La speranza di ogni CISO è che i dati sensibili della propria azienda non finiscano sul dark web, una porzione della rete Internet non indicizzata dai motori di ricerca tradizionali come Google. Qui, si trovano siti che offrono mercati illegali di dati riservati, solitamente ottenuti tramite attacchi informatici, come account utente compromessi o informazioni aziendali sensibili.
Per difendersi dai criminali informatici, è fondamentale acquisire informazioni sui dati che vengono scambiati su tali siti, al fine di prevenire attacchi, frodi e campagne di spear phishing o spoofing del marchio. Inoltre, il dark web rappresenta una fonte preziosa di intelligence sulle operazioni, le tattiche e le intenzioni dei gruppi criminali.
Per questo motivo, sono disponibili strumenti di monitoraggio del dark web per rilevare dati compromessi e prevenire eventuali attacchi.
Chi ha bisogno di monitorare il dark web?
Poiché i siti del dark web spesso richiedono un invito per l’accesso, la loro individuazione richiede di solito l’infiltrazione mascherata da utente malintenzionato o da acquirente di identità rubate o dati aziendali. Ciò richiede persone o servizi con competenze specifiche in grado di individuare questi siti e acquisire informazioni rilevanti per proteggere le identità o i dati aziendali.
Tuttavia, la maggior parte delle aziende non ha la necessità di effettuare ricerche dirette sul dark web. Possono invece fare affidamento su strumenti e servizi che scansionano il dark web. Ad esempio, gli strumenti XDR (Extended Detection and Response) o i servizi MDR (Managed Detection and Response) raccolgono dati da fonti sul dark web per identificare gli account compromessi, valutare il livello di rischio e fornire il contesto.
Alcune industrie, governi, istituzioni finanziarie, aziende di sicurezza informatica di alto profilo, potrebbero richiedere un accesso più diretto alle informazioni presenti del dark web. In alcuni casi, le aziende cercano informazioni sui threat actors, sull’evoluzione di vettori di attacco o sugli exploit, piuttosto che solo sulle credenziali o dati trapelati.
Altri settori, come la vendita al dettaglio o il settore farmaceutico, sono maggiormente esposti ad attacchi non tradizionali come lo spoofing del marchio o gli attacchi di phishing. In questi casi, il monitoraggio del footprinting, che spesso include anche una componente del dark web, è uno strumento particolarmente utile. Inoltre, i servizi di rimozione possono essere utili per eliminare siti web fraudolenti o dannosi.
In generale, le singole aziende non hanno i contatti necessari con i fornitori di servizi Internet, le piattaforme di cloud hosting e le forze dell’ordine per effettuare autonomamente rimozioni. I Digital risk protection services (DRPS) sono una soluzione affidabile che offre il monitoraggio del marchio attraverso l’analisi di Internet, Surface Web e dark web e fornisce metodi pratici come i servizi di rimozione dei siti.
Alcuni strumenti di monitoraggio
CTM360 CyberBlindspot e ThreatCover
CTM360 fornisce due soluzioni distinte per monitorare il dark web al fine di proteggere l’organizzazione dalle minacce emergenti. La prima, CyberBlindspot, si concentra sull’intelligence che fa riferimento direttamente alle risorse aziendali. CyberBlindspot amplia il concetto di indicatori di compromissione (IOC) ed espone indicatori di avvertimento o di attacco, consentendo di identificare in modo ancora più proattivo le aree di interesse della rete.
La seconda soluzione, ThreatCover, fornisce agli analisti gli strumenti necessari per analizzare i feed di intelligence sulle minacce, garantendo la qualità dei dati e del contesto, utile per avviare la risposta agli incidenti. CTM360 offre inoltre il servizio Takedown++, che facilita la rimozione globale delle minacce.
In sintesi, CTM360 fornisce due soluzioni innovative per la sicurezza informatica che permettono alle organizzazioni di essere proattive nella protezione delle loro risorse e di rispondere rapidamente agli attacchi.
IBM X-Force Exchange
è una piattaforma e una community per la condivisione di dati relativi alle minacce informatiche e all’intelligence. Grazie ad un database interattivo e ricercabile, i feed di minacce e di intelligence possono essere integrati nel sistema di sicurezza esistente mediante API e avvisi automatici. IBM offre molti strumenti gratuiti senza la necessità di registrazione, ma occorre la registrazione per personalizzare il portale, salvare ricerche pertinenti e seguire i feed relativi a domini e marchi rilevanti. Per accedere alle API, all’analisi avanzata e ai rapporti premium di intelligence sulle minacce, è necessario sottoscrivere un abbonamento.
Brandefense
è una soluzione DRPS basata sull’intelligenza artificiale che effettua la scansione del Surface Web e del Dark Web per raccogliere informazioni sui metodi di attacco o le violazioni dei dati, le correla e le contestualizza, fornendo avvisi quando un incidente è rilevante per il marchio esaminato. Inoltre, Brandefense può agevolare l’eliminazione dei threat actors, mantenendo proattivamente la postura di sicurezza, invece di dover rispondere agli attacchi.
