暗网里
希望预防数据泄露和数据泄露的企业可以利用暗网监控系统扫描个人身份信息,甚至应对攻击。本文介绍由大型网络安全公司开发的12款知名的暗网监控系统。
什么是暗网监控?
暗网监控是网络安全供应商经常提供的一项服务,用于扫描暗网中与组织相关的信息。这些软件会扫描和搜索暗网网站和论坛,检查您的组织信息,以防被盗数据集被交易或出售。
暗网是每个 CISO 都不希望公司数据落入的地方。暗网通常不会对公司网络构成直接威胁,它由未被 Google 等流行搜索引擎索引的网站组成,其中包括通常通过网络攻击获取的数据市场,例如被盗用的用户帐户、身份信息或其他机密公司信息。
了解这些网站提供的数据的运营情报对于防范网络犯罪分子利用被盗账户发起攻击、实施欺诈或使用鱼叉式网络钓鱼或品牌欺骗进行活动至关重要。暗网也是有关犯罪集团运营、策略和意图的情报来源。有一些工具和服务可以监控暗网上的被盗数据,并提供关键情报和对可能超出您视野范围的暗网区域的可见性。
暗网监控系统如何工作?
暗网监控通常需要结合专门为监控而开发的软件工具和安全研究人员,他们精通潜在威胁的复杂性以及互联网黑社会的社会文化。软件工具可以部署在已知的恶意用户聚集地,以交换技术或被盗数据,并将这些数据汇编成可以分析和分类的数据流。安全研究人员帮助识别威胁的可行性,并协助扩展受监控的暗网站点。最后,监控工具可以对已分类的数据采取行动,应用规则集来提醒管理员或自动执行补救措施以防止进一步的入侵。
谁需要暗网监控系统?
由于暗网通常只对受邀者开放,因此要获得访问权限通常需要伪装成恶意用户或窃取身份或公司数据的人。这需要具备相关技能的个人或服务,使他们不仅能够识别这些网站,还能获取与保护公司身份或数据相关的数据。
大多数企业不需要直接进行暗网研究。相反,他们可以利用扫描暗网的工具和服务。扩展检测和响应 (XDR)等工具或托管检测和响应 (MDR)等服务通常都会从暗网来源收集数据,以识别受损账户、计算风险并提供背景信息。
Gartner 分析师 Mitchell Schneider 称,一些行业,尤其是政府、金融机构、某些知名 IT 安全企业和其他一些行业,可能需要更直接地获取只能从暗网来源直接获得的情报。在许多情况下,这些公司正在寻找泄露的凭证或公司数据以外的信息。相反,他们需要有关威胁行为者、不断发展的攻击媒介或漏洞利用的情报。
Schneider表示,零售或制药等其他业务部门更容易受到非传统攻击,例如以虚假域名或网络钓鱼攻击形式进行的品牌欺诈。在他看来,数字足迹监控是一种特别有价值的工具,通常包含暗网组件。此外,删除服务是超越数字足迹监控的自然一步。一般来说,个体企业与互联网服务提供商、云托管平台甚至执法部门没有必要的联系,无法自行实施删除。数字风险保护服务 (DRPS) 很好地填补了这一空白,它提供基于服务的解决方案,通过监控(互联网、表层网络和暗网)和更实际的方法来保护您的品牌,例如网站删除服务。
这些是一些最流行的暗网监控系统。
Brandefense
Brandefense是一款 AI 驱动的 DRPS 解决方案,可扫描表层网络和暗网以收集有关攻击方法或数据泄露的详细信息,关联这些数据并将其置于特定情境中,然后在事件与您的品牌相关时发出警报。 Brandefense 还可以在必要时协助打击威胁行为者,让您的安全态势保持前瞻性,而不是等待对主动攻击做出反应。
高层管理人员(或 VIP)的安全是 Brandefense 的另一个重点领域,因为这些人往往不仅是企业品牌的一部分,而且是经常受到攻击的目标。他们的姓名和电子邮件也经常被用于针对员工或客户的鱼叉式网络钓鱼攻击。
CrowdStrike Falcon Adversary OverWatch
尽管2024 年 7 月经历了一段艰难时期, CrowdStrike 仍保持了其行业地位。CrowdStrike的 Falcon Adversary OverWatch平台是一项 24/7 威胁搜寻服务,结合了行业安全专家和人工智能,可以主动识别和实时阻止恶意行为者。CrowdStrike Falcon Adversary OverWatch 可以洞察和查看暗网中对您公司数据、身份和品牌的引用,甚至可以在威胁成为事件之前主动阻止它们。
CTM360 CyberBlindspot 和 ThreatCover
CTM360 提供两种不同的解决方案来监控暗网,以保护您的组织免受新兴威胁。Cyber Blindspot专注于直接引用您公司资产的情报。CyberBlindspot 扩展了入侵指标 (IOC) 概念,以揭示警告指标或攻击指标,让您能够更主动地识别网络关注区域。CyberBlindspot 还利用 CTM360 的全球合作伙伴关系提供托管删除和全球威胁中断 (GTD),使您的企业能够禁用或破坏伪装成您品牌的恶意行为者。
ThreatCover为安全分析师提供工具,深入研究威胁情报源,从而提供最佳数据质量和背景,以便响应团队启动事件响应。
DarkOwl Vision UI
