知己知彼,百战不殆。——《孙子兵法》
在许多方面,这个简单的道理已成为构建安全控制的支柱。了解对手的行为可以通过威胁情报和渗透测试到监控策略和威胁建模等一系列方法提供信息。换句话说,了解我们的敌人是我们所做的大部分工作和工作方式的基础,这可以转化为更好的准状态备和行动准备。
Mitre ATT&CK框架就是一个很好的例子。了解攻击者部署的工具、技术和程序有助于防御者查明攻击者活动的证据。或者考虑一下洛克希德马丁(Lockheed Martin)公司的网络杀伤链如何使我们能够了解攻击者的活动——在这个过程中,我们可以利用它提供的工具在这些活动开始之前就将其破坏。
事实上,花在了解对手上的时间永远不会被浪费。一种方法是企业暗网监控。让我们来看看什么是企业暗网监控、它如何帮助您的企业,以及在将这种功能引入您自己的计划之前需要考虑的一些因素。
什么是暗网监控?
从本质上讲,暗网监控并不是一个难以理解的概念。它是指通过探测暗网(即通过Tor访问的那部分网络)上的活动来收集有关贵公司的关键信息。由于暗网是攻击者社区交流信息的渠道和工具,因此监控具有以下主要目的:
- 对即将发生的攻击发出预警。
- 用于数据泄露的检测控制。
- 有关攻击者活动的数据源。
考虑这些使用案例。首先,暗网可以用作金丝雀,在您的企业遭到攻击时发出警报。暗网是共享、交易和出售泄露信息的常见工具。如果您发现自己的数据在暗网上出现,包括关键的商业情报、计划、用户数据、客户数据或任何其他对您有意义的数据,那么您很可能已经暴露了。
暗网监控程序还可以让你搜索是否存在用户信息。请记住,无论您多少次告诉用户不要这样做,用户通常都会在工作帐户和家庭帐户上对多个网站和服务使用相同的密码。探测暗网以确定用户的凭据是否已被泄露,可以帮助您保护这些帐户。至少,如果用户的数据可以访问,则向用户发出警报,但要在流程中添加额外的智能——例如,如果在线出现泄露的凭据,则触发密码重置。
企业暗网监控还能让企业收集有关攻击者活动、攻击方法和攻击手段的数据。如果这听起来似乎与传统的威胁情报功能重叠,那么您绝对是对的。在这种情况下,暗网监控是对用于收集攻击者及其行动数据的其他工具的补充。收集到的数据可以更广泛地跟踪这些活动,为防御和控制选择提供信息。或者,您也可以定制特定搜索,以查找攻击者团伙即将发起的可能对您产生影响的活动。
如何将暗网监控集成到您的计划中
如果暗网监控对您的组织有吸引力,那么下一个问题是如何将该功能集成到您现有的安全计划中。大公司可以考虑在内部建立自己的监控能力。规模较小的公司可以考虑将监控外包给提供此服务的众多供应商之一。
每个选择都有优点和缺点。外包可能很有吸引力;与其他几个专业的安全子学科(其中包括取证、红队渗透测试以及更广泛的威胁情报)非常相似,暗网监控可能既昂贵又耗时。根据您的具体需求和预期结果,它可能需要专业技能,例如流利地使用全球威胁行为者使用的非英语语言,以及访问论坛、市场和攻击者用于共享数据的其他区域的时间。
建立一支内部团队可能是一项耗资巨大的工作。专业培训至关重要,找到合适的员工也很困难。尽管如此,内部设计的暗网监控能力提供了更大的灵活性,使企业能够完全按照自己的要求进行定制。
理想情况下,该决策应系统地进行,并考虑到企业特定的因素。例如,如果您是一个大型企业,已经在内部威胁情报功能上投入了大量资金,那么在现有结构中设置企业暗网监控会产生明显的协同效应。但是,如果您是一个较小的企业,专门的暗网监控人员没有经济意义,那么外包可能是更好的选择。