希望领先于数据泄露的企业可以从暗网监控工具中获取诸多收益,例如扫描个人身份信息,甚至响应攻击。下述列举了10款此类工具。
每个首席信息官(CIO)都不希望自己公司的数据最终落入暗网这种地方。一般来说,暗网包括那些没有被谷歌这样的流行搜索引擎索引的网站,也包括那些通常通过网络攻击获得数据的地下黑市。获取这些网站中数据提供的运营情报对于防范网络犯罪分子至关重要,这些网络犯罪分子会利用泄露的账户进行攻击、实施欺诈,或使用鱼叉式网络钓鱼或品牌欺骗进行活动。暗网也是犯罪集团的行动、战术和意图的情报来源。监控暗网泄露数据的工具可用于这些目的。
谁需要暗网监控工具?
由于暗网网站通常只有受邀者(invite-only)才能进入,因此要想进入暗网,通常需要伪装成恶意用户或市场上想窃取身份或公司数据的人进行渗透。这就要求个人或服务机构具备相关技能,不仅能够识别这些网站,还能获取与保护企业身份或数据相关的数据。
大多数企业不需要直接进行暗网研究,相反地,他们可以利用监控工具来扫描暗网。此外,像扩展检测和响应(XDR)等工具或托管检测和响应(MDR)等服务,通常也会从暗网收集数据,以识别受感染的帐户、评估风险并为威胁分析提供上下文。
一些行业,尤其是政府、金融机构、某些知名IT安全企业以及其他一些关键行业,可能需要更多地、更直接地获取只能从暗网上得到的情报。在许多情况下,这些公司寻找的不仅仅是泄露的凭据或公司数据。相反地,他们需要有关威胁参与者、不断发展的攻击载体或漏洞的情报。
另一方面,零售或制药等其他业务部门更容易受到非传统攻击的影响,比如虚假域名或网络钓鱼攻击等形式的品牌欺骗。针对这种情况,数字足迹监测无疑是一个特别有价值的工具,而这类工具中通常会包含暗网组件。此外,下架服务是越过数字足迹监控的自然步骤。一般来说,单个企业不会与互联网服务提供商、云托管平台,甚至执法部门建立必要的联系,从而自行实施下架。数字风险保护服务(DRPS)很好地填补了这一空白,它提供基于服务的解决方案,通过监控(互联网、表层网和暗网)和更实际的方法(如网站下架服务)来保护组织的品牌。
10大暗网监控工具
以下是一些最流行的暗网监控工具:
Brandefense
Brandefense是一种人工智能(AI)驱动的数字风险保护(DRPS)解决方案,可以扫描表层网/明网(surface web)和暗网,收集攻击方法或数据泄露的详细信息,将这些数据关联起来并将其情境化,然后在事件与用户品牌相关时提供警报。如果有必要,Brandefense还可以协助打击威胁行为者,使组织的安全态势领先于攻击,而不是被动地等待响应攻击。
高级管理人员(或VIP)的安全是Brandefense的另一个重点领域,因为这些人通常不仅是公司品牌的一部分,而且经常沦为攻击目标。他们的姓名和电子邮件也经常被用于针对员工或客户的鱼叉式网络钓鱼攻击。
CTM360 CyberBlindspot和ThreatCover
CTM360提供了两种不同的解决方案来监控暗网,以保护组织免受新威胁影响。其中,CyberBlindspot专注于与公司资产有关的情报,扩展了入侵指标(IOC)的概念,以尽可能早地暴露并警告攻击指标,允许组织更主动地识别网络威胁。
ThreatCover则为安全分析师提供了深入研究威胁情报源的工具,为事件响应团队提供优化的数据质量和上下文信息。CTM360还可以通过其Takedown++服务在全球范围内提供下架服务。
IBM X-Force Exchange
IBM X-Force Exchange主要是一个数据共享平台和社区,它将威胁和情报馈送到一个交互式、可搜索的数据库中,该数据库还可以通过API和自动警报集成到组织现有的安全堆栈中。IBM提供的许多工具都是免费的,甚至不需要注册,但建议在使用IBM X-Force Exchange时最好进行注册,以便通过保存与相关域名和品牌有关的搜索和跟踪提要来定制门户。API访问、高级分析和高级威胁情报报告服务需要订阅。
IntSights威胁情报平台