DarkOwl Vision UI简化了与您的业务相关的暗网数据的可视性。Vision UI 支持使用标准文本搜索、布尔逻辑搜索整理的暗网数据源以快速关注关键类别,支持多达 47 种语言,甚至支持正则表达式。DarkOwl Vision UI 的功能不仅限于交互式搜索,还提供通知和警报功能以及曝光指标,这些指标试图根据多种因素和来源量化曝光。
IBM X-Force Exchange
IBM X-Force Exchange主要是一个数据共享平台和社区,将威胁和情报源整合到一个交互式、可搜索的数据库中,该数据库还可以通过 API 和自动警报集成到您现有的安全堆栈中。IBM 提供的许多工具都是免费的,甚至不需要注册,但您需要注册才能通过保存相关搜索和关注与相关域和品牌相关的源来自定义您的门户。API 访问、高级分析和高级威胁情报报告确实需要订阅。
Malware Information Sharing Platform – MISP
恶意软件信息共享平台( MISP,Malware Information Sharing Platform) 是一个围绕共享威胁情报数据理念而形成的开源平台。MISP 包括可安装在数据中心或各种云平台上的开源软件,并利用可与其他 MISP 用户共享或集成到各种信息安全工具中的开源协议和数据格式。事实上,对 MISP 集成的支持经常被提及为本列表中其他解决方案的功能。虽然 MISP 威胁流的策划方式与商业工具并不完全相同,但对于企业来说,这是一种低成本的方式来启动内部暗网监控解决方案。
Mandiant Digital Threat Monitoring
Mandiant 数字威胁监控可让您查看有关威胁和泄露的凭证或其他公司机密在公开互联网或暗网上的情报。这些情报数据通过机器学习提供的背景信息得到支持,从而推动相关、优先的警报,促进分类过程。除了品牌监控(包括 VIP 保护)之外,Mandiant 数字威胁监控还提供对您有信任关系的其他企业的监控。通过监控这些值得信赖的合作伙伴,您可以进一步保护您的供应链并防止可能规避现有安全控制的跨域攻击。
Mandiant 还将数字威胁监控作为其 Advantage Threat Intelligence 的附加模块提供,将许多相同的暗网监控功能纳入您的威胁情报功能中。
OpenCTI
OpenCTI是另一个用于收集、管理和与情报数据交互的开源选项。OpenCTI 由 Filigran 开发和拥有,可以作为 Docker 容器部署,使其与平台无关,并具有大量与其他安全平台和软件工具的连接器,以集成和丰富 OpenCTI 数据流。
OpenCTI 的功能集包括为您的信息安全团队提供基于角色的访问控制、基于标准的数据模型以及指示发现来源的属性数据。可以使用 OpenCTI Python 客户端实现各种自动化,该客户端公开了带有辅助函数的 OpenCTI API 以及一个易于使用的框架,可基于事件数据快速开发自定义逻辑。
Rapid7 Threat Command
Rapid7 Threat Command用综合的外部威胁情报、数字风险保护、入侵指标 (IOC) 管理和补救措施取代了单点解决方案。威胁指挥部的一部分是数字风险保护功能,该功能可在影响组织之前挖掘暗网中的潜在危险。该功能会发出影响您业务的威胁警报,主动研究恶意软件、策略、技术和程序 (TTP)、网络钓鱼诈骗和其他威胁行为者。这种情报可帮助安全专业人员及时了解不断发展的攻击方法,提供调整防御措施和培训用户最佳实践的方法。
Recorded Future Intelligence Cloud Platform
Recorded Future 提供的情报云平台可持续监控互联网和暗网上的 300 多个国家行为者、300 万个已知犯罪论坛句柄、数十亿个域名和数亿个 IP 地址。这些海量情报数据被输入到人工智能驱动的分析工具中,这些工具对数据集进行分类并应用上下文,最终将其呈现到专注于您的公司品牌、威胁和漏洞、身份和其他几个领域的模块中。每个模块都会显示可操作的情报,让您根据业务需求和风险确定响应的优先级,从而最大限度地缩短响应时间并促进有效补救。
SOCRadar Advanced Dark Web Monitoring
SOCRadar 为安全专业人员提供多种服务和工具,包括其网络威胁情报工具的免费许可证,您可以使用该工具获取有限但有价值的见解,包括泄露的凭据、品牌冒充或公共足迹中的漏洞。如需更全面、自动化的监控,您需要订阅 SOCRadar 的高级暗网监控服务。高级暗网监控提供对员工 PII(个人身份信息)的监控,同时跟踪被盗用的 VIP 帐户,并执行声誉监控和网络钓鱼检测。SOCRadar 甚至提供对 Telegram 和 Discord 频道以及暗网搜索引擎的监控。
ZeroFox Dark Web Monitoring
ZeroFox Dark Web Monitoring是另一款旨在简化暗网风险发现过程的软件。持续监控被盗用的凭证、员工个人信息或敏感的公司知识产权只是 ZeroFox 的开始。通过分析攻击方法构建的上下文可以为您提供保护业务的防御措施,警报会通知您品牌面临的风险,让您随时了解新出现的威胁。