Lesen Sie, worauf es beim Darknet-Monitoring ankommt und welche Tools dafür am besten geeignet sind.
Foto: sashk0 – shutterstock.com
Das Dark Web ist ein Ort, von dem jeder CISO hofft, dass die Daten seines Unternehmens dort nicht landen. Es besteht aus Websites, die von gängigen Suchmaschinen wie Google nicht indiziert werden. Dieser dunkle Teil des Internets umfasst Marktplätze für Daten, die in der Regel durch einen Cyberangriff erlangt wurden, zum Beispiel kompromittierte Benutzerkonten, Identitätsinformationen oder andere vertrauliche Unternehmensdaten.
Zu wissen, welche Daten auf diesen Websites angeboten werden, ist entscheidend für die Abwehr von Cyberkriminellen. Diese nutzen kompromittierte Konten, um Angriffe zu ermöglichen, Betrug zu begehen oder Kampagnen mit Spear-Phishing oder Brand-Spoofing durchzuführen. Das Dark Web ist auch zudem eine Quelle für Informationen über die Operationen, Taktiken und Absichten von kriminellen Gruppen. Für diese Zwecke gibt es Tools, die das Darknet auf kompromittierte Daten überwachen.
Wer braucht Tools zur Überwachung des Dark Web?
Da Dark-Web-Sites häufig nur auf Einladung zugänglich sind, muss man sich in der Regel als böswilliger Benutzer oder als Initial Access Broker (IAB) tarnen, um Zugang zu erhalten. Dies erfordert Personen oder Dienste, die nicht nur in der Lage sind, diese Websites zu identifizieren, sondern auch Daten zu beschaffen, die für den Schutz von Unternehmensidentitäten oder -daten relevant sind.
Die meisten Unternehmen müssen dazu allerdings keine direkten Recherchen im Dark Web durchführen. Stattdessen können sie Tools und Dienste nutzen, die das Dark Web scannen. Tools wie Extended Detection and Response (XDR) oder Dienste wie Managed Detection and Response (MDR) nehmen in der Regel Daten aus Quellen im Dark Web auf, um kompromittierte Konten zu identifizieren, das Risiko zu berechnen und Kontext zu liefern.
Einige Branchen, insbesondere Behörden, Finanzinstitute und bestimmte hochkarätige IT-Sicherheitsunternehmen, benötigen möglicherweise einen direkteren Zugang zu Informationen, die nur direkt aus Quellen im Dark Web verfügbar sind, so Gartner-Analyst Mitchell Schneider gegenüber CSO. In vielen Fällen sind diese Unternehmen nicht nur auf der Suche nach geleakten Zugangsdaten oder Unternehmensdaten. Vielmehr benötigen sie Informationen über Bedrohungsakteure, sich entwickelnde Angriffsvektoren oder Exploits.
Andere Geschäftsbereiche wie der Einzelhandel oder die Pharmaindustrie sind anfälliger für nicht-traditionelle Angriffe wie Marken-Sspoofing in Form von gefälschten Domains oder Phishing-Angriffen, so Schneider. Seiner Ansicht nach ist die Überwachung des digitalen Fußabdrucks ein besonders wertvolles Instrument, das oft auch eine Dark-Web-Komponente enthält. Außerdem sind Takedown-Services ein natürlicher Schritt über die Überwachung hinaus. Im Allgemeinen verfügen einzelne Unternehmen nicht über die erforderlichen Kontakte zu Internetanbietern, Cloud-Hosting-Plattformen und sogar Strafverfolgungsbehörden, um selbst Takedowns durchzuführen. Digital Risk Protection Services (DRPS) füllen diese Lücke, indem sie servicebasierte Lösungen anbieten, die auf den Schutz Ihrer Marke durch die Überwachung des Internets, des Surface Web und des Dark Web abzielen, sowie praktische Methoden, wie zum Beispiel Website-Takedown-Services.
Im Folgenden finden Sie die beliebtesten Tools zur Überwachung des Dark Web.
Brandefense
Brandefense ist eine KI-gesteuerte DRPS-Lösung (=Digital Risk Protection Service) die das frei zugängliche Web und das Dark Web scannt. Die Aufgabe des Tools ist es, Details zu Angriffsmethoden oder Datenschutzverletzungen zu sammeln, diese Daten zu korrelieren und zu kontextualisieren. Anschließend werden Warnungen gesendet, wenn ein Vorfall für das Unternehmen relevant ist. Brandefense kann auch Takedowns gegen Bedrohungsakteure erleichtern, falls dies notwendig sein sollte, so dass Sie Ihre Sicherheitspersonal nicht erst auf aktive Angriffe reagieren muss, sondern sich bereits darauf einstellen kann.
