12 инструментов мониторинга дарквеба

Что такое мониторинг дарквеба?

Мониторинг Dark Web (дарквеб, даркнет, темная паутина) — это услуга, часто предлагаемая поставщиками услуг кибербезопасности, которая сканирует дарквеб на предмет информации, относящейся к организации. Это программное обеспечение ищет и сканирует веб-сайты и форумы дарквеба, проверяя информацию вашей организации на предмет скомпрометированных наборов данных, которые продаются или обмениваются.

Dark Web — это место, где каждый CISO надеется, что данные его компании не окажутся. Dark Web, как правило, не представляет прямой угрозы для корпоративных сетей, состоит из сайтов, которые не индексируются популярными поисковыми системами, такими как Google, и включает в себя торговые площадки для данных, которые обычно получаются в результате кибератак, таких как скомпрометированные учетные записи пользователей, идентификационная информация или другая конфиденциальная корпоративная информация.

Получение оперативной разведывательной информации о том, какие данные предлагают эти сайты, имеет решающее значение для защиты от киберпреступников, использующих скомпрометированные учетные записи для осуществления атак, совершения мошенничества или проведения кампаний с использованием целевого фишинга или подмены бренда. Dark Web также является источником разведывательной информации об операциях, тактике и намерениях преступных групп. Существуют инструменты и сервисы, которые отслеживают dark web на предмет скомпрометированных данных и предоставляют критически важную разведку и видимость областей dark web, которые потенциально находятся вне вашего поля зрения.

Как работают инструменты мониторинга Dark Web?

Мониторинг Dark Web обычно включает в себя комбинацию программных инструментов, специально разработанных для исследователей безопасности, разбирающихся в тонкостях потенциальных угроз и социальной культуре преступного мира интернета. Программные инструменты могут быть размещены в известных тусовках злоумышленников для обмена техниками или скомпрометированными данными, компилируя эти данные в потоки, которые можно анализировать и каталогизировать. Исследователи безопасности помогают определять жизнеспособность угроз и содействовать расширению отслеживаемых “темных” веб-сайтов. Наконец, инструменты мониторинга могут действовать на основе каталогизированных данных, применяя наборы правил для оповещения администраторов или автоматически выполнять действия по исправлению для предотвращения дальнейшей компрометации.

Кому нужны инструменты мониторинга Dark Web?

Поскольку сайты Dark Web часто доступны только по приглашению, получение доступа обычно требует проникновения, маскируясь под злонамеренного пользователя или кого-то на рынке украденных личных данных или корпоративных данных. Для этого требуются лица или службы с наборами навыков, позволяющими им не только идентифицировать эти сайты, но и получать данные, имеющие отношение к защите корпоративных или личных данных.

Большинству компаний не нужно проводить исследования Dark Web напрямую. Вместо этого они могут использовать инструменты и сервисы, которые сканируют Dark Web. Такие инструменты, как расширенное обнаружение и реагирование (XDR) или такие сервисы, как управляемое обнаружение и реагирование (MDR), обычно принимают данные, собранные из источников в даркнете, для выявления скомпрометированных аккаунтов, расчета риска и предоставления контекста.

Аналитик Gartner Митчелл Шнайдер сообщил CSO, что некоторым отраслям, в частности правительству, финансовым учреждениям, определенным высококлассным компаниям в сфере ИТ-безопасности и некоторым другим, может потребоваться более прямой доступ к разведданным, которые можно получить только напрямую из источников в даркнете. Во многих случаях эти компании ищут что-то большее, чем утекшие учетные данные или корпоративные данные. Скорее, им нужна информация об источниках угроз, меняющихся векторах атак или эксплойтах.

По словам Шнайдера, другие сегменты бизнеса, такие как розничная торговля или фармацевтика, более восприимчивы к нетрадиционным атакам, таким как подделка бренда в форме поддельных доменов или фишинговых атак. По его мнению, мониторинг цифрового следа является особенно ценным инструментом и часто будет включать компонент даркнета. Кроме того, услуги по удалению являются естественным шагом за пределами мониторинга цифрового следа. Как правило, отдельные предприятия не будут иметь необходимых контактов с поставщиками интернет-услуг, платформами облачного хостинга и даже правоохранительными органами, чтобы осуществлять удаление самостоятельно. Услуги по защите от цифровых рисков (DRPS) прекрасно восполняют этот пробел, предлагая решения, которые предназначены для защиты вашего бренда посредством мониторинга — Интернета и даркнета — и более практических методов, таких как услуги по удалению сайтов.

Рассмотрим некоторые из самых популярных инструментов мониторинга даркнета.

