します。彼らはデータベースを毎日更新しており、現時点で 2 億 300 万以上のデータがあり、さらに増加し​​ています。

このデータを使用して、ドメイン名と Web サイトが実行されているテクノロジを検索します。毎月 10 億を超えるエントリからパッシブ DNS データ セットにアクセスできます。 IP、ホスト名、ドメインに関する最新の情報をリアルタイムで知ることもできます。

現在までに知られているすべてのサブドメインを見つけることもできます。 SecurityTrails は、インデックス付きのインテリジェンスとタグ付けを備えており、データの検索を簡単かつ迅速に行うことができます。 API を使用して、疑わしい DNS レコードの変更を見つけて相関関係を確認します。

レピュテーション スコアリング システムを通じて、データにアクセスして、悪意のある行為者とその IP およびドメインを阻止できます。コマンド & コントロール サーバーを追跡してマルウェア情報を取得し、脅威を追跡します。

オンライン詐欺調査を実行し、買収や合併を確認し、隠された詳細やオンライン資産を問題なく見つけます。ブランドの商標やその他の著作権素材が不正なドメインに使用されている場合を把握して、ブランドを保護します。

結論

サイバーセキュリティの問題は増加しているため、誰かが悪用される前に脆弱性を強化してデータとプライバシーを保護することが最善です。

したがって、これらのインターネット データ検索エンジンを使用して検索を実行し、攻撃者の一歩先を進み、より適切なビジネス上の意思決定を行ってください。