Loading…

Detect Tor

Выявление вредоносов, утечек данных и взломанных активов

Анализ и риски сегмента сети Tor в Даркнете

tor Глубокая паутина, невидимая паутина, глубинный веб, скрытый веб, дарквеб или даркнет, как ни назови – суть одна. Огромное количество информации скрыто вне общедоступного интернета, её сложно найти и почти невозможно отследить. Даркнет – это подпольный интернет, скрытый от традиционных поисковиков и браузеров, где ежедневно происходит множество противозаконных вещей. Начало многих кибератак можно отследить до анонимных коммуникаций в Даркнете. Из-за того, что сетевые протоколы Tor постоянных изменяются и маскируются под легальный трафик, DPI и решения для анализа пакетов данных не способны их распознать. В связи с этим рано или поздно ваша организация столкнётся с сетью Tor, возможно даже станет одним из ее узлов. Ключевые риски для бизнеса, которые несёт вредоносное использование Tor, включают в себя инсайдерские атаки, нарушение соответствий стандартам, урон торговой марке, кибершпионаж и широко распространённые хакерские атаки при помощи программ-вымогателей (Cryptowall, TeslaCrypt, Cryptolocker и т.д.), ботнетов и комплексных APT-кампаний (BlackEnergy, Carbanak, Turla, Regin, *duke и другие).

Detect Tor от SOC Prime – кейс для SIEM

tor ArcSight Detect Tor, доступный в облачной платформе Use Case Library, позволяет вашей SIEM-системе воспользоваться всеми преимуществами технологий активного обнаружения, машинного обучения и профилирования поведения. Это позволяет максимально точно обнаруживать все соединения с сетью Tor в любой части инфраструктуры вашей организации. Признанные эксперты, такие как CloudFlare, установили, что 94% процента трафика, исходящего из сети Tor, генерируют боты, и почти всегда такой трафик - вредоносный. Согласно Project Honey Pot, 18% мирового трафика спама исходит из сети Tor. Конечно, не весь трафик Tor вредоносный, миллионы людей по всему миру используют эту сеть, чтобы защитить свои права на конфиденциальность, поэтому полная блокировка сети Tor недопустима. В то же время Tor весьма активно используется для APT-кампаний и программ-блокировщиков. Detect Tor позволяет вам обнаружить разницу между странными совпадениями и действительными инцидентами безопасности с помощью инструментов, которые уже есть у вас и у тысяч организаций во всем мире и которые доказали свою эффективность. Эти инструменты - SIEM-системы, такие как HPE ArcSight, QRadar и Splunk, и если вы читаете эту страницу, то велик шанс, что вы из одной из тех 20000+, у которых уже есть эти технологии! Готовое дополнение с аналитическим контентом, которое называется Detect Tor, от SOC Prime находит любые соединения с сетью Tor и отслеживает все вовлеченные активы, определяет возможные риски и угрозы, после чего автоматически предупреждает об этом специалистов по безопасности. Наше решение масштабируется для компаний любого размера и многопользовательских структур, включая как крупнейших телекоммуникационных операторов, так и сервис-провайдеров услуг безопасности (MSSP).

Тактический обзор для ИТ-безопасности

tor ArcSight Предназначение решения Detect Tor от SOC Prime - минимизировать использование сети Tor для вредоносных операций. В нем рассматривается ряд угроз, рисков и требований для соответствия стандартам. Detect Tor гармонично интегрируется с HPE ArcSight, IBM QRadar и Splunk, требует всего несколько минут на установку и предоставляет высочайшую точность по обнаружению деятельности Tor. Семь важных причин для использования Detect Tor:

  1. Существует значительная вероятность, что в вашей сети есть пользователи и активные узлы Tor, которые ваши средства обеспечения безопасности не могут обнаружить. DPI, IPS и Threat Intelligence изучили лишь незначительную часть сети Tor.
  2. Tor передает зашифрованные данные, поэтому является замечательным инструментом для инсайдерских атак и утечки данных.
  3. Использование Tor нарушает множество требований стандартов безопасности, таких как PCI DSS, SOX, HIPAA и может нарушать ваши политики безопасности.
  4. Более 50% программ-шифровальщиков, таких как Cryptowall, TeslaCrypt и Cryptolocker, используют Tor, чтобы скрыть управляющий трафик.
  5. Публичные списки выходных узлов Tor насчитывают около 7000 IP-адресов, в действительности же действующая сеть намного больше и постоянно изменяется.
  6. Если в вашей компании существует несанкционированный выходной узел Tor, который используют киберпреступники, у вас могут возникнуть проблемы с правоохранительными органами.
  7. APT-угрозы, такие как BlackEnergy, Carbanak, Turla, Regin и многие другие, используют Tor, на разных этапах атаки на инфраструктуру.

Новости с полей о Detect Tor

tor ArcSight На сегодняшний день Detect Tor от SOC Prime прошел успешно все тестовые испытания. Например, в одной компании с помощью Detect Tor обнаружили банковские вредоносы на бухгалтерских компьютерах, которые обошли традиционные антивирусные технологии, и RAT-трояны на корпоративных рабочих станциях с административным доступом. В другой компании – обнаружили нарушение политик безопасности некоторыми пользователями, которые использовали Tor для передачи конфиденциальной корпоративной информации. Detect Tor даже помог найти злоумышленника внутри компании, который отправил через сеть Tor более 50 гигабайт финансовой информации и данных о клиентах.

Несмотря на то, что описанные выше случаи показывают, насколько распространено использование сети Tor злоумышленниками, мы не сторонники точки зрения, что Tor необходимо запретить. Напротив, мы считаем, что компании должны использовать сеть Tor, но при этом держать ее под неусыпным контролем. Наша команда не поддерживает и не предлагает инструменты для перехвата информации или вмешательства в частную жизнь.

Поддерживаемые технологии