暗网是每个CISO都需警惕的网络,暗网中的网站是普通搜索引擎所搜不到的,而暗网中大部分的数据通常都是那些因网络攻击而遭窃的数据,如泄露的用户帐户、身份信息或其他公司机密等。
暗网是网络犯罪集团进行攻击、活动和销售的场地,因此可以使用相关工具来监控暗网中所泄露的数据。而由于暗网通常仅受邀访问,因此需要伪装成恶意用户,以获取被盗的公司数据,这同时也就需要具备相关的技术和服务,使他们不仅能够识别这些网站,而且能够被暗网接纳。
国外专家提出,大多数企业不需要直接进行暗网研究,他们可以利用扫描工具直接查询暗网,比如扩展检测和响应(XDR)或管理检测和响应的服务(MDR),它们通常能从暗网上收集数据,以识别受损账户、计算风险。
Gartner分析师Mitchell Schneider表示,政府、金融机构、某些亟需IT安全的企业,可能更需要直接从暗网上获得相关情报,比如寻找泄露的凭证或公司数据,以及数据以外各种重要的信息,像有关威胁行为者、不断演变的攻击载体或漏洞利用的情报等。
Schneider认为,零售或制药等其他业务部门更容易受到非传统攻击,如假域名形式的品牌欺骗或网络钓鱼攻击。在他看来,数字足迹监控是一个特别有价值的工具,其通常会包含暗网组件。而数字风险保护服务(DRPS)通过提供基于服务的解决方案很好地填补了外卖时所带来的足迹风险。
以下是一些流行的暗网监控工具。
Brandefense是一种人工智能驱动的DRPS解决方案,它可以同时扫描表面网络和暗网络,以收集攻击方法或数据泄露的详细信息,再将这些数据关联起来,于安全事件发生时为组织提供警报。Brandefense还可以在必要时对威胁行为者采取主动策略,保持安全态势向前倾斜,而不是只会被动响应。
高级管理人员或VIP的安全是Brandefense的侧重点,因为这些人不仅是公司品牌的一部分,也是黑客们的主要目标,他们的名字、电子邮件经常会被用来进行网络钓鱼攻击。
CTM360提供了两种不同的解决方案,都可用来监控暗网,以保护组织免受威胁。CyberBlindspot专注于直接引用企业资源来扩展折衷指标(IOC),以此来暴露警告指标或攻击指标,使组织能够更主动地识别所关注的领域。
ThreatOver为安全分析人员提供了“可深入了解威胁情报源”的工具,从而可让组织拥有最佳的数据质量和网络环境,响应团队可以从中启动事件响应。CTM360还可以通过其Takedon++服务促进国际上的各种拆卸。
IBM X-Force Exchange是一个数据共享平台,它可将威胁和情报信息输入到交互式、可搜索的数据库中,该数据库还可以通过API和自动警报,将数据集成到现有的安全堆栈中。IBM提供的许多工具都是免费的,甚至不需要注册。但其中的API访问、高级分析和高级威胁情报报告需要订阅。
IntSights威胁情报平台为IOC提供了全面的外部威胁情报和监控。IntSights是Rapid7家族的一部分,它可在暗网中挖掘威胁情报,如攻击战术、技术和程序,还可以挖掘出威胁行为者的名单,以及恶意软件的变体。这些情报有助于安全从业人员了解不断发展的攻击手段,并提供了调整防御的措施,介绍了该如何更好的培训用户。IntSights的产品提供了额外的窗口,让组织可以在黑网上进行关于公司品牌或域名的对话,让组织有机会主动应对威胁,而不是等着被攻击。
恶意软件信息共享平台(MISP)是一个开源平台,其围绕共享威胁情报数据的理念而形成。MISP包含了可安装的数据中心和各种云平台上的开源软件,并可与其他MISP用户共享在各种信息安全工具中的开源协议和数据格式。虽然MISP威胁流的管理方式与商业工具不同,但对于企业来说,这是一种低成本的暗网监控解决方案。
Mandiant Digital Threat monitoring提供了对暗网上的威胁、泄露凭证或其他公司机密等情报的可见性。除了品牌监控,Mandiant Digital Threat monitoring还提供了对组织其他业务的监控,通过监控这些受信任的合作伙伴,组织可以进一步保护供应链,并防止可能会绕过现有安全控制的跨域攻击。
Mandiant还将数字威胁监控作为其Advantage Threat Intelligence的一个附加模块,可将许多相同的暗网监控功能引入到组织的威胁情报能力中。
OpenCTI是另一个开源选项,由Filigran开发,OpenCTI可以作为Docker容器部署,使其不受平台限制。OpenCTI具备大量可连接到其他安全平台和软件工具的连接器,以集成和丰富OpenCTI数据流。
OpenCTI的功能包括为企业的信息安全团队提供基于角色的访问控制、基于标准的数据模型和可指示查找数据的来源。使用OpenCTI客户端for Python可以实现所有类型的自动化,该客户端公开了OpenCTI API和函数助手,以及易于使用的框架,该框架支持自定义逻辑的快速开发。
Palo Alto Networks是网络安全领域的先驱者,而Auto Focus是其产品组合中的一个关键部分。AutoFocus将深入的背景和洞察力带到了最前沿,可使安全分析人员能对事件进行分类并确定响应工作的优先级。Palo Alto Networks不仅能从暗网上的数据存储库里收集信息,还能将供应商全球设备和服务足迹中消耗的数据进行关联并分析。
Recorded Future提供的智能云平台,对300多个国家级黑客、300万个已知犯罪论坛、数十亿个域名以及暗网上数亿个IP地址进行过持续监控。这些惊人的情报数据被送入其内的分析工具,这些工具对数据海进行了分类并应用上下文,最后再将分析好的数据放进那些关注企业品牌、威胁、漏洞、身份以及其他领域的各大模块,每个模块都具备智能化操作,可使组织能够根据业务需求和风险确定响应的优先级。
SOCRadar为安全专业人员提供多种服务和工具,包括各种免费工具,组织可以使用这些工具对域名或IP地址进行手动检查。如果想获得更全面的监控,组织需要订阅SOCRadar的RiskPrime服务。RiskPrime提供对PII(个人身份信息)的监控,同时还能跟踪泄露的VIP账户,并执行信誉监控和网络钓鱼检测。组织可通过RiskPrime获得下载服务。