Die Sicherheit von hochrangigen Führungskräften – oder VIPs – ist ein weiterer Schwerpunkt von Brandefense, da diese Personen oft nicht nur Teil Ihrer Unternehmensmarke sind, sondern auch ein häufiges Angriffsziel. Ihre Namen und E-Mails werden auch häufig in Spear-Phishing-Angriffen gegen Mitarbeiter oder Kunden verwendet.
CTM360 CyberBlindspot und ThreatCover
CTM360 bietet zwei verschiedene Lösungen an, die das Dark Web überwachen. Ziel ist es, Ihr Unternehmen vor neuen Bedrohungen zu schützen. CyberBlindspot konzentriert sich auf Informationen, die sich direkt auf Ihre Unternehmensressourcen beziehen. Das Tool erweitert dabei das Konzept der Kompromittierungsindikatoren (Indicators of Compromise, IOC), um Warn- oder Angriffsindikatoren aufzudecken. Diese ermöglichen es, Bereiche, die für Ihr Netzwerk von Belang sind, noch proaktiver zu identifizieren.
ThreatCover bietet Tools für Sicherheitsanalysten, mit denen sie in Bedrohungsdaten-Feeds eintauchen können, um so eine optimale Datenqualität und einen optimalen Kontext zu erhalten. Auf deren Grundlage können Incident-Response-Teams eine Reaktion auf Vorfälle einleiten. CTM360 kann über seinen Takedown++-Service auch internationale Takedowns ermöglichen.
IBM X-Force Exchange
IBM X-Force Exchange ist in erster Linie eine Plattform für die gemeinsame Nutzung von Daten. Dabei werden die Bedrohungs- und Intelligence-Feeds in einer interaktiven, durchsuchbaren Datenbank zusammengeführt. Diese kann auch über APIs und automatische Warnmeldungen in Ihr bestehendes Sicherheitssystem integriert werden. Viele der von IBM angebotenen Tools sind kostenlos, ohne dass eine Registrierung erforderlich ist. Allerdings sollten Sie sich registrieren, um Ihr Portal durch das Speichern relevanter Suchvorgänge und das Verfolgen von Feeds, die sich auf relevante Domänen und Marken beziehen, individuell anzupassen. Für den API-Zugang, erweiterte Analysen und Premium-Bedrohungsdatenberichte ist ein Abonnement erforderlich.
IntSights Threat Intelligence Platform
IntSights Threat Intelligence Platform bietet ganzheitliche externe Bedrohungsdaten und Überwachung für das IOC. Da die Anwendung jetzt zur Rapid7-Familie gehört, durchsucht sie das Dark Web nach Bedrohungsdaten wie Taktiken, Techniken und Verfahren, Bedrohungsakteuren und Malware-Varianten. Diese Art von Intelligenz hilft Sicherheitsexperten, über die sich entwickelnden Angriffsmethoden auf dem Laufenden zu bleiben. Zudem können sie damit ihre Abwehrmaßnahmen anpassen. Das Produkt von IntSights bietet auch einen Einblick in aktive Konversationen im Dark Web, die sich auf Unternehmensmarken oder -domänen beziehen. Das ermöglicht Anwendern, proaktiv auf Bedrohungen zu reagieren, anstatt auf den Beginn eines Angriffs zu warten.
Malware Information Sharing Platform (MISP)
Bei der Malware Information Sharing Platform (MISP) handelt es sich um eine Open-Source-Plattform, die auf der Idee der gemeinsamen Nutzung von Bedrohungsdaten basiert. Die quelloffene Software kann in Ihrem Rechenzentrum oder auf verschiedenen Cloud-Plattformen installiert werden. Dabei werden Open-Source-Protokolle und -Datenformate genutzt, die mit anderen MISP-Benutzern geteilt. Diese können auch in alle gängigen IT-Sicherheits-Tools integriert werden. Die Unterstützung für die MISP-Integration wird häufig als Merkmal anderer Lösungen in dieser Liste genannt. MISP-Bedrohungsströme werden zwar nicht auf dieselbe Weise kuratiert wie kommerzielle Tools, aber es ist eine kostengünstige Möglichkeit für Unternehmen, eine interne Dark-Web-Überwachungslösung einzurichten.
