Die 10 besten Tools zur Darknet-Überwachung

Das Dark Web ist ein Ort, von dem jeder CISO hofft, dass die Daten seines Unternehmens dort nicht landen. Es besteht aus Websites, die von gängigen Suchmaschinen wie Google nicht indiziert werden. Dieser dunkle Teil des Internets umfasst Marktplätze für Daten, die in der Regel durch einen Cyberangriff erlangt wurden, zum Beispiel kompromittierte Benutzerkonten, Identitätsinformationen oder andere vertrauliche Unternehmensdaten.

Zu wissen, welche Daten auf diesen Websites angeboten werden, ist entscheidend für die Abwehr von Cyberkriminellen. Diese nutzen kompromittierte Konten, um Angriffe zu ermöglichen, Betrug zu begehen oder Kampagnen mit Spear-Phishing oder Brand-Spoofing durchzuführen. Das Dark Web ist auch zudem eine Quelle für Informationen über die Operationen, Taktiken und Absichten von kriminellen Gruppen. Für diese Zwecke gibt es Tools, die das Darknet auf kompromittierte Daten überwachen.

Wer braucht Tools zur Überwachung des Dark Web?

Da Dark-Web-Sites häufig nur auf Einladung zugänglich sind, muss man sich in der Regel als böswilliger Benutzer oder als Initial Access Broker (IAB) tarnen, um Zugang zu erhalten. Dies erfordert Personen oder Dienste, die nicht nur in der Lage sind, diese Websites zu identifizieren, sondern auch Daten zu beschaffen, die für den Schutz von Unternehmensidentitäten oder -daten relevant sind.

Die meisten Unternehmen müssen dazu allerdings keine direkten Recherchen im Dark Web durchführen. Stattdessen können sie Tools und Dienste nutzen, die das Dark Web scannen. Tools wie Extended Detection and Response (XDR) oder Dienste wie Managed Detection and Response (MDR) nehmen in der Regel Daten aus Quellen im Dark Web auf, um kompromittierte Konten zu identifizieren, das Risiko zu berechnen und Kontext zu liefern.

Einige Branchen, insbesondere Behörden, Finanzinstitute und bestimmte hochkarätige IT-Sicherheitsunternehmen, benötigen möglicherweise einen direkteren Zugang zu Informationen, die nur direkt aus Quellen im Dark Web verfügbar sind, so Gartner-Analyst Mitchell Schneider gegenüber CSO. In vielen Fällen sind diese Unternehmen nicht nur auf der Suche nach geleakten Zugangsdaten oder Unternehmensdaten. Vielmehr benötigen sie Informationen über Bedrohungsakteure, sich entwickelnde Angriffsvektoren oder Exploits.

Andere Geschäftsbereiche wie der Einzelhandel oder die Pharmaindustrie sind anfälliger für nicht-traditionelle Angriffe wie Marken-Sspoofing in Form von gefälschten Domains oder Phishing-Angriffen, so Schneider. Seiner Ansicht nach ist die Überwachung des digitalen Fußabdrucks ein besonders wertvolles Instrument, das oft auch eine Dark-Web-Komponente enthält. Außerdem sind Takedown-Services ein natürlicher Schritt über die Überwachung hinaus. Im Allgemeinen verfügen einzelne Unternehmen nicht über die erforderlichen Kontakte zu Internetanbietern, Cloud-Hosting-Plattformen und sogar Strafverfolgungsbehörden, um selbst Takedowns durchzuführen. Digital Risk Protection Services (DRPS) füllen diese Lücke, indem sie servicebasierte Lösungen anbieten, die auf den Schutz Ihrer Marke durch die Überwachung des Internets, des Surface Web und des Dark Web abzielen, sowie praktische Methoden, wie zum Beispiel Website-Takedown-Services.

Im Folgenden finden Sie die beliebtesten Tools zur Überwachung des Dark Web.

Brandefense

Brandefense ist eine KI-gesteuerte DRPS-Lösung (=Digital Risk Protection Service) die das frei zugängliche Web und das Dark Web scannt. Die Aufgabe des Tools ist es, Details zu Angriffsmethoden oder Datenschutzverletzungen zu sammeln, diese Daten zu korrelieren und zu kontextualisieren. Anschließend werden Warnungen gesendet, wenn ein Vorfall für das Unternehmen relevant ist. Brandefense kann auch Takedowns gegen Bedrohungsakteure erleichtern, falls dies notwendig sein sollte, so dass Sie Ihre Sicherheitspersonal nicht erst auf aktive Angriffe reagieren muss, sondern sich bereits darauf einstellen kann.

