10 strumenti di monitoraggio del dark web

Il dark web è il luogo in cui ogni CISO spera che i dati della propria azienda non finiscano. Si tratta di siti che non sono indicizzati dai motori di ricerca né raggiungibili con un normale browser, e in cui chi pubblica e chi naviga lo fa in modo completamente anonimo e irrintracciabile. Accanto ad alcuni servizi che supportano comunità di attivisti per i diritti civili e persone discriminate e perseguitate nel loro paese, il dark web comprende marketplace di merce e informazioni illegali, compresi i dati ottenuti da cyberattacchi, come credenziali di account utente compromessi, informazioni personali, numeri di carte di credito o altre informazioni aziendali riservate.

Ottenere informazioni operative sui dati offerti da questi siti è fondamentale per difendersi dai criminali informatici che utilizzano proprio gli account compromessi per sferrare attacchi, commettere frodi o condurre campagne di spear phishing o brand spoofing. Il dark web è anche una fonte di informazioni sulle operazioni, le tattiche e le intenzioni dei gruppi criminali ed esistono strumenti che monitorano il dark web alla ricerca di dati compromessi.

Chi ha bisogno di strumenti di monitoraggio del dark web?

Poiché i siti del dark web sono spesso ad accesso riservato e su invito, per accedervi è necessario infiltrarsi mascherandosi da utente malintenzionato o da qualcuno in cerca di identità rubate o di dati aziendali. Ciò richiede persone o servizi con competenze che consentano loro non solo di identificare questi siti, ma anche di acquisire dati rilevanti per la protezione delle identità o dei dati aziendali.

La maggior parte delle aziende non ha bisogno di effettuare direttamente ricerche sul dark web, ma è possibile sfruttare strumenti e servizi di scansione del dark web come Extended Detection and Response (XDR) o Managed Detection and Response (MDR), che assimilano comunemente dati raccolti da fonti del dark web per identificare account compromessi, calcolare il rischio e fornire un contesto.

Mitchell Schneider, analista di Gartner, spiega che alcuni settori, in particolare il governo, le istituzioni finanziarie, alcune aziende di alto profilo nel campo della sicurezza informatica e altri, potrebbero avere bisogno di un accesso più diretto alle informazioni disponibili solo da fonti del dark web. In molti casi queste aziende sono alla ricerca di qualcosa che vada oltre le credenziali trapelate o i dati aziendali. Hanno piuttosto bisogno di informazioni sugli attori delle minacce, sui vettori di attacco in evoluzione o sugli exploit.

Ecco alcuni dei più popolari strumenti di monitoraggio del dark web.

Brandefense

Brandefense è una soluzione DRPS (Digital Risk Protection Services) guidata dall’intelligenza artificiale che scansiona il surface web e il dark web per raccogliere dettagli sui metodi di attacco o sulle violazioni dei dati, correlando questi dati e contestualizzandoli per poi fornire avvisi quando un incidente ha rilevanza per il vostro brand. Brandefense può anche facilitare i takedown contro gli attori delle minacce, se necessario, mantenendo la vostra sicurezza in una posizione avanzata piuttosto che in attesa di rispondere ad attacchi attivi.

La sicurezza dei dirigenti di alto livello è un’altra area di interesse per Brandefense, poiché queste persone spesso sono un obiettivo sensibile per gli attaccanti. I loro nomi e le loro email sono anche spesso utilizzati negli attacchi di spear phishing contro i dipendenti o i clienti.

CTM360 CyberBlindspot e ThreatCover

CTM360 offre due diverse soluzioni che monitorano il dark web per proteggere la vostra azienda dalle minacce emergenti. CyberBlindspot si concentra sull’intelligence che fa riferimento direttamente alle risorse aziendali ed espande il concetto di indicatori di compromesso (IOC) per esporre indicatori di allarme o indicatori di attacco, consentendoti di identificare in modo ancora più proattivo le aree problematiche per la vostra rete.

ThreatCover offre agli analisti della sicurezza la possibilità di scavare a fondo nei feed di intelligence sulle minacce, consentendo una qualità dei dati e un contesto ottimali da cui i team di risposta possono avviare la risposta agli incidenti. CTM360 può anche facilitare i takedown a livello internazionale attraverso il suo servizio Takedown++.

IBM X-Force Exchange

IBM X-Force Exchange è principalmente una piattaforma e una comunità di condivisione dei dati, che riunisce i feed delle minacce e dell’intelligence in un database interattivo e ricercabile che può anche essere integrato nello stack di sicurezza esistente tramite API e avvisi automatici. Molti degli strumenti offerti da IBM sono gratuiti e non richiedono alcuna registrazione, anche se dovrete registrarvi per poter personalizzare il vostro portale salvando ricerche pertinenti e seguendo i feed relativi a domini e marchi rilevanti. L’accesso alle API, l’analisi avanzata e i report premium sulle minacce richiedono invece un abbonamento.