Brandefense

Brandefense — это решение DRPS на основе ИИ, которое сканирует “поверхностный” и “темный” веб, чтобы собрать сведения о методах атак или утечках данных, сопоставляя эти данные и контекстуализируя их, а затем отправляя оповещения, когда инцидент имеет отношение к вашему бренду. Brandefense также может облегчить устранение субъектов угроз, если это станет необходимым, сохраняя вашу позицию безопасности в состоянии форсированного наступления, а не ожидая когда придется реагировать на активные атаки.

Безопасность руководителей высокого уровня — или VIP-персон — еще одна область внимания Brandefense, поскольку эти люди часто являются не только частью вашего корпоративного бренда, но и частой целью атак. Их имена и адреса электронной почты также часто используются в фишинговых атаках против сотрудников или клиентов.

CrowdStrike Falcon Adversary OverWatch

CrowdStrike сохраняет свои позиции в отрасли, несмотря на трудный период в июле 2024 года. Платформа Falcon Adversary OverWatch от CrowdStrike — это круглосуточная служба поиска угроз, которая объединяет экспертов по безопасности отрасли и ИИ для упреждающего выявления и пресечения деятельности злоумышленников в режиме реального времени. CrowdStrike Falcon Adversary OverWatch обеспечивает понимание и видимость ссылок в даркнете на ваши корпоративные данные, идентификационные данные и бренды, даже упреждающе блокируя угрозы до того, как они станут инцидентами.

CTM360 CyberBlindspot and ThreatCover

CTM360 предлагает два различных решения, которые отслеживают темную паутину, чтобы защитить вашу организацию от возникающих угроз. CyberBlindspot фокусируется на разведывательной информации, которая напрямую ссылается на ваши корпоративные активы. CyberBlindspot расширяет концепцию индикаторов компрометации (IOC), чтобы выявлять индикаторы предупреждения или индикаторы атаки, позволяя вам еще более активно определять проблемные области вашей сети. CyberBlindspot также использует глобальные партнерства CTM360 для предложения управляемого удаления и глобального уничтожения угроз (global threat disruption, GTD), позволяя вашему бизнесу отключать или прерывать деятельность злоумышленников, маскирующихся под ваш бренд.

ThreatCover предлагает аналитикам по безопасности инструменты для глубокого анализа потоков данных об угрозах, обеспечивая оптимальное качество данных и контекст, на основе которых группы реагирования могут инициировать реагирование на инциденты.

DarkOwl Vision UI

DarkOwl Vision UI обеспечивает упрощенную видимость данных даркнета, которые имеют отношение к вашему бизнесу. Vision UI поддерживает поиск в сопоставленных потоках данных даркнета с использованием стандартного текстового поиска, булевой логики для быстрого фокусирования на ключевых категориях, поддерживает до 47 языков и даже регулярные выражения. Возможности DarkOwl Vision UI выходят за рамки интерактивного поиска, предлагая функции для уведомлений и оповещений, а также показатели воздействия, которые пытаются количественно оценить воздействие на основе нескольких факторов и источников.

IBM X-Force Exchange

IBM X-Force Exchange — это в первую очередь платформа и сообщество для обмена данными, которые объединяют каналы угроз и разведки в интерактивную базу данных с возможностью поиска, которую также можно интегрировать в существующий стек безопасности с помощью API и автоматических оповещений. Многие из предлагаемых IBM инструментов бесплатны и даже не требуют регистрации, хотя вам нужно будет зарегистрироваться, чтобы настроить свой портал, сохраняя релевантные поисковые запросы и отслеживая каналы, относящиеся к соответствующим доменам и брендам. Доступ к API, расширенный анализ и премиум-отчеты по разведке угроз требуют подписки.

Malware Information Sharing Platform – MISP

Платформа обмена информацией о вредоносном ПО (MISP) — это платформа с открытым исходным кодом, созданная вокруг идеи общих данных разведки угроз. MISP включает программное обеспечение с открытым исходным кодом, которое может быть установлено в вашем центре обработки данных или на различных облачных платформах, и использует открытые протоколы и форматы данных, которые могут быть предоставлены другим пользователям MISP или интегрированы во все виды инструментов информационной безопасности. Фактически, поддержка интеграции MISP часто упоминается как функция других решений в этом списке. Хотя потоки угроз MISP не курируются так же, как коммерческие инструменты, это недорогой способ для корпораций развернуть внутреннее решение для мониторинга темной паутины.

