从泄露的凭证到勒索软件计划,暗网中充满了预警信号——只要你知道在哪里以及如何查找。以下是安全领导者如何监控这些隐藏空间,并在攻击发生前采取行动的方法。
大多数安全领导者都知道暗网的存在,但许多人仍将其视为互联网的阴暗面——对那些遵纪守法的人来说,这里只是犯罪分子进行非法交易的场所,而非信息来源。这是一种误解。
负责勒索软件攻击和凭证泄露的网络犯罪团伙在暗网上开展业务,暗网网站为网络安全专业人员提供了重要的背景信息。
此外,如果你知道在哪里查找,暗网还能提供系统已被入侵的早期迹象。
我们与安全专家进行了交流,以了解如何监控暗网活动、需要关注的内容以及如何将发现转化为实际的防御行动。
为什么需要监控暗网
暗网上的信息可以作为一个实时预警系统,为你提供组织已被入侵或将成为下一个目标的初步迹象。
“在暗网上发现数据可能意味着发生了数据泄露,而组织必须做出相应响应,”Nightwing的网络安全事件响应经理尼克·卡罗尔(Nick Carroll)说道。
他表示,这一发现应引发一系列行动:“验证数据的真实性,评估泄露范围。”他说,“如果泄露源于正在进行的入侵,立即遏制至关重要。”
卡罗尔还建议组织保存证据,依法通知受影响方,并做好应对可能勒索企图的准备。”
卡罗尔补充说,持续监控暗网至关重要,因为“暗网变化迅速”,这不仅仅是为了检测过去的泄露事件。
“我们还定期追踪勒索软件团伙的活动以及围绕泄露受害者数据的暗网帖子。这有助于我们的威胁狩猎者了解哪些勒索软件团伙正专注于哪些行业领域。”
这种威胁可见性可能是阻止攻击发生前的关键。“留意窃取日志、品牌提及以及提供RDP或VPN访问权限的初始访问经纪人,”Picus Security的安全研究工程师西拉·奥泽伦(Sıla Özeren)说道。
“这些信号通常在勒索软件部署前很久就出现了。我们见过组织仅仅因为知道自己成为了目标而拦截了正在进行的攻击。”
奥泽伦建议首席信息安全官(CISO)“利用这些知识构建和完善你的事件响应预案,并进行对抗性模拟以测试你的防御措施在面对真实攻击行为时的表现。”
即使没有直接提及你的组织,暗网监控也能提供战略情报。
例如,了解哪些团伙正针对你的行业或地区有助于安全团队更有效地分配资源。
“了解哪些团伙活跃有助于优先安排补丁和检测工作,”全球技术研究公司ISG的首席顾问詹姆斯·伍德(James Wood)建议道。
订阅威胁情报源并参与特定行业的信息共享和分析中心(ISAC)以保持对勒索软件趋势和相关入侵指标的了解,他建议道。
Cyberproof的首席执行官托尼·维莱卡(Tony Velleca)也强调了ISAC和计算机应急响应团队(CERT)的价值,它们“定期发布行业特定的勒索软件事件数据和警告”。
维莱卡补充说,安全团队应“追踪你所在行业常用软件中出现的新兴漏洞”,因为勒索软件团伙会迅速利用这些漏洞。
他建议使用“将已利用的漏洞与特定行业中活跃的勒索软件活动关联起来的威胁情报源”。
这种针对特定行业的攻击也体现在勒索软件团伙的招募模式中。“如果出现像‘寻找SaaS或CRM合作伙伴’这样的[附属招募]广告,这直接表明你的行业正成为目标,”Winday.co的联合创始人亚历山大·阿达门科(Aleksandr Adamenko)指出,他提到这样的指标可以帮助CISO将暗网活动与对其业务的潜在威胁联系起来。
即使没有直接危险,暗网监控也能通过提供对攻击者操作方式的洞察来加强防御。“了解网络攻击中使用的战术、技术和程序,并保持对真实攻击场景的了解,”反勒索软件公司Halcyon的CISO斯泰西·卡梅伦(Stacey Cameron)说道。
