Man
Professional
- Messages
- 2,963
- Reaction score
- 486
- Points
- 83
Предприятия, которые хотят опередить утечки данных и взломы, могут воспользоваться инструментами мониторинга даркнета и сканировать персонально идентифицируемую информацию, а также реагировать на атаки. Вот список из 10 таких инструментов.
Dark Web — это место, где каждый CISO надеется, что данные его компании не окажутся. Dark Web, как правило, не представляет прямой угрозы для корпоративных сетей, состоит из сайтов, которые не индексируются популярными поисковыми системами, такими как Google, и включает в себя торговые площадки для данных, которые обычно получаются в результате кибератак, таких как скомпрометированные учетные записи пользователей, идентификационная информация или другая конфиденциальная корпоративная информация.
Получение оперативной разведки о том, какие данные предлагают эти сайты, имеет решающее значение для защиты от киберпреступников, использующих скомпрометированные учетные записи для осуществления атак, совершения мошенничества или проведения кампаний с использованием целевого фишинга или подмены бренда. Темная паутина также является источником разведывательной информации об операциях, тактике и намерениях преступных групп. Существуют инструменты и сервисы, которые отслеживают темную паутину на предмет скомпрометированных данных и предоставляют критически важную разведывательную информацию и видимость областей темной паутины, которые потенциально находятся вне вашего поля зрения.
Большинству компаний не нужно проводить исследования даркнета напрямую. Вместо этого они могут использовать инструменты и сервисы, которые сканируют даркнет. Такие инструменты, как расширенное обнаружение и реагирование (XDR) или такие сервисы, как управляемое обнаружение и реагирование (MDR), обычно принимают данные, собранные из источников в даркнете, для выявления скомпрометированных аккаунтов, расчета риска и предоставления контекста.
Аналитик Gartner Митчелл Шнайдер сообщил CSO, что некоторым отраслям, в частности правительству, финансовым учреждениям, определенным высококлассным компаниям в сфере ИТ-безопасности и некоторым другим, может потребоваться более прямой доступ к разведданным, которые можно получить только напрямую из источников в даркнете. Во многих случаях эти компании ищут что-то большее, чем утекшие учетные данные или корпоративные данные. Скорее, им нужна информация об источниках угроз, меняющихся векторах атак или эксплойтах.
По словам Шнайдера, другие сегменты бизнеса, такие как розничная торговля или фармацевтика, более восприимчивы к нетрадиционным атакам, таким как подделка бренда в форме поддельных доменов или фишинговых атак. По его мнению, мониторинг цифрового следа является особенно ценным инструментом и часто будет включать компонент даркнета. Кроме того, услуги по удалению являются естественным шагом за пределами мониторинга цифрового следа. Как правило, отдельные предприятия не будут иметь необходимых контактов с поставщиками интернет-услуг, платформами облачного хостинга и даже правоохранительными органами, чтобы осуществлять удаление самостоятельно. Услуги по защите от цифровых рисков (DRPS) прекрасно заполняют этот пробел, предлагая основанные на услугах решения, которые предназначены для защиты вашего бренда посредством мониторинга — Интернета, поверхностного веба и даркнета — и более практических методов, таких как услуги по удалению сайтов.
Это некоторые из самых популярных инструментов мониторинга даркнета.
Безопасность руководителей высокого уровня — или VIP-персон — еще одна область внимания Brandefense, поскольку эти люди часто являются не только частью вашего корпоративного бренда, но и частой целью атак. Их имена и адреса электронной почты также часто используются в фишинговых атаках против сотрудников или клиентов.
ThreatCover предлагает аналитикам по безопасности инструменты для глубокого анализа потоков данных об угрозах, обеспечивая оптимальное качество данных и контекст, на основе которых группы реагирования могут инициировать реагирование на инциденты.
Mandiant также предлагает Digital Threat Monitoring в качестве дополнительного модуля к своему Advantage Threat Intelligence, добавляя многие из этих же возможностей мониторинга Dark Web в ваши возможности по анализу угроз.
Набор функций OpenCTI включает в себя контроль доступа на основе ролей для вашей команды по информационной безопасности, модели данных на основе стандартов и атрибутивные данные, указывающие на источник находки. Автоматизация всех видов может быть включена с помощью клиента OpenCTI для Python, который предоставляет API OpenCTI со вспомогательными функциями и простой в использовании фреймворк, который позволяет быстро разрабатывать пользовательскую логику на основе данных событий.
Источник
Что такое мониторинг даркнета?