Mandiant Digital Threat Monitoring

Mandiant Digital Threat Monitoring обеспечивает видимость разведданных, касающихся угроз и утечек учетных данных или других корпоративных секретов в открытом Интернете или темной паутине. Эти разведданные подкрепляются контекстом, предоставляемым посредством машинного обучения, что обеспечивает релевантные, приоритетные оповещения, которые облегчают процесс сортировки. В дополнение к мониторингу бренда (включая защиту VIP), Mandiant Digital Threat Monitoring предлагает мониторинг других предприятий, с которыми у вас есть доверительные отношения. Мониторинг этих доверенных партнеров позволяет вам дополнительно защитить свою цепочку поставок и предотвратить междоменные атаки, которые могут обойти существующие средства контроля безопасности.

Mandiant также предлагает Digital Threat Monitoring в качестве дополнительного модуля к своему Advantage Threat Intelligence, добавляя многие из этих же возможностей мониторинга Dark Web в ваши возможности по анализу угроз.

OpenCTI

OpenCTI — еще один вариант с открытым исходным кодом для сбора, управления и взаимодействия с разведывательными данными. Разработанный и принадлежащий Filigran, OpenCTI может быть развернут как контейнер Docker, что делает его платформенно-независимым, и имеет широкий спектр коннекторов для других платформ безопасности и программных инструментов для интеграции и обогащения потока данных OpenCTI.

Набор функций OpenCTI включает в себя контроль доступа на основе ролей для вашей команды информационной безопасности, модели данных на основе стандартов и атрибутивные данные, указывающие на источник находки. Автоматизация всех видов может быть включена с помощью клиента OpenCTI для Python, который предоставляет API OpenCTI со вспомогательными функциями и простой в использовании фреймворк, который позволяет быстро разрабатывать пользовательскую логику на основе данных событий.

Rapid7 Threat Command

Threat Command от Rapid7 заменяет точечные решения на комбинированную внешнюю разведку угроз, защиту от цифровых рисков, управление индикаторами компрометации (IOC) и исправление. Частью Threat Command является функция Digital Risk Protection, которая ищет в даркнете потенциальные опасности до того, как они повлияют на организацию. Функция предлагает оповещения об угрозах, влияющих на ваш бизнес, проактивно исследует вредоносное ПО, тактики, методы и процедуры (TTP), фишинговые мошенничества и других субъектов угроз. Этот вид разведки помогает специалистам по безопасности быть в курсе развивающихся методов атак, предоставляя средства для корректировки защиты и обучения пользователей передовым методам.

Recorded Future Intelligence Cloud Platform

Платформа разведывательного облака , предлагаемая Recorded Future, обеспечивает постоянный мониторинг более 300 государственных субъектов, 3 миллионов известных криминальных форумов, миллиардов доменов и сотен миллионов IP-адресов в Интернете и даркнете. Эти титанические разведывательные данные поступают в инструменты анализа на основе ИИ, которые классифицируют и применяют контекст к набору данных, в конечном итоге выводя его на поверхность в модулях, которые фокусируются на вашем корпоративном бренде, угрозах и уязвимостях, идентификационных данных и нескольких других областях. Каждый модуль выводит на поверхность полезную разведывательную информацию, позволяя вам расставлять приоритеты в ответе на основе бизнес-потребностей и рисков, минимизируя время реагирования и способствуя эффективному исправлению.

SOCRadar Advanced Dark Web Monitoring

SOCRadar предлагает несколько услуг и инструментов для специалистов по безопасности, включая бесплатную лицензию на инструмент Cyber ​​Threat Intelligence, который вы можете использовать для получения ограниченной, но ценной информации о скомпрометированных учетных данных, подделке бренда или уязвимостях в вашем публичном следе. Для более полного автоматизированного мониторинга вам нужно будет подписаться на услугу Advanced Dark Web Monitoring от SOCRadar. Advanced Dark Web Monitoring предлагает мониторинг персональных данных сотрудников, а также отслеживание скомпрометированных учетных записей VIP-персон и выполнение мониторинга репутации и обнаружения фишинга. SOCRadar даже предлагает мониторинг каналов Telegram и Discord и поисковой системы dark web.

ZeroFox Dark Web Monitoring

ZeroFox Dark Web Monitoring — еще одно программное обеспечение, призванное упростить процесс обнаружения рисков в темной сети. Постоянный мониторинг скомпрометированных учетных данных, личной информации сотрудников, конфиденциальной корпоративной информации и интеллектуальной собственности — это только начало для ZeroFox. Контекст, созданный путем анализа методов атак, информирует о мерах, которые вы можете предпринять для защиты своего бизнеса, а оповещения информируют вас о рисках для ваших брендов, чтобы держать вас в курсе возникающих угроз.

Тим Феррилл

Источник: https://www.csoonline.com/article/574585/10-dark-web-monitoring-tools.html