她举例说,“讨论未修补或零日漏洞的讨论,这些漏洞通常与特定操作系统、VPN或远程访问工具相关”,以及“出售的收割凭证,包括人和非人的凭证,特别是针对云和SaaS平台的凭证”。
如何监控暗网
获取所有这些信息说起来容易做起来难——许多人可能会觉得望而却步。
在最基本的层面上,有一些免费工具提供入门级可见性。“例如,‘Have I Been Pwned’是一个免费且可靠的服务,用于检查电子邮件地址是否涉及已知泄露事件,”Sysdig的网络安全策略师克里斯塔尔·莫林(Crystal Morin)说道。“它还提供针对与企业域名相关联的所有电子邮件地址的企业监控付费层级服务。”
然而,更高级的功能需要持续访问难以触及的暗网角落。“真正有效的暗网监控要深入得多,”莫林说道。“它需要追踪多个论坛、Telegram频道、泄露数据转储站点等——其中一些需要审核才能加入和/或是特定语言的。这就是为什么许多组织依赖威胁情报平台,如Flashpoint或Recorded Future。”
ISG的伍德指出,这些提供商可以“持续扫描地下论坛、市场和泄露数据转储,以便在你的公司数据出现时提醒你”。
在商业解决方案中,有两个名字被反复提及:SpyCloud和DarkOwl。
据Winday.co的阿达门科介绍,“SpyCloud是一个针对泄露和被盗凭证的自动化保护平台。
它是一个SaaS平台,能够自动监控暗网、论坛、转储、私人数据库以查找泄露的凭证、Cookie、会话、令牌等。
”它与现有的安全运营中心(SOC)解决方案集成,并在企业凭证出现在黑市上时提供实时警报。相比之下,DarkOwl更侧重于分析和战略洞察。
“他们有自己的搜索引擎,工作方式类似于‘暗网的谷歌’——能够创建上下文查询、按泄露类型、位置、出现时间等过滤,”阿达门科说道。
他将SpyCloud描述为更适合“运营账户保护、钓鱼预防和合作伙伴验证”,而DarkOwl则面向合规团队、威胁情报分析师和其他构建预警系统的人员。
无论选择哪个平台,专业知识都是必不可少的。“如果团队中没有经验丰富的安全分析师,在集成阶段应引入外部专业知识,”阿达门科说道。“否则,你可能会只是收集警报而不知道如何解释或采取行动。”
有关此领域的更多产品,请查看CSO的蒂姆·费里尔(Tim Ferrill)撰写的“12款暗网监控工具”。
对于希望实现更主动威胁检测的组织来说,蜜罐和金丝雀令牌等欺骗技术提供了强大的选项。
IEEE高级会员沙伊拉·拉纳(Shaila Rana)建议公司“设置蜜罐电子邮件地址或虚假信息和员工凭证,这些仅用于在泄露数据库中出现时触发警报”。
另一种策略是“创建‘金丝雀令牌’,这些是虚假但真实的文档,内嵌跟踪功能,可在被访问时发出警报”。
这些诱饵在检测内部威胁或发现在线流通的受损内部资产方面特别有用。
阿达门科也支持使用蜜罐,但警告说如果实施不当会有风险:“蜜罐是一个非常有效的工具,但配置错误可能会带来更多风险而非益处。”他建议没有经验丰富的内部安全团队的公司“求助于已有成熟配置、响应逻辑和基础设施的专业承包商”。
然而,拥有成熟安全运营的组织可以更进一步。“如果公司已有内部DevSecOps团队或自己的SOC,那么独立实施蜜罐是可行且可取的,”阿达门科说道。
通过与SIEM或XDR工具的适当集成,蜜罐可以作为目标活动的早期指示器。
安全团队还可以通过加入经过审核的暗网分析师社区来增强可见性。
阿达门科指出了“私人Telegram频道和资讯源,其中在你成为公开来源之前就会出现关于潜在威胁、黑客攻击或你的品牌或基础设施提及的信息”。
无论你的组织在何种层面上与暗网互动,请确保使用强大的操作安全实践。
Kroll的网络安全威胁情报副董事总经理埃德·柯里(Ed Currie)建议“使用可信的Tor浏览器、VPN和专用设备,并禁用可能暴露身份的脚本”。