Un’altra area di interesse per Brandefense è la sicurezza dei dirigenti di alto livello, o VIP, poiché questi individui sono spesso parte del marchio aziendale e sono frequentemente bersaglio di attacchi. Inoltre, i loro nomi ed e-mail sono spesso utilizzati in attacchi di spear phishing contro dipendenti o clienti.
Malware Information Sharing Platform
MISP è una piattaforma open source che si basa sull’idea di condividere dati di intelligence sulle minacce. La piattaforma MISP include software open source che può essere installato all’interno del data center o su diverse piattaforme cloud. Sfrutta protocolli e formati dati open source, che possono essere condivisi con altri utenti MISP o integrati con altri strumenti di sicurezza.
Sebbene i flussi di minacce MISP non siano gestiti allo stesso modo degli strumenti commerciali, rappresenta un’opzione a basso costo per le aziende che desiderano creare una soluzione di monitoraggio interno del dark web.
Mandiant Digital Threat Monitoring
offre visibilità sull’intelligence relativa a minacce, credenziali o altri segreti aziendali trapelati nel web e nel dark web. Grazie all’utilizzo dell’apprendimento automatico, vengono forniti avvisi pertinenti e prioritari che facilitano il processo di triage. Oltre al monitoraggio del marchio, che include la protezione VIP, questa soluzione offre anche l’analisi di aziende terze, con le quali si intrattengono rapporti. In questo modo, è possibile proteggersi ulteriormente e prevenire attacchi cross-domain che potrebbero eludere i controlli di sicurezza esistenti.
IntSights Threat Intelligence Platform
IntSights, fornisce informazioni complete sulle minacce esterne e un monitoraggio per gli Indicatori di Compromissione (IOC). La piattaforma IntSights estrae informazioni dal dark web, identificando minacce quali tattiche, tecniche, procedure, threat actors e varianti di malware. Questa tipologia di intelligence aiuta gli analisti a rimanere al passo con l’evolversi degli attacchi informatici, fornendo le conoscenze necessarie per migliorare le difese e formare gli utenti sulle best practices. Inoltre, IntSights, rende visibili le conversazioni relative a marchi o domini aziendali, attive nel dark web, permettendo di reagire alle minacce in modo proattivo piuttosto che aspettare che un attacco si verifichi.
OpenCTI
è una piattaforma open source progettata per la raccolta e la gestione di dati di intelligence sulle minacce. OpenCTI è implementabile come contenitore Docker, il che significa che può funzionare indipendentemente dalla piattaforma e può essere integrato, tramite una vasta gamma di connettori, ad altre piattaforme di sicurezza e strumenti software per arricchire i flussi di dati.
OpenCTI offre molte funzionalità, tra cui il controllo degli accessi basato sui ruoli, modelli di dati standard e dati di attributo che indicano l’origine del risultato. Inoltre, OpenCTI supporta automazioni di ogni genere, tramite il client OpenCTI per Python, che espone le API OpenCTI, e un framework di facile utilizzo, che consente lo sviluppo di logiche personalizzate basate sui dati degli eventi.
Palo Alto Networks AutoFocus
mette in risalto le informazioni che consentono agli analisti di sicurezza di valutare gli eventi e di determinare le azioni di risposta prioritarie. Raccoglie informazioni da archivi di dati disponibili su Internet e nel dark web, fornendo anche dati di contesto, correlando dati provenienti dalla rete globale di dispositivi dell’azienda.
Recorded Future Intelligence Cloud Platform
offre un servizio di monitoraggio continuo per oltre 300 state actors, più di 3 milioni di forum criminali noti, miliardi di domini e centinaia di milioni di indirizzi IP su Internet e sul dark web. Questa enorme quantità di dati di intelligence viene elaborata attraverso strumenti di analisi, che forniscono contesto e classificazione al set di dati, successivamente presentati in moduli specifici per il monitoraggio del marchio aziendale, delle minacce e delle vulnerabilità, delle identità e di molte altre aree. Ogni modulo visualizza informazioni fruibili e consente di assegnare priorità alla risposta in base alle necessità e ai rischi aziendali, riducendo al minimo i tempi di risposta e agevolando l’intervento tempestivo e mirato.
SOCRadar RiskPrime
fornisce una gamma di servizi e strumenti, anche gratuiti, che possono essere utilizzati per eseguire controlli manuali su nomi di dominio o indirizzi IP, compresi rapporti sul dark web. Per un monitoraggio più completo e regolare, è necessario sottoscrivere il servizio RiskPrime.
RiskPrime offre il monitoraggio delle informazioni di identificazione personale, e traccia gli account VIP compromessi, offrendo il rilevamento della reputazione e del phishing.
Il monitoraggio del dark web è essenziale per proteggere la privacy aziendale e prevenire attività illecite non desiderate. L’utilizzo degli strumenti elencati può aiutare a ottenere informazioni preziose per affrontare le minacce nascoste nel dark web.
