暗网里
很难找到不积极参与网络监控的企业,因为这是日常安全工作流程的核心方面。安全团队始终在监视其网络活动,以查找可能表明存在威胁的异常流量模式。
然而,如果您问一般的安全团队是否监控进出其网络的暗网流量,您可能会得到截然不同的印象。绝大多数企业并没有积极监控来自暗网并到达其面向公众的网络的流量,也没有监控离开其网络并前往暗网的流量。对于安全团队来说,这可能是一个错过的重要机会,无法发现正在进行的威胁或不断演变的攻击。
这种流量的“无辜”原因很少,因此可以非常有效地表明对手正在对企业采取行动。暗网流量除了可能对即将发生的事件发出警报外,还可以提供有关正在发生的恶意活动以及攻击者使用的策略的重要情报。
网络安全专业人员越早查明恶意活动,就越有可能在攻击形成之前阻止它——这使得暗网监控提供的早期预警对于知道应该寻找哪些迹象的安全团队来说是一项非常宝贵的资产。
暗网侦察
暗网提供的匿名性为网络犯罪分子提供了理想的掩护,使他们可以对他们想要攻击的企业进行侦察。网络犯罪分子通常会探测网络的漏洞和薄弱环节,以确定更大规模网络攻击的切入点。因此,识别从暗网到您网络的流量可以作为识别恶意意图的有效诱饵,让企业能够采取先发制人的安全措施。
在某些情况下,来自暗网的流量到您的企业是无害的,尤其是当它流向面向公众的基础设施(如网站)时(这可能是出于隐私原因通过暗网查看您的网站的人)。但是,当暗网流量突然激增到您的网络(尤其是非公开访问的部分)时,这可能表明网络犯罪分子正在积极收集您的防御情报。通过及早识别这些流量,分析师可以根据他们所针对的网络部分收集有关对手的策略和目标的重要见解,并采取行动降低攻击的可能性,例如对接收传入暗网流量的组件应用任何补丁。
从暗网流量发现内部威胁
在几乎所有企业中,员工没有正当理由从公司网络访问暗网。如果发生这种情况,请将其视为重大危险信号。浏览暗网的员工会将公司暴露于恶意软件等威胁中,从而使公司面临风险。
在更严重的情况下,这种流量可能意味着内部威胁,即员工故意通过从事非法活动、使用暗网与网络犯罪分子进行通信来危害企业的安全。公司必须尽快识别出这种出站流量,以便开展调查并消除威胁。
恶意软件在渗入
大量数据从暗网流入企业网络可能是对手安装恶意软件的迹象。
在最近的一个真实案例中,我们帮助一家欧洲政府机构成功识别并消除了网络威胁,部分原因是我们在攻击的早期阶段检测到了可疑的暗网流量。流量监控显示,从暗网流向该企业IT基础设施的数据量远大于响应规模。
进一步调查发现了该机构网络内敌对行为者实施的Webshell,这种早期检测使得能够迅速做出反应,防止潜在的网络攻击。
数据被盗的迹象
从企业网络到暗网的异常数据流模式也是攻击正在进行的潜在信号。大规模数据朝这个方向移动可能表明数据外泄:敏感信息被非法转移到企业范围之外。意识到此类活动对于识别数据泄露和维护企业宝贵数据的机密性和完整性至关重要。
数据泄露可能会造成毁灭性的后果,包括重大的财务损失、声誉受损和法律后果。通过监控暗网流量以发现数据泄露的迹象,企业可以获得宝贵的时间来协调事件响应并减轻数据泄露对公司、员工和客户的潜在影响。
消除暗网威胁
及早发现并快速响应对于减轻网络攻击的影响至关重要。暗网流量,无论是指向还是来自企业网络,都可以作为即将发生威胁的指标。目前,对于许多企业来说,这是一个尚未开发的机会,可以采取更主动的方式来保护其网络安全。
网络犯罪分子使用暗网是因为它能掩盖他们的身份,但安全团队可以通过监控暗网流量来了解有关对手的更重要信息。它可以提前警告他们,他们的对手正在针对他们的企业进行攻击,而且——至关重要的是——为他们提供有关网络犯罪分子所用策略的情报,让他们有独特的机会采取缓解措施并阻止攻击。