Вам будет сложно найти организацию, которая не занимается активным мониторингом сети — ключевым аспектом повседневной деятельности по обеспечению безопасности. Команды безопасности постоянно отслеживают активность своей сети на предмет необычных моделей трафика, которые могут указывать на угрозу.
Однако, если вы спросите среднестатистическую команду безопасности, отслеживают ли они трафик даркнета, входящий и исходящий из своей сети, вы можете получить совсем другую картину. Подавляющее большинство организаций не отслеживают активно трафик из даркнета, поступающий в их общедоступную сеть, или трафик, покидающий их сеть и попадающий в даркнет. Для служб безопасности это может стать важной упущенной возможностью обнаружить угрозу или развивающуюся атаку.
У этого трафика очень мало «безобидных» причин, что делает его очень мощным индикатором того, что злоумышленник планирует атаку на организацию. Трафик даркнета может не только поднять тревогу, когда инцидент неизбежен, но также предоставить важную информацию о том, какая именно вредоносная деятельность имеет место и какую тактику использует злоумышленник.
Чем раньше специалисты по кибербезопасности обнаружат вредоносную активность, тем выше вероятность остановить атаку еще до того, как она сможет принять форму. Таким образом, раннее предупреждение посредством мониторинга даркнета является чрезвычайно ценным инструментом для служб безопасности, которые знают, на какие признаки следует обращать внимание.
Старший инженер по анализу угроз в компании Searchlight Cyber, занимающейся разведкой даркнета.
Содержание
Разъяснение даркнета
Анонимность, обеспечиваемая даркнетом, обеспечивает киберпреступникам идеальное прикрытие для проведения разведывательных кампаний против организаций, которые они хотят атаковать. Киберпреступники часто исследуют сети на наличие уязвимостей и уязвимостей, определяя их точки входа для более серьезных кибератак. Таким образом, выявление трафика из даркнета в вашу сеть может служить эффективным средством обнаружения злонамеренных намерений и позволить организациям принимать превентивные меры безопасности.
В определенных обстоятельствах трафик даркнета для вашей организации безвреден, особенно если он идет в общедоступную инфраструктуру, такую как веб-сайт (это может быть кто-то, посещающий ваш сайт через даркнет по соображениям конфиденциальности). Однако если в вашу сеть приходит внезапное увеличение трафика из темной паутины, особенно в ее части, которые не являются общедоступными, это может указывать на то, что киберпреступники активно собирают информацию о вашей защите. Выявив этот трафик на ранней стадии, аналитики могут получить важную информацию о тактике и целях злоумышленника (в зависимости от частей сети, на которые он нацелен) и предпринять шаги для снижения вероятности атаки, например, исправить компоненты Apply, которые получают входящие Dark-трафик. Веб-трафик.
Трафик в даркнете: признак инсайдерских угроз
Практически во всех организациях нет законной причины, по которой сотрудник должен получать доступ к Даркнету через корпоративную сеть. Когда это происходит, это большой красный флаг. Сотрудники, просматривающие даркнет, подвергают компанию риску, подвергая ее таким угрозам, как вредоносное ПО.
В более серьезных случаях этот трафик может указывать на инсайдерские угрозы, когда сотрудники намеренно ставят под угрозу безопасность компании, занимаясь незаконной деятельностью и используя даркнет для общения с киберпреступниками. Крайне важно, чтобы организации как можно быстрее выявляли этот исходящий трафик, чтобы иметь возможность исследовать и устранить угрозу.
Вредоносное ПО набирает обороты
Большие потоки данных из даркнета в корпоративную сеть могут быть признаком того, что злоумышленник устанавливает вредоносное ПО.
В недавнем примере из реальной жизни мы помогли европейскому правительственному учреждению успешно выявить и нейтрализовать киберугрозу. Это было основано, среди прочего, на обнаружении подозрительного трафика даркнета на ранних стадиях атаки. Мониторинг трафика показал, что из даркнета в ИТ-инфраструктуру организации поступает гораздо больше данных, чем можно было ожидать, учитывая размер ответа.
Дальнейшее расследование выявило веб-шелл, внедренный враждебным субъектом в сети агентства, и это раннее обнаружение позволило немедленно отреагировать и предотвратить потенциальную кибератаку.
Признаки кражи данных
Необычные схемы потока данных из корпоративной сети в темную сеть также являются потенциальным сигналом продолжающейся атаки. Масштабное перемещение данных в этом направлении может свидетельствовать об эксфильтрации данных: несанкционированной передаче конфиденциальной информации за пределы периметра компании. Осведомленность о такой деятельности необходима для обнаружения утечек данных и обеспечения конфиденциальности и целостности ценных данных организации.
Утечки данных могут иметь разрушительные последствия, включая значительные финансовые потери, репутационный ущерб и юридические последствия. Отслеживая трафик даркнета на наличие признаков утечки данных, компания может выиграть драгоценное время для координации реагирования на инциденты и смягчить потенциальное влияние утечки данных на свой бизнес, сотрудников и клиентов.
Устраните угрозы в темной сети
Для смягчения последствий кибератаки первостепенное значение имеют раннее обнаружение и быстрое реагирование. Трафик даркнета, независимо от того, направлен ли он на корпоративную сеть или исходит из нее, может служить индикатором непосредственной угрозы. В настоящее время для многих организаций это упущенная возможность более активно подходить к обеспечению своей кибербезопасности.
Киберпреступники используют даркнет, потому что он скрывает их личности. Однако команда безопасности может узнать гораздо более важную информацию о своем противнике, отслеживая трафик в даркнете. Таким образом, вы можете быть заранее предупреждены о том, что ваш противник нацелился на вашу компанию для атаки. И, что особенно важно, они получают информацию о тактике киберпреступника. Это дает им уникальную возможность принять контрмеры и остановить атаку.
Мы перечислили лучшие облачные антивирусы.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы рассказываем о лучших и ярких умах в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно отражают точку зрения TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