Die Sicherheit von hochrangigen Führungskräften - oder VIPs - ist ein weiterer Schwerpunkt von Brandefense, da diese Personen oft nicht nur Teil Ihrer Unternehmensmarke sind, sondern auch ein häufiges Angriffsziel. Ihre Namen und E-Mails werden auch häufig in Spear-Phishing-Angriffen gegen Mitarbeiter oder Kunden verwendet.

CTM360 CyberBlindspot und ThreatCover

CTM360 bietet zwei verschiedene Lösungen an, die das Dark Web überwachen. Ziel ist es, Ihr Unternehmen vor neuen Bedrohungen zu schützen. CyberBlindspot konzentriert sich auf Informationen, die sich direkt auf Ihre Unternehmensressourcen beziehen. Das Tool erweitert dabei das Konzept der Kompromittierungsindikatoren (Indicators of Compromise, IOC), um Warn- oder Angriffsindikatoren aufzudecken. Diese ermöglichen es, Bereiche, die für Ihr Netzwerk von Belang sind, noch proaktiver zu identifizieren.

ThreatCover bietet Tools für Sicherheitsanalysten, mit denen sie in Bedrohungsdaten-Feeds eintauchen können, um so eine optimale Datenqualität und einen optimalen Kontext zu erhalten. Auf deren Grundlage können Incident-Response-Teams eine Reaktion auf Vorfälle einleiten. CTM360 kann über seinen Takedown++-Service auch internationale Takedowns ermöglichen.

IBM X-Force Exchange

IBM X-Force Exchange ist in erster Linie eine Plattform für die gemeinsame Nutzung von Daten. Dabei werden die Bedrohungs- und Intelligence-Feeds in einer interaktiven, durchsuchbaren Datenbank zusammengeführt. Diese kann auch über APIs und automatische Warnmeldungen in Ihr bestehendes Sicherheitssystem integriert werden. Viele der von IBM angebotenen Tools sind kostenlos, ohne dass eine Registrierung erforderlich ist. Allerdings sollten Sie sich registrieren, um Ihr Portal durch das Speichern relevanter Suchvorgänge und das Verfolgen von Feeds, die sich auf relevante Domänen und Marken beziehen, individuell anzupassen. Für den API-Zugang, erweiterte Analysen und Premium-Bedrohungsdatenberichte ist ein Abonnement erforderlich.

IntSights Threat Intelligence Platform

IntSights Threat Intelligence Platform bietet ganzheitliche externe Bedrohungsdaten und Überwachung für das IOC. Da die Anwendung jetzt zur Rapid7-Familie gehört, durchsucht sie das Dark Web nach Bedrohungsdaten wie Taktiken, Techniken und Verfahren, Bedrohungsakteuren und Malware-Varianten. Diese Art von Intelligenz hilft Sicherheitsexperten, über die sich entwickelnden Angriffsmethoden auf dem Laufenden zu bleiben. Zudem können sie damit ihre Abwehrmaßnahmen anpassen. Das Produkt von IntSights bietet auch einen Einblick in aktive Konversationen im Dark Web, die sich auf Unternehmensmarken oder -domänen beziehen. Das ermöglicht Anwendern, proaktiv auf Bedrohungen zu reagieren, anstatt auf den Beginn eines Angriffs zu warten.

Malware Information Sharing Platform (MISP)

Bei der Malware Information Sharing Platform (MISP) handelt es sich um eine Open-Source-Plattform, die auf der Idee der gemeinsamen Nutzung von Bedrohungsdaten basiert. Die quelloffene Software kann in Ihrem Rechenzentrum oder auf verschiedenen Cloud-Plattformen installiert werden. Dabei werden Open-Source-Protokolle und -Datenformate genutzt, die mit anderen MISP-Benutzern geteilt. Diese können auch in alle gängigen IT-Sicherheits-Tools integriert werden. Die Unterstützung für die MISP-Integration wird häufig als Merkmal anderer Lösungen in dieser Liste genannt. MISP-Bedrohungsströme werden zwar nicht auf dieselbe Weise kuratiert wie kommerzielle Tools, aber es ist eine kostengünstige Möglichkeit für Unternehmen, eine interne Dark-Web-Überwachungslösung einzurichten.