Gorodenkoff - stock.adobe.com
Warum Dark Web Monitoring für Unternehmen sinnvoll ist
Wenn Unternehmen das Dark Web im Blick behalten, erfahren sie frühzeitig, ob Daten kompromittiert wurden. Zudem finden sich dort für die Verteidigung nützliche Informationen.
Transparenz ist in vielen Bereichen der IT-Sicherheit ein Schlüsselfaktor, um die Situation zu verbessern. In vielerlei Hinsicht ist diese einfache Binsenweisheit zu einem Grundpfeiler der Sicherheitskontrollen geworden. Die Kenntnis der Verhaltensweisen unserer Gegner ist die Grundlage für alles, von Bedrohungsanalysen und Penetrationstests bis hin zu Überwachungsstrategien und Bedrohungsmodellierung. Mit anderen Worten: Das Verständnis der Angreifer bildet die Grundlage für vieles, was wir tun und wie wir es tun, und das führt zu einer besseren Bereitschaft und Betriebsbereitschaft.
Das Mitre ATT&CK-Framework ist ein gutes Beispiel dafür. Das Verständnis der von Angreifern eingesetzten Tools, Techniken und Verfahren hilft Verteidigern, Beweise für Angreiferaktivitäten zu finden. Oder denken Sie daran, wie die Lockheed Martin Cyber Kill Chain es uns ermöglicht, die Vorgehensweise von Angreifern zu verstehen - und dabei Werkzeuge bereitstellt, mit denen wir diese Aktivitäten unterbrechen können, bevor sie erfolgreich in die Tat umgesetzt werden können.
Tatsächlich ist es so, dass die Zeit, die man investiert, den Angreifer zu verstehen, niemals schlecht investiert ist. Eine Möglichkeit, dies zu tun, ist die Überwachung des Dark Web in Unternehmen. Grund genug, einmal näher zu betrachten, was man unter Dark Web Monitoring versteht. Wie kann dies Unternehmen helfen, welche Faktoren sind dabei zu beachten, bevor man dies strategisch in das eigene Sicherheitsprogramm aufnimmt?
Was ist Dark Web Monitoring?
Im Grunde ist das Konzept der Überwachung des Dark Web oder Darknet nicht schwer zu verstehen. Es geht darum, wichtige Informationen über Ihr Unternehmen zu sammeln, indem die Aktivitäten im Dark Web untersucht werden - dem Teil des Internets, der über Tor zugänglich ist. Da das Dark Web ein Kanal und ein Vehikel für den Informationsaustausch in der Angreifer-Community ist, dient die Überwachung den folgenden wichtigen Zwecken:
- Ein Frühwarnsystem für bevorstehende Angriffe.
- Eine investigative Kontrolle für die Datenexfiltration.
- Eine Datenquelle bezüglich der Aktivitäten von Angreifern.
- Daraus ergeben sich folgende Anwendungsfälle:
Erstens kann das Dark Web als Frühwarnsystem genutzt werden, um zu erkennen, ob in Ihr Unternehmen eingebrochen wurde. Das Dark Web ist ein gängiges Medium für den Austausch, den Handel und den Verkauf kompromittierter Informationen. Wenn Sie feststellen, dass Daten des Unternehmens dort zu finden sind - wichtige Geschäftsinformationen, Pläne, Benutzerdaten, Kundendaten oder andere Daten, die für Sie von Bedeutung sind - sind Sie wahrscheinlich gefährdet.
Mit einem Programm zur Überwachung des Dark Web können Sie auch nach Informationen über Ihre Benutzer suchen. Denken Sie daran, dass Benutzer - egal, wie oft Sie ihnen sagen, dass sie es nicht tun sollen - oft dieselben Passwörter für mehrere Websites und Dienste sowohl für Arbeits- als auch für Privatkonten verwenden. Eine Untersuchung des Dark Web, um festzustellen, ob die Anmeldeinformationen Ihrer Benutzer kompromittiert wurden, kann Ihnen helfen, diese Konten zu sichern. Alarmieren Sie die Benutzer zumindest, wenn ihre Daten zugänglich werden, aber fügen Sie dem Prozess zusätzliche Intelligenz hinzu, zum Beispiel die Auslösung einer Passwortrücksetzung, wenn kompromittierte Zugangsdaten online auftauchen.
Die Überwachung des Dark Web in Unternehmen ermöglicht es Unternehmen außerdem, Daten über die Aktivitäten von Angreifern, ihre Methoden und ihr Know-how zu sammeln. Das klingt völlig zurecht nach einer Überschneidung mit Threat Intelligence. In diesem Fall ergänzt die Überwachung des Dark Web andere Tools, die zum Sammeln von Daten über Angreifer und ihre Aktionen eingesetzt werden. Die Daten können gesammelt werden, um diese Aktivitäten allgemeiner zu verfolgen, um konkret die Security-Abwehr zu informieren und die entsprechenden Maßnahmen auszuwählen. Sie können aber auch gezielt nach bevorstehenden Kampagnen von Angreifergruppen suchen, die Sie betreffen könnten.
Wie man Dark Web Monitoring in die eigene Security-Strategie integriert
Wenn die Überwachung des Dark Web für Ihr Unternehmen interessant ist, stellt sich als nächstes die Frage, wie Sie diese Fähigkeit in Ihr bestehendes Sicherheitsprogramm integrieren können. Große Unternehmen können in Erwägung ziehen, intern eigene Überwachungsfunktionen aufzubauen. Kleinere Firmen können die Überwachung an einen der vielen Anbieter auslagern, die dies als Dienstleistung anbieten.
Jede Option hat Vor- und Nachteile. Das Auslagern kann durchaus verlockend sein. Denn wie einige andere spezialisierte Security-Disziplinen- darunter Forensik, Red Team und Penetrationstests sowie Threat Intelligence im weiteren Sinne - kann die Überwachung des Dark Web teuer und zeitaufwendig sein. Je nach Ihren spezifischen Bedürfnissen und den angestrebten Ergebnissen kann es spezielle Fähigkeiten erfordern, wie zum Beispiel Sprachkenntnisse die bei der Beobachtung globaler Akteure hilfreich sein können. Darüber hinaus ist es zeitaufwendig, Foren, Marktplätze und anderen Bereiche, die von Angreifern zum Austausch von Daten genutzt werden, im Blick zu behalten.
Der Aufbau eines internen Teams kann ein teures Unterfangen sein. Spezialisierte Schulungen sind unerlässlich, und es kann schwierig sein, die richtigen Mitarbeiter zu finden. Eine intern entwickelte Dark-Web-Überwachungsfunktion bietet jedoch eine viel größere Flexibilität und ermöglicht es Ihrem Unternehmen, sie genau nach seinen Wünschen anzupassen.
Idealerweise geht man die Entscheidung systematisch und unter Berücksichtigung der unternehmensspezifischen Faktoren an. Wenn es sich beispielsweise um ein großes Unternehmen handelt, das bereits stark in eine interne Bedrohungsanalyse investiert hat, bietet die Unterbringung der Dark-Web-Überwachung im Unternehmen innerhalb der bestehenden Struktur offensichtliche Synergieeffekte. Wenn Sie jedoch ein kleineres Unternehmen sind und der Unterhalt eines spezialisierten Überwachungspersonals für das Dark Web wirtschaftlich nicht sinnvoll ist, könnte das Outsourcing eine bessere Alternative sein.