IntSights威胁情报平台(现属Rapid7家族的一部分)提供了全面的外部威胁情报和IoC监控。它能挖掘暗网的威胁情报,如战术、技术和程序(TTP)、威胁行为者以及恶意软件变种。这些情报可以帮助安全专业人员跟上不断发展的攻击方法,提供调整防御措施和培训用户最佳实践的手段。此外,IntSights的产品还提供了一个窗口,可以查看暗网上引用公司品牌或域名的活跃对话,让组织有机会主动应对威胁,而不是被动等待攻击开始。
恶意软件信息共享平台-MISP
恶意软件信息共享平台(MISP)是一个基于共享威胁情报数据理念的开源平台。MISP提供可以安装在用户数据中心或各种云平台上的开源软件,并利用开源协议和数据格式在MISP用户之间实现信息共享或将情报集成到各种信息安全工具中。事实上,对MISP集成的支持经常是解决方案的一大卖点。虽然MISP威胁流的管理方式与商业工具不同,但它是组织建立内部暗网监控解决方案的一种低成本选择。
MandiantDigital Threat Monitoring
Mandiant Digital Threat Monitoring提供了在开放互联网或暗网上有关威胁和泄露凭据或其他组织机密等情报的可见性。这些情报数据得到了通过机器学习提供的上下文支持,可驱动相关地、优先级的警报,以推进分类进程。除了品牌监控(包括VIP管理层保护)之外,Mandiant Digital Threat Monitoring还提供对上下游企业的监控服务。通过监控这些存在信任关系的企业,组织可以进一步保护供应链,并防止可能绕过现有安全控制的跨域攻击。
Mandiant还提供数字威胁监控作为其Advantage Threat Intelligence方案的附加模块,将许多相同的暗网监控功能整合到威胁情报产品中。
OpenCTI
OpenCTI是另一个用于收集、管理并与威胁情报数据交互的开源工具。OpenCTI由Filigran开发和拥有,可以作为Docker容器部署,使其与平台无关,并提供大量连接到其他安全平台和软件工具的连接器,以集成和丰富OpenCTI数据流。
OpenCTI的功能集包括针对信息安全团队的基于角色的访问控制、基于标准的数据模型以及指示发现来源的属性数据。所有类型的自动化都可以使用OpenCTI for Python客户端来实现,它公开了带有辅助函数的OpenCTI API和一个易于使用的框架,允许用户基于事件数据快速开发自定义逻辑。
Palo Alto Networks AutoFocus
众所周知,Palo Alto Networks是网络安全领域的主要参与者,而AutoFocus则是Palo Alto Networks投资组合中的一个关键部分。AutoFocus将深入的上下文和洞察力带到最前沿,使安全分析师能够对事件进行分类并确定响应工作的优先级。Palo Alto Networks不仅从开放互联网和暗网上的数据存储库收集信息,而且还使用其遍布全球的设备和服务中的数据进行关联和情境化。
Recorded FutureIntelligence Cloud Platform
Recorded Future提供的情报云平台(Intelligence Cloud Platform)可以持续监控超过300个国家行为者、300万个已知的犯罪论坛、数十亿个域名以及互联网和暗网上的数亿个IP地址。这些庞大的情报数据被输入到分析工具中,以便对数据集进行分类和应用上下文,最后,将其输出到专注于企业品牌、威胁和漏洞、身份和其他几个领域的模块中。每个模块都提供可操作的情报,允许用户根据业务需求和风险对响应进行优先级排序,以最大限度地减少响应时间,并促进有效的补救措施。
SOCRadar RiskPrime
SOCRadar为安全专业人员提供了多种服务和工具,包括各种免费工具,用户可以使用这些工具免费对域名或IP地址进行手动一次性检查。要获得更全面、重复发生的监控功能则需要订阅其RiskPrime服务。RiskPrime提供PII(个人身份信息)监控,同时还能跟踪受损的VIP帐户,并执行声誉监控和网络钓鱼检测。此外,通过RiskPrime还可以获得下架服务,但除非用户使用的是企业级服务级别,否则会产生额外的成本。