IntSights Threat Intelligence Platform

IntSights Threat Intelligence Platform offre un servizio olistico di intelligence e monitoraggio delle minacce esterne per gli IOC. IntSights, che ora fa parte della famiglia Rapid7, analizza il dark web alla ricerca di informazioni sulle minacce come tattiche, tecniche e procedure, attori pericolosi e varianti di malware. Questo tipo di informazioni aiuta i professionisti della sicurezza a rimanere aggiornati sull’evoluzione dei metodi di attacco, fornendo inoltre i mezzi per adeguare le difese e formare gli utenti sulle migliori pratiche. Il prodotto di IntSights fornisce anche una finestra sulle conversazioni attive nel dark web che fanno riferimento a brand o domini aziendali, dando così la possibilità di reagire alle minacce in modo proattivo invece di aspettare l’inizio dell’attacco.

Malware Information Sharing Platform – MISP

Malware Information Sharing Platform (MISP) è una piattaforma open-source che si basa sull’idea di condividere i dati di intelligence sulle minacce. MISP include un software open-source che può essere installato all’interno del vostro data center o su varie piattaforme cloud e sfrutta protocolli e formati di dati open-source che possono essere condivisi con altri utenti di MISP o integrati in ogni tipo di strumento di sicurezza informatica. Anche se i flussi di minacce di MISP non sono curati allo stesso modo degli strumenti commerciali, si tratta di un modo economico per le aziende di creare una soluzione interna di monitoraggio del dark web.

Mandiant Digital Threat Monitoring

Mandiant Digital Threat Monitoring offre visibilità sulle informazioni relative alle minacce e alle credenziali trapelate o ad altri segreti aziendali su Internet aperto o sul dark web. Questi dati di intelligence sono rafforzati da un contesto fornito attraverso il machine learning, che determina avvisi pertinenti e prioritari che facilitano il processo di triage. Oltre al monitoraggio del brand, Mandiant Digital Threat Monitoring offre il monitoraggio di altre aziende con cui avete rapporti di fiducia. Monitorando questi partner fidati, potete proteggere ulteriormente la vostra supply chain e prevenire gli attacchi cross-domain che hanno il potenziale di aggirare i controlli di sicurezza esistenti.

OpenCTI

OpenCTI è un’altra opzione open source per raccogliere, gestire e interagire con i dati di intelligence. OpenCTI può essere distribuito come container Docker, il che lo rende agnostico rispetto alla piattaforma, e offre una vasta gamma di connettori ad altre piattaforme di sicurezza e strumenti software per integrare e arricchire il flusso di dati di OpenCTI.

Il set di funzionalità comprende il controllo dell’accesso basato sui ruoli per il team di sicurezza informatica, modelli di dati basati su standard e dati di attributo che indicano l’origine della scoperta. L’automazione può essere attivata utilizzando il client OpenCTI per Python, che consente di sviluppare rapidamente una logica personalizzata basata sui dati degli eventi.

Palo Alto Networks AutoFocus

Non è un segreto che Palo Alto Networks sia uno dei principali attori nel campo della sicurezza di rete e AutoFocus è un elemento chiave del suo portafoglio. AutoFocus porta in primo piano un contesto e un’analisi approfonditi, consentendo agli analisti della sicurezza di gestire gli eventi e dare priorità agli sforzi di risposta. Palo Alto Networks raccoglie informazioni non solo da archivi di dati su Internet aperto e sul dark web, ma le correla e le contestualizza utilizzando i dati consumati dall’impronta globale di dispositivi e servizi del fornitore.

Recorded Future Intelligence Clout Platform

Questa piattaforma prevede il monitoraggio costante di oltre 300 attori statali, 3 milioni di handle di forum criminali noti, miliardi di domini e centinaia di milioni di indirizzi IP su Internet e sul dark web. Questi dati di intelligence confluiscono quindi in strumenti di analisi per essere categorizzati, contestualizzati ed essere inseriti in moduli che si concentrano sul vostro brand, sulle minacce e le vulnerabilità, sulle identità e su molte altre aree. Ciascun modulo fornisce informazioni utili, consentendovi di stabilire una priorità di risposta in base alle esigenze e ai rischi aziendali, riducendo al minimo i tempi di risposta e facilitando una bonifica efficiente.

SOCRadar RiskPrime

SOCRadar offre diversi servizi e strumenti per i professionisti della sicurezza, tra cui una serie di strumenti gratuiti che potete utilizzare per controlli manuali e una tantum su nomi di dominio o indirizzi IP, come ad esempio un report sul dark web. Per un monitoraggio più completo e ricorrente è necessario abbonarsi al servizio RiskPrime, che offre il monitoraggio delle PII (informazioni di identificazione personale), degli account VIP compromessi, della reputazione e il rilevamento del phishing. I servizi di takedown, a meno che non abbiate un livello di servizio Enterprise, hanno un costo aggiuntivo.