Во многих отношениях этот простой трюизм стал основой того, как создаются средства контроля безопасности. Знание поведения наших противников дает информацию обо всем – от анализа угроз и тестирования на проникновение до стратегий мониторинга и моделирования угроз. Другими словами, понимание наших врагов лежит в основе многого из того, что мы делаем и как мы это делаем, и это приводит к повышению готовности к работе.
Платформа Mitre ATT & CK является хорошим примером. Понимание инструментов, методов и процедур, используемых злоумышленниками, помогает защитникам выявлять доказательства активности злоумышленников. Или рассмотрим, как Lockheed Martin Cyber Kill Chain позволяет нам понимать кампании злоумышленников – в процессе предоставляя инструменты, которые мы можем использовать для пресечения этих действий, прежде чем они будут запущены.
Правда в том, что время, потраченное на понимание противника, никогда не тратится впустую. Один из способов сделать это – корпоративный мониторинг dark web. Давайте рассмотрим, что такое корпоративный мониторинг dark web, как он может помочь вашей организации и некоторые факторы, которые следует учитывать, прежде чем внедрять такую возможность в вашу собственную программу.
Что такое мониторинг dark web?
По своей сути, мониторинг dark web не является сложной концепцией для понимания. Речь идет о сборе ключевой информации о вашей компании путем изучения активности в dark web – той части Сети, которая доступна через Tor. Поскольку dark web является каналом и средством обмена информацией в сообществе злоумышленников, мониторинг служит следующим ключевым целям:
- Раннее предупреждение о предстоящих атаках.
- Детективный контроль за удалением данных.
- Источник данных об активности злоумышленников.
Рассмотрим эти варианты использования. Во-первых, dark web можно использовать как “канарейку” для оповещения о взломе вашей организации. Dark web – это распространенное средство обмена, обмена и продажи скомпрометированной информации. Если вы заметили там свои данные – критически важную бизнес-аналитику, планы, пользовательские данные, данные клиентов или любые другие значимые для вас данные – вы, скорее всего, подверглись разоблачению.
Программа мониторинга dark web также позволяет вам искать информацию о ваших пользователях. Имейте в виду, что пользователи – независимо от того, сколько раз вы говорили им этого не делать – часто используют одни и те же пароли для нескольких сайтов и служб как в рабочих, так и в домашних учетных записях. Проверка dark web на предмет взлома учетных данных ваших пользователей может помочь вам обезопасить эти учетные записи. Как минимум, предупреждайте пользователей, если их данные становятся доступными, но добавляйте дополнительные сведения к процессу – например, запускайте сброс пароля в случае появления в Сети скомпрометированных учетных данных.
Корпоративный мониторинг dark web дополнительно позволяет организациям собирать данные о действиях злоумышленников, их методологиях и методах работы. Если кажется, что это перекрывает традиционные возможности анализа угроз, вы абсолютно правы. В этом случае мониторинг dark web дополняет другие инструменты, используемые для сбора данных о злоумышленниках и их действиях. Данные могут собираться для отслеживания этих действий в более общем плане как средство информирования защитников и контроля выбора. Или вы можете настроить конкретные поисковые запросы, чтобы найти предстоящие кампании от групп злоумышленников, которые могут повлиять на вас.
Как интегрировать мониторинг dark web в вашу программу
Если мониторинг dark web нравится вашей организации, следующий вопрос заключается в том, как интегрировать эту возможность в существующую программу безопасности. Крупные компании могут рассмотреть возможность создания собственных возможностей мониторинга внутри компании. Небольшие фирмы могут рассмотреть возможность передачи мониторинга на аутсорсинг одному из многих поставщиков, предлагающих это в качестве услуги.
У каждого варианта есть свои плюсы и минусы. Аутсорсинг может быть привлекательным; подобно нескольким другим специализированным дисциплинам в области безопасности – среди них криминалистика, тестирование с поличным и анализ угроз в более широком смысле – мониторинг dark web может быть дорогостоящим и отнимать много времени. В зависимости от ваших конкретных потребностей и предполагаемых результатов для этого могут потребоваться специальные навыки, такие как свободное владение неанглийскими языками, используемыми участниками глобальных угроз, и время для доступа к форумам, торговым площадкам и другим областям, используемым злоумышленниками для обмена данными.
Создание внутренней команды может быть дорогостоящим мероприятием. Специализированное обучение имеет решающее значение, и найти подходящий персонал может быть непросто. Тем не менее, собственная функция мониторинга dark web обеспечивает гораздо большую гибкость и позволяет вашей организации настраивать ее именно так, как она хочет.
В идеале к решению следует подходить систематически и с учетом специфических для организации факторов. Например, если вы крупная организация, которая уже вложила значительные средства в собственную систему анализа угроз, совместное использование корпоративного мониторинга dark web в рамках существующей структуры дает очевидный синергетический эффект. Однако, если вы небольшая организация и содержать специализированный персонал для мониторинга dark web не имеет экономического смысла, лучшей альтернативой может стать аутсорсинг.