Мониторинг темной паутины — это услуга, часто предлагаемая поставщиками услуг кибербезопасности, которая сканирует темную паутину на предмет информации, относящейся к организации. Это программное обеспечение сканирует и ищет веб-сайты и форумы темной паутины, проверяя информацию вашей организации на предмет скомпрометированных наборов данных, которые продаются или обмениваются.Dark Web — это место, где каждый CISO надеется, что данные его компании не окажутся. Dark Web, как правило, не представляет прямой угрозы для корпоративных сетей, состоит из сайтов, которые не индексируются популярными поисковыми системами, такими как Google, и включает в себя торговые площадки для данных, которые обычно получаются в результате кибератак, таких как скомпрометированные учетные записи пользователей, идентификационная информация или другая конфиденциальная корпоративная информация.
Получение оперативной разведки о том, какие данные предлагают эти сайты, имеет решающее значение для защиты от киберпреступников, использующих скомпрометированные учетные записи для осуществления атак, совершения мошенничества или проведения кампаний с использованием целевого фишинга или подмены бренда. Темная паутина также является источником разведывательной информации об операциях, тактике и намерениях преступных групп. Существуют инструменты и сервисы, которые отслеживают темную паутину на предмет скомпрометированных данных и предоставляют критически важную разведывательную информацию и видимость областей темной паутины, которые потенциально находятся вне вашего поля зрения.
Как работают инструменты мониторинга даркнета?
Мониторинг темной паутины обычно включает в себя комбинацию программных инструментов, специально разработанных для мониторинга и исследователей безопасности, разбирающихся в тонкостях потенциальных угроз и социальной культуре преступного мира Интернета. Программные инструменты могут быть выпущены на известных тусовках для злоумышленников, чтобы обмениваться методами или скомпрометированными данными, компилируя эти данные в потоки, которые можно анализировать и каталогизировать. Исследователи безопасности помогают определять жизнеспособность угроз и содействовать расширению отслеживаемых темных веб-сайтов. Наконец, инструменты мониторинга могут действовать на основе каталогизированных данных, применяя наборы правил для оповещения администраторов или автоматически выполнять действия по исправлению для предотвращения дальнейшей компрометации.Кому нужны инструменты мониторинга даркнета?
Поскольку сайты даркнета часто доступны только по приглашению, получение доступа обычно требует проникновения, маскируясь под злонамеренного пользователя или кого-то на рынке украденных личных данных или корпоративных данных. Для этого требуются лица или службы с наборами навыков, позволяющими им не только идентифицировать эти сайты, но и получать данные, имеющие отношение к защите корпоративных личных данных или данных.Большинству компаний не нужно проводить исследования даркнета напрямую. Вместо этого они могут использовать инструменты и сервисы, которые сканируют даркнет. Такие инструменты, как расширенное обнаружение и реагирование (XDR) или такие сервисы, как управляемое обнаружение и реагирование (MDR), обычно принимают данные, собранные из источников в даркнете, для выявления скомпрометированных аккаунтов, расчета риска и предоставления контекста.
Аналитик Gartner Митчелл Шнайдер сообщил CSO, что некоторым отраслям, в частности правительству, финансовым учреждениям, определенным высококлассным компаниям в сфере ИТ-безопасности и некоторым другим, может потребоваться более прямой доступ к разведданным, которые можно получить только напрямую из источников в даркнете. Во многих случаях эти компании ищут что-то большее, чем утекшие учетные данные или корпоративные данные. Скорее, им нужна информация об источниках угроз, меняющихся векторах атак или эксплойтах.
По словам Шнайдера, другие сегменты бизнеса, такие как розничная торговля или фармацевтика, более восприимчивы к нетрадиционным атакам, таким как подделка бренда в форме поддельных доменов или фишинговых атак. По его мнению, мониторинг цифрового следа является особенно ценным инструментом и часто будет включать компонент даркнета. Кроме того, услуги по удалению являются естественным шагом за пределами мониторинга цифрового следа. Как правило, отдельные предприятия не будут иметь необходимых контактов с поставщиками интернет-услуг, платформами облачного хостинга и даже правоохранительными органами, чтобы осуществлять удаление самостоятельно. Услуги по защите от цифровых рисков (DRPS) прекрасно заполняют этот пробел, предлагая основанные на услугах решения, которые предназначены для защиты вашего бренда посредством мониторинга — Интернета, поверхностного веба и даркнета — и более практических методов, таких как услуги по удалению сайтов.
Это некоторые из самых популярных инструментов мониторинга даркнета.