Mandiant Digital Threat Monitoring
Mandiant Digital Threat Monitoring bietet Einblicke in Informationen über Bedrohungen und durchgesickerte Anmeldedaten oder andere Unternehmensgeheimnisse im offenen Internet oder im Dark Web. Diese Daten werden durch maschinelles Lernen (ML) kontextbezogen aufbereitet und liefern relevante, priorisierte Warnmeldungen, die den Triage-Prozess erleichtern. Neben der Markenüberwachung (einschließlich VIP-Schutz) bietet die Lösung auch die Überwachung anderer Unternehmen, mit denen Sie vertrauensvolle Beziehungen unterhalten. Dadurch können Sie Ihre Lieferkette weiter absichern und domänenübergreifende Angriffe verhindern, die das Potenzial haben, bestehende Sicherheitskontrollen zu umgehen.
Mandiant bietet das Monitoring-Tool auch als Zusatzmodul zu Advantage Threat Intelligence an, das viele dieser Überwachungsfunktionen für das Dark Web in Ihre Threat Intelligence-Funktionen integriert.
OpenCTI
OpenCTI ist eine weitere Open-Source-Option für die Sammlung, Verwaltung und Interaktion mit Intelligence-Daten. Das Programm wurde von Filigran entwickelt und kann als Docker-Container eingesetzt werden, wodurch es plattformunabhängig ist. Zudem bietet die Lösung eine Vielzahl von Konnektoren zu anderen Sicherheitsplattformen und Software-Tools, um den OpenCTI-Datenstrom zu integrieren und zu bereichern.
Der Funktionsumfang von OpenCTI umfasst eine rollenbasierte Zugriffskontrolle für Ihr Security-Team, standardbasierte Datenmodelle und Attributdaten, die den Ursprung des Fundes angeben. Mit dem OpenCTI-Client für Python, der OpenCTI-APIs mit Hilfsfunktionen und einem benutzerfreundlichen Framework, das die schnelle Entwicklung benutzerdefinierter Logik auf der Grundlage von Ereignisdaten ermöglicht, lassen sich alle Arten von Automatisierung realisieren.
Palo Alto Networks AutoFocus
AutoFocus bietet tiefgreifenden Kontext und Einblicke, die es Sicherheitsanalysten ermöglichen, Ereignisse zuzuordnen und Prioritäten für die Reaktion zu setzen. Palo Alto Networks sammelt die Informationen dabei nicht nur aus Datenbeständen im offenen Internet und im Dark Web, sondern korreliert und kontextualisiert sie anhand von Daten, die aus dem globalen Geräte- und Service-Footprint des Herstellers stammen.
Recorded Future Intelligence Cloud Plattform
Die von Recorded Future angebotene Intelligence Cloud Platform bietet eine ständige Überwachung von mehr als 300 staatlichen Akteuren, drei Millionen bekannten kriminellen Handelesforen, Milliarden von Domains und Hunderten von Millionen von IP-Adressen im Internet und Dark Web. Diese gewaltige Datenmenge wird in Analyse-Ttools eingespeist, die den Datensatz kategorisieren und in einen Kontext setzen. Anschließend werden die Daten in Modulen präsentiert, die sich auf Ihre Unternehmensmarke, Bedrohungen und Schwachstellen, Identitäten und verschiedene andere Bereiche konzentrieren. Jedes Modul liefert verwertbare Informationen, die es Ihnen ermöglichen, Ihre Reaktion auf der Grundlage von Geschäftsanforderungen und Risiken zu priorisieren, die Reaktionszeit zu minimieren und eine effiziente Abhilfe zu schaffen.
SOCRadar RiskPrime
SOCRadar bietet verschiedene Dienste und Tools für Sicherheitsexperten an, darunter eine Reihe kostenloser Tools, die Sie für manuelle, einmalige Überprüfungen von Domänennamen oder IP-Adressen verwenden können, zum Beispiel einen Dark-Web-Bericht. Für eine umfassendere, wiederkehrende Überwachung sollten Sie den RiskPrime-Service von SOCRadar abonnieren. Dieser bietet eine Überwachung auf PII (persönlich identifizierbare Informationen), verfolgt aber auch kompromittierte VIP-Konten und führt eine Reputationsüberwachung und Phishing-Erkennung durch. Takedown-Services sind über RiskPrime verfügbar, kosten aber zusätzlich, sofern Sie nicht den Enterprise-Service in Anspruch nehmen. Die Überwachungsdienste für das Dark Web sind im Preis inbegriffen und werden je nach Servicestufe umfangreicher. (jm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
