Loading…

Detect Tor

Выявление вредоносов, утечек данных и взломанных активов

Анализ и риски сегмента сети Tor в Даркнете

tor Глубокая паутина, невидимая паутина, глубинный веб, скрытый веб, дарквеб или даркнет, как ни назови – суть одна. Огромное количество информации скрыто вне общедоступного интернета, её сложно найти и почти невозможно отследить. Даркнет – это подпольный интернет, скрытый от традиционных поисковиков и браузеров, где ежедневно происходит множество противозаконных вещей. Начало многих кибератак можно отследить до анонимных коммуникаций в Даркнете. Из-за того, что сетевые протоколы Tor постоянных изменяются и маскируются под легальный трафик, DPI и решения для анализа пакетов данных не способны их распознать. В связи с этим рано или поздно ваша организация столкнётся с сетью Tor, возможно даже станет одним из ее узлов. Ключевые риски для бизнеса, которые несёт вредоносное использование Tor, включают в себя инсайдерские атаки, нарушение соответствий стандартам, урон торговой марке, кибершпионаж и широко распространённые хакерские атаки при помощи программ-вымогателей (Cryptowall, TeslaCrypt, Cryptolocker и т.д.), ботнетов и комплексных APT-кампаний (BlackEnergy, Carbanak, Turla, Regin, *duke и другие).

Detect Tor от SOC Prime – кейс для SIEM

tor ArcSight Available through Threat Detection Marketplace cloud platform, Detect Tor delivers a fusion of Machine Learning, Behavior Profiling and Active Discovery technology straight to your SIEM. This enables the highest possible accuracy on finding all Tor connections in any parts of organizational infrastructure. It is stated by recognized experts, such as CloudFlare, that 94% of Tor traffic is an M2M (machine-to-machine) and is very often malicious in its nature. Tor traffic also accounts for 18% of global world spam email according to Project Honey Pot. Yet, reality is that not all Tor traffic is malicious, millions of people worldwide use it to defend their privacy rights, so auto-blocking Tor is not a feasible solution! At the same time, Tor is also actively used for Ransomware and APT campaigns. Detect Tor enables you to tell the difference between a strange pattern and a real security incident by leveraging the tools you and thousands of organizations worldwide already have and trust for decades. These tools are called SIEM systems, such as ArcSight, QRadar and Splunk, and if you are reading this page the chance is high that you are one of those 20000+ companies worldwide who have these technologies at your service! A turn-key analytical content add-on by SOC Prime is called DetectTor and it finds any Tor related connections and spots the assets involved, defines risk priority, identifies the threat behind and automatically alerts security specialists on such behavior. Solution is scalable for Enterprise of any size and multi-tenant architectures, including huge international Telecom operators as well as Managed Security Service Providers.

Тактический обзор для ИТ-безопасности

tor ArcSight Предназначение решения Detect Tor от SOC Prime - минимизировать использование сети Tor для вредоносных операций. В нем рассматривается ряд угроз, рисков и требований для соответствия стандартам. Detect Tor гармонично интегрируется с HPE ArcSight, IBM QRadar и Splunk, требует всего несколько минут на установку и предоставляет высочайшую точность по обнаружению деятельности Tor. Семь важных причин для использования Detect Tor:

  1. Существует значительная вероятность, что в вашей сети есть пользователи и активные узлы Tor, которые ваши средства обеспечения безопасности не могут обнаружить. DPI, IPS и Threat Intelligence изучили лишь незначительную часть сети Tor.
  2. Tor передает зашифрованные данные, поэтому является замечательным инструментом для инсайдерских атак и утечки данных.
  3. Использование Tor нарушает множество требований стандартов безопасности, таких как PCI DSS, SOX, HIPAA и может нарушать ваши политики безопасности.
  4. Более 50% программ-шифровальщиков, таких как Cryptowall, TeslaCrypt и Cryptolocker, используют Tor, чтобы скрыть управляющий трафик.
  5. Публичные списки выходных узлов Tor насчитывают около 7000 IP-адресов, в действительности же действующая сеть намного больше и постоянно изменяется.
  6. Если в вашей компании существует несанкционированный выходной узел Tor, который используют киберпреступники, у вас могут возникнуть проблемы с правоохранительными органами.
  7. APT-угрозы, такие как BlackEnergy, Carbanak, Turla, Regin и многие другие, используют Tor, на разных этапах атаки на инфраструктуру.

Новости с полей о Detect Tor

tor ArcSight На сегодняшний день Detect Tor от SOC Prime прошел успешно все тестовые испытания. Например, в одной компании с помощью Detect Tor обнаружили банковские вредоносы на бухгалтерских компьютерах, которые обошли традиционные антивирусные технологии, и RAT-трояны на корпоративных рабочих станциях с административным доступом. В другой компании – обнаружили нарушение политик безопасности некоторыми пользователями, которые использовали Tor для передачи конфиденциальной корпоративной информации. Detect Tor даже помог найти злоумышленника внутри компании, который отправил через сеть Tor более 50 гигабайт финансовой информации и данных о клиентах.

Несмотря на то, что описанные выше случаи показывают, насколько распространено использование сети Tor злоумышленниками, мы не сторонники точки зрения, что Tor необходимо запретить. Напротив, мы считаем, что компании должны использовать сеть Tor, но при этом держать ее под неусыпным контролем. Наша команда не поддерживает и не предлагает инструменты для перехвата информации или вмешательства в частную жизнь.

Поддерживаемые технологии