Защита бренда
Brandefense — это решение DRPS на основе ИИ, которое сканирует поверхностный и темный веб, чтобы собрать сведения о методах атак или утечках данных, сопоставляя эти данные и контекстуализируя их, а затем отправляя оповещения, когда инцидент имеет отношение к вашему бренду. Brandefense также может облегчить устранение субъектов угроз, если это станет необходимым, сохраняя вашу позицию безопасности в состоянии форсированного наступления, а не ожидая ответа на активные атаки.Безопасность руководителей высокого уровня — или VIP-персон — еще одна область внимания Brandefense, поскольку эти люди часто являются не только частью вашего корпоративного бренда, но и частой целью атак. Их имена и адреса электронной почты также часто используются в фишинговых атаках против сотрудников или клиентов.
CrowdStrike Falcon Противник OverWatch
CrowdStrike сохраняет свои позиции в отрасли, несмотря на трудный период в июле 2024 года. Платформа Falcon Adversary OverWatch от CrowdStrike — это круглосуточная служба поиска угроз, которая объединяет экспертов по безопасности отрасли и ИИ для упреждающего выявления и пресечения деятельности злоумышленников в режиме реального времени. CrowdStrike Falcon Adversary OverWatch обеспечивает понимание и видимость ссылок в даркнете на ваши корпоративные данные, идентификационные данные и бренды, даже упреждающе блокируя угрозы до того, как они станут инцидентами.CTM360 CyberBlindspot и ThreatCover
CTM360 предлагает два различных решения, которые отслеживают темную паутину, чтобы защитить вашу организацию от возникающих угроз. CyberBlindspot фокусируется на разведке, которая напрямую ссылается на ваши корпоративные активы. CyberBlindspot расширяет концепцию индикаторов компрометации (IOC), чтобы выявлять индикаторы предупреждения или индикаторы атаки, позволяя вам еще более активно определять проблемные области вашей сети. CyberBlindspot также использует глобальные партнерства CTM360 для предложения управляемого удаления и глобального нарушения угроз (GTD), позволяя вашему бизнесу отключать или прерывать деятельность злоумышленников, маскирующихся под ваш бренд.ThreatCover предлагает аналитикам по безопасности инструменты для глубокого анализа потоков данных об угрозах, обеспечивая оптимальное качество данных и контекст, на основе которых группы реагирования могут инициировать реагирование на инциденты.
Пользовательский интерфейс DarkOwl Vision
DarkOwl Vision UI обеспечивает упрощенную видимость данных даркнета, которые имеют отношение к вашему бизнесу. Vision UI поддерживает поиск в сопоставленных потоках данных даркнета с использованием стандартного текстового поиска, булевой логики для быстрого фокусирования на ключевых категориях, поддерживает до 47 языков и даже регулярные выражения. Возможности DarkOwl Vision UI выходят за рамки интерактивного поиска, предлагая функции для уведомлений и оповещений, а также показатели воздействия, которые пытаются количественно оценить воздействие на основе нескольких факторов и источников.IBM X-Force Exchange
IBM X-Force Exchange — это в первую очередь платформа и сообщество для обмена данными, объединяющие каналы угроз и разведки в интерактивную базу данных с возможностью поиска, которую также можно интегрировать в существующий стек безопасности через API и автоматические оповещения. Многие из предлагаемых IBM инструментов бесплатны и даже не требуют регистрации, хотя вам нужно будет зарегистрироваться, чтобы настроить свой портал, сохраняя релевантные поисковые запросы и отслеживая каналы, относящиеся к соответствующим доменам и брендам. Доступ к API, расширенный анализ и премиум-отчеты по разведке угроз требуют подписки.Платформа обмена информацией о вредоносных программах – MISP
Платформа обмена информацией о вредоносном ПО (MISP) — это платформа с открытым исходным кодом, созданная вокруг идеи общих данных разведки угроз. MISP включает программное обеспечение с открытым исходным кодом, которое может быть установлено в вашем центре обработки данных или на различных облачных платформах, и использует протоколы и форматы данных с открытым исходным кодом, которые могут быть предоставлены другим пользователям MISP или интегрированы во все виды инструментов информационной безопасности. Фактически, поддержка интеграции MISP часто упоминается как функция других решений в этом списке. Хотя потоки угроз MISP не курируются так же, как коммерческие инструменты, это недорогой способ для корпораций развернуть внутреннее решение для мониторинга темной паутины.Мониторинг цифровых угроз Mandiant
Mandiant Digital Threat Monitoring обеспечивает видимость разведданных, касающихся угроз и утечек учетных данных или других корпоративных секретов в открытом Интернете или темной паутине. Эти разведданные подкрепляются контекстом, предоставляемым посредством машинного обучения, что обеспечивает релевантные, приоритетные оповещения, которые облегчают процесс сортировки. В дополнение к мониторингу бренда (включая защиту VIP), Mandiant Digital Threat Monitoring предлагает мониторинг других предприятий, с которыми у вас есть доверительные отношения. Мониторинг этих доверенных партнеров позволяет вам дополнительно защитить свою цепочку поставок и предотвратить междоменные атаки, которые могут обойти существующие средства контроля безопасности.Mandiant также предлагает Digital Threat Monitoring в качестве дополнительного модуля к своему Advantage Threat Intelligence, добавляя многие из этих же возможностей мониторинга Dark Web в ваши возможности по анализу угроз.
