Сигурност

Какъв тип данни компаниите трябва да търсят в тъмната мрежа?

CIO Media

Тъмната мрежа – онази част от интернет пространството, която не е индексирана от търсачки като Google и която се използва за незаконни цели – не е всъщност толкова голяма. Според някои съществуват около 7 хил. сайта в TOR мрежата, а от ФБР твърдят, че там има около 800 нелегални интернет форуми в глобален мащаб.

Но макар че този брой не е толкова голям, именно тъмната мрежа е мястото, където основната част от престъпната онлайн дейност се случва. Затова за всяка компания, която иска да гарантира сигурността си, може да се окаже безценно да разбере какво точно се случва в тъмната мрежа.

Нова вълна от компании като Webhose, RepKnight, Terbium labs, Massive, Recorded Future, Sixgill, Hold Security и AlienVault добавят допълнителен слой към традиционните проучвания на заплахите и се опитват да направят търсенето в тъмната мрежа също толкова нормално, колкото и във всеки уебсайт в Google.

Но каква стойност носи следенето на тъмната мрежа за организациите и за тяхната сигурност?

Защо трябва компаниите да следят тъмната мрежа?

Основната полза от следенето на тъмната мрежа е това, че то може да даде ранно предупреждение, че организацията е компрометирана, още преди да се открият каквито и да било доказателство за това вътрешно в компанията. За сравнение в момента средното време за установяване на изтичане на данни от системите е 57,5 дни.

Голяма част от незаконната дейност там е свързана или с разменяне на съмнителни стоки във форуми, или с нелегално получаване на информация в сайтове като PasteBin. Това означава, че в тъмната мрежа могат да се намерят много индикатори, че дадена фирма е компрометирана. Дали се говори за нея във форумите в тъмната мрежа или имейл адрес на даден служител (или по-лошо, клиент) е споделен в сайт? Ако се открият такива данни, то определено може би е време да се разследват системите и да се потърсят индикации за пробив.

Webhose, част от базираната в Израел компания за мониторинг на социалните медии Buzzilla, взима информация както от тъмната, така и от обичайната мрежа и я превръща в машинно четими данни (обикновено JSON или XML), които след това могат да бъдат анализирани. Сред клиентите са компании като Salesforce, IBM и департаменти от правителството на САЩ.

Следенето на тъмната мрежа може също така да помогне на екипите по сигурността в компаниите да бъдат проактивни. Изследване на Recorded Future установява, че 75% от всички открити уязвими места се появяват първо онлайн. А колкото по-бързо подобни проблеми са известни, толкова по-скоро те ще могат да бъдат поправени.

Доклад на Gartner от 2016 разкрива, че недоволните служители са вербувани от престъпници в тъмната мрежа, за им помогнат с вътрешна информация, така че да се отмъсти на работодателя. Затова да се знае за всякакви потенциални вътрешни заплахи, преди те са приложени, може да предпази компанията от сериозни проблеми.

Какъв тип данни компаниите трябва да търсят в тъмната мрежа?

Компаниите трябва да търсят данни, които са свързани с техните организации. На много високо ниво това може да бъде просто споменаване на фирмата при комуникация в тъмната мрежа. Както беше отбелязано, това може да означава, че престъпниците или проявяват интерес към нея, или може би вече разполагат с нейни данни.

Следващата стъпка е да се търси вътрешна информация. Това може да включва потребителски имена и имейли, а също така документи, свързани с компанията, или лична информация на служители или клиенти. В тази връзка е особено важно да се преглеждат сайтове като Pastebin.


Какъв тип данни компаниите трябва да търсят в тъмната мрежа?

© CIO Media, Cio.bg

Третият етап е активно следене за малуер или други потенциални заплахи, които не са насочени конкретно към дадената организация, но могат да представляват опасност. Засилената видимост и събирането на адекватна информация от източници в тъмната мрежа помага на екипите по сигурността да увеличат защитите и да въведат правилните мерки.

Компании с различна големина и от всички индустрии могат да извлекат стойност от разглеждането на тъмната мрежа. Британският сайт за електронна търговия FishTankBank, който продава аквариуми, например започва да следи тъмната мрежа след хакерска атака. След първоначалната атака, компанията е била информирана, че част от чувствителните й данни са публикувани в тъмната мрежа и именно оттам е започнало всичко.

Комбиниране на технологии за заблуда със следене на тъмната мрежа

Подобно на всяка една нова тенденция в сигурността, това не е универсалното решение, което ще превърне дадената организация в неуязвима. Това е само още един инструмент, който може да помогне в непрекъсната борба между законния бизнес и киберпресътпниците. А ако се използва в комбинация с други инструменти за сигурност, може да бъде много полезен.

За да допълнят мониторинга на тъмната мрежа, компаниите могат да започнат да комбинират мониторинга с технологии за заблуда, например фалшиви профили в легитимните набори от данни. Подобни тактики за заблуждаване са полезни, стига резултатите се следят ефективно и се анализират, за да се направят адекватни изводи.

Престъпниците може би вече се оттеглят от десктоп тъмната мрежа

По същия начин, по който служителите на законните компании стават все по-мобилни, при киберпрестъпниците се наблюдава същата тенденция. Но тази промяната може да направи събирането на информация от тъмната мрежа по-трудно. Поради тази причина трябва да се разработят по-сложни методи за откриване на данни.

Специалистите предупреждават, че престъпниците непрекъснато преминават към нови платформи, което не е изненадващо. Все по-трудно обаче става получаването на първоначален достъп, който да позволи набавянето на нужната информация. Често вече достъпът се получава само срещу покана, а някои незаконни форуми понякога изискват първо да се извърши престъпление. Това на свой ред се превръща в основна етична бариера и повечето компании не искат да преминават тази граница.


X