导语:暗网监控并不是“可操作性低”的销售噱头,而是有效信息安全计划的关键组成部分,可帮助企业识别对其网络安全态势的外部威胁。
“暗网”一词总让人想起网络犯罪、间谍活动等阴暗面。其实,“暗网”网站只是以 .onion 结尾的网站,需要通过特殊的浏览器进行访问。
有网络安全公司长期以来一直在销售“暗网监控”软件包,每个软件包的含义都略有不同。
在许多情况下,网络安全研究人员一直在积极寻找暗网的价值,特别是当供应商以综合包的形式出售时,但这样其价值往往与企业的安全需求不一致。在许多情况下,初创公司和其他小型组织往往因为规模较小而成为暗网目标。
接下来,本文将探讨暗网监控的安全价值。
暗网违规监控
第一个也是最重要的区别之一是监视 .onion 站点及其上托管的文件。您是否曾收到过关于您的网站或应用程序凭据遭到泄露的警报?当威胁分子破坏服务(或发现暴露的云存储桶)时,他们通常会获得该服务用户凭据的庞大数据库。
新的被破坏的凭据集以大文件的形式分布在命名的Breach论坛和其他 .onion网站上。
然后,其他威胁分子就能够购买这些数据,并针对用户注册的其他网站重放被破坏的凭据。例如,如果威胁分子知道您最近在企业会计应用程序上使用了电子邮件地址和密码,他们可以在企业银行网站上尝试使用相同的凭据。这种形式的监控是暗网监控最基本但也是最可操作的形式之一。
威胁分子在暗网论坛上打广告,出售超过 2.5 亿人的数据
暗网论坛、市场和勒索软件监控
监控的下一个级别是收集和存档暗网页的实际内容。这包括有关网络犯罪、策略、技术和程序的对话,以及威胁分子正在出售的企业访问权限列表等内容。
主要针对复杂的企业,这些企业不仅需要识别泄露的凭据,而且更需主动了解网络犯罪生态系统及其演变方式。
监控暗网上的初始访问代理
在某些情况下,有机会阻止正在进行的攻击。例如,初始访问经纪人侵入公司,然后在专门的暗网论坛上转售获得的访问权限。确定您的企业或第三方拥有正在出售的网络访问权限可能拥有巨大价值。
初始访问经纪人出售一家航空航天和国防公司的访问权资料
企业可以从暗网监控中获得的另一个关键价值领域是监控。近年来,勒索软件组织越来越多地转向双重和三重勒索计划,旨在对受害者施加最大压力,要求其支付赎金。
因此,勒索软件组织现在会将窃取数据进行加密,如果受害者不付款,就会将其发布到暗网泄露网站上。
人们一般会意识到自己是否是勒索软件的受害者,许多企业发现第三方在事后数周或数月后泄露了大量敏感文件。
监控赎金泄漏站点具有巨大价值,特别是如果您的暗网监控平台可以解析文件档案并匹配单个文件名时。
目前,俄罗斯市场是 2024 年需要监控的重要来源。在“窃取日志”市场,威胁分子在此出售个人窃取日志。
俄罗斯市场(盗窃原木的市场)的屏幕截图
窃取日志是信息窃取者恶意软件感染的结果,包括单个浏览器保存的所有凭据。
例如,建议监控对公司域的访问,以识别也包含对公司凭据的访问权限的列表。窃取者日志是 2024 年威胁分子和勒索软件组织的首要攻击媒介。
窃取者日志中存储的信息包括保存到浏览器的密码
扩展暗网:监控 Telegram、窃取者日志和网络犯罪生态系统的演变
网络犯罪生态系统不再局限于 Tor 上的 .onion 网站。现在威胁分子现在经常使用 Telegram 等即时消息应用程序实施网络犯罪、出售数据并相互交互。
现在有数千个 Telegram 频道一心专注于 Telegram 上的银行欺诈、账户被盗、凭证盗窃和窃取者日志分发。
有安全研究机构跟踪有 6000 多个网络犯罪 Telegram 频道,每周监控有来自 Telegram 的超过一百万个窃取者日志。Telegram、其他社交媒体和 P2P 即时通讯应用程序绝对是网络犯罪生态系统增长的关键载体。
从数量、可操作性和安全价值来看,对窃取者日志生态系统进行全面监控是绝对必要的。估计 5%-10% 的窃取者日志拥有企业凭据,在某些情况下,CRM、企业银行账户、VPN 和 RDP 访问权限已泄露到 Telegram 中。
暗网监控并不是“可操作性低”的销售噱头,而是有效信息安全计划的关键组成部分,可帮助企业识别对其网络安全态势的外部威胁。
文章翻译自:https://www.bleepingcomputer.com/news/security/dark-web-monitoring-whats-the-value/如若转载,请注明原文地址