OpenCTI
OpenCTI — еще один вариант с открытым исходным кодом для сбора, управления и взаимодействия с разведывательными данными. Разработанный и принадлежащий Filigran, OpenCTI может быть развернут как контейнер Docker, что делает его платформенно-независимым, и имеет широкий спектр коннекторов для других платформ безопасности и программных инструментов для интеграции и обогащения потока данных OpenCTI.Набор функций OpenCTI включает в себя контроль доступа на основе ролей для вашей команды по информационной безопасности, модели данных на основе стандартов и атрибутивные данные, указывающие на источник находки. Автоматизация всех видов может быть включена с помощью клиента OpenCTI для Python, который предоставляет API OpenCTI со вспомогательными функциями и простой в использовании фреймворк, который позволяет быстро разрабатывать пользовательскую логику на основе данных событий.
Rapid7 Угроза Командования
Threat Command от Rapid7 заменяет точечные решения на комбинированную внешнюю разведку угроз, защиту от цифровых рисков, управление индикаторами компрометации (IOC) и исправление. Частью Threat Command является функция Digital Risk Protection, которая ищет в даркнете потенциальные опасности до того, как они повлияют на организацию. Функция предлагает оповещения об угрозах, влияющих на ваш бизнес, проактивно исследует вредоносное ПО, тактики, методы и процедуры (TTP), фишинговые мошенничества и других субъектов угроз. Этот вид разведки помогает специалистам по безопасности быть в курсе развивающихся методов атак, предоставляя средства для корректировки защиты и обучения пользователей передовым методам.Облачная платформа Recorded Future Intelligence
Платформа разведывательного облака, предлагаемая Recorded Future, обеспечивает постоянный мониторинг более 300 государственных субъектов, 3 миллионов известных криминальных форумов, миллиардов доменов и сотен миллионов IP-адресов в Интернете и даркнете. Эти титанические разведывательные данные поступают в инструменты анализа на основе ИИ, которые классифицируют и применяют контекст к набору данных, в конечном итоге выводя его на поверхность в модулях, которые фокусируются на вашем корпоративном бренде, угрозах и уязвимостях, идентификационных данных и нескольких других областях. Каждый модуль выводит на поверхность полезную разведывательную информацию, позволяя вам расставлять приоритеты в ответе на основе бизнес-потребностей и рисков, минимизируя время реагирования и способствуя эффективному исправлению.Расширенный мониторинг темной паутины SOCRadar
SOCRadar предлагает несколько услуг и инструментов для специалистов по безопасности, включая бесплатную лицензию на инструмент Cyber Threat Intelligence, который вы можете использовать для получения ограниченной, но ценной информации о скомпрометированных учетных данных, подделке бренда или уязвимостях в вашем публичном следе. Для более полного автоматизированного мониторинга вам нужно будет подписаться на услугу Advanced Dark Web Monitoring от SOCRadar. Advanced Dark Web Monitoring предлагает мониторинг PII (лично идентифицируемой информации) сотрудников, а также отслеживание скомпрометированных учетных записей VIP и выполнение мониторинга репутации и обнаружения фишинга. SOCRadar даже предлагает мониторинг каналов Telegram и Discord и поисковой системы dark web.Мониторинг темной паутины ZeroFox
ZeroFox Dark Web Monitoring — еще одно программное обеспечение, призванное упростить процесс обнаружения рисков в темной сети. Постоянный мониторинг скомпрометированных учетных данных, личной информации сотрудников или конфиденциальной корпоративной интеллектуальной собственности — это только начало для ZeroFox. Контекст, созданный путем анализа методов атак, информирует о защитных мерах, которые вы можете предпринять для защиты своего бизнеса, а оповещения информируют вас о рисках для ваших брендов, чтобы держать вас в курсе возникающих угроз.Источник