他强调,访问暗网对安全专业人员来说是合法且必要的,“但必须以情报收集的战略心态来处理,而非恐惧”。
在暗网上需要注意什么
假设你的暗网监控工具已经启动并运行。你的团队应该注意什么?第一步是进行暗网版的“谷歌自己”。
“现代暗网监控平台持续扫描暗网论坛、市场和粘贴站点以获取公司特定信息,”Cyberproof的维莱卡说道。
这些工具允许你“搜索公司域名、高管电子邮件和定制术语,如CEO姓名甚至部分社会安全号码”。
这些细节看似微不足道,但与其他受损数据结合时,它们可用于策划毁灭性的社会或金融攻击。
如果你正在寻找对你的组织的更广泛威胁,请密切关注初始访问经纪人(IAB)在暗网上出售什么。“我们定期监控IAB的销售产品,以查看是否有任何内容与我们的客户风险概况相符,”Nightwing的卡罗尔说道。“我们的分析师追踪来自已知IAB的帖子,这些帖子提供诸如VPN/RDP访问权限、管理员凭证或特定公司基础设施中的漏洞等东西。”
Winday.co的阿达门科提供了实用建议:“监控出售公司访问权限的市场和论坛。在‘RDP访问’、‘VPN出售’等部分设置对你域名、IP地址或常见用户名的监控。经纪人经常明确说明他们拥有哪些公司的初始访问权限。”
有效的暗网监控范围应超出你的公司本身。第三方风险是一个主要且日益增长的担忧,The Cyber Doctor的创始人斯蒂芬·博伊斯(Stephen Boyce)说道。
“许多暗网行为者针对的是拥有你系统或数据访问权限的小型供应商、托管服务提供商、SaaS供应商,甚至律师事务所,”他说道。他建议不仅监控自己公司的名称,还要监控“你的关键供应商和技术栈的提及——特别是任何拥有特权访问权限的东西,如SSO提供商、CRM系统或云基础设施。”
“如果有人提供对你合作伙伴的访问权限,”博伊斯警告说,“那可能是通过横向移动对你发起攻击的前兆。主动识别这种威胁可以让你联系供应商、评估你的暴露程度并在攻击者通过侧门进入之前隔离关键系统。”
将暗网情报转化为行动
从暗网上收集情报只有在你知道如何处理时才有用。最有效的安全程序不会将暗网监控视为孤立的活动;它们会直接将其纳入检测和响应工作流程中。
“公司必须将[在暗网上发现的内容]纳入其内部监控中,”云安全公司Mitiga的首席运营官阿里尔·帕恩斯(Ariel Parnes)说道。
这意味着“自动将指标与认证日志、身份变更和跨平台(如AWS、Azure、Okta和M365)的异常行为进行交叉引用”。
当出现可疑情况时,如被盗会话令牌或暴露的管理员凭证,帕恩斯强调需要迅速采取行动:“它们必须触发立即调查工作流程、撤销访问权限、重新注册多因素认证或隔离受影响的服务。”
ISG的伍德也敦促组织将外部情报与其内部流程联系起来。“制定事件响应预案,”他说道,并制定计划以便“如果你的数据在暗网上出售或勒索时能够立即采取行动”。
这种准备还包括知道要寻找什么迹象。我们已经指出,IAB经常在暗网上兜售VPN和RDP访问权限;如果你知道你的组织正成为IAB的目标,你就应该留意这类攻击。“当我们看到不寻常的远程访问活动增加、VPN或RDP使用量激增或凭证在系统间重复使用时,这些通常不是随机异常,”伍德说道。“这些模式是网络犯罪‘供应链’行为的标志,而不仅仅是个人黑客的行为。”
通过将外部信号——暗网列表、威胁行为者聊天、凭证泄露——映射到你环境中的实时遥测数据,安全团队不仅可以在攻击发生时检测到它们,还可以在它们被计划时检测到它们。
最终,暗网监控不仅仅是在暗处观察。它帮助你在自己的边界内照亮并发现不属于那里的东西。
文章来源 :安在
暂无评论内容