Internet est une mine d'or d'informations sur les menaces qui peuvent renforcer vos cyberdéfense si vous suivez activement ces données. Des actualités aux discussions sur les forums de hackers, en passant par les vidages de données et les offres de services sur les places de marché, il y a beaucoup à découvrir qui pourrait autrement passer sous le radar.
Le suivi des cybermenaces à la fois sur Internet accessible au public (web clair) et sur la partie d'Internet nécessitant un logiciel spécial pour y accéder (web sombre) vous aide à garder une longueur d'avance sur les acteurs de la menace. Lisez la suite pour en savoir plus sur les types de menaces qui méritent d'être suivies sur le Web sombre et clair.
Principales menaces du dark web à surveiller
Le dark web est une ruche d'activités cybercriminelles souterraines avec des acteurs menaçants allant des script kiddies à la recherche de scripts ou de programmes développés par d'autres à utiliser à des fins malveillantes aux groupes de menaces persistantes avancées (APT) proposant des exploits zero-day pour des millions de dollars. Les principales menaces du dark web dont il faut envisager le suivi incluent :
Comptes piratés ou identifiants à vendre
Selon une estimation récente, il y a plus de 24 milliards des identifiants volés sont donnés et mis en vente sur le dark web. Les comptes d'utilisateurs offrent souvent un accès facile à l'environnement d'une entreprise, c'est pourquoi le Web sombre est si inondé de ces données. Et comme les mauvaises pratiques telles que les mots de passe facilement devinables, la réutilisation des informations d'identification sur plusieurs comptes et le manque d'authentification multifacteur sont toujours monnaie courante, le marché des informations d'identification volées continue de prospérer.
Les menaces ici s'étendent des informations d'identification volées à l'ensemble des comptes d'utilisateurs piratés pour la vente, ou des empreintes digitales de navigateurs numériques volées secrètement aux victimes et reconditionnées en robots que les acheteurs peuvent utiliser pour se connecter et se faire passer pour ces victimes. Le suivi des marchés du dark web à la recherche d'informations d'identification volées à vendre vous aide à réinitialiser les comptes concernés et à prévenir les violations de données avant que des acteurs malveillants ne les exploitent.
Attaques ciblées
Les attaques ciblées sont une autre menace clé du dark web à surveiller. Votre entreprise ou vos actifs peuvent être mentionnés dans les forums du dark web par des adversaires à la recherche d'assistance ou de services pour briser vos défenses. Ou, le nom de votre entreprise peut figurer dans les offres de services sur les places de marché, avec des groupes proposant de mener des attaques DDoS ou d'autres attaques contre vous moyennant des frais.
Le suivi des informations sur les attaques ciblées vous aide à identifier les menaces inconnues et à venir pour votre sécurité. Ce suivi facilite une enquête plus approfondie et des mesures proactives pour prévenir de telles attaques.
Discussions sur les vulnérabilités
Ces sources d'informations plus génériques peuvent s'avérer utiles pour évaluer les schémas et les tendances générales des campagnes de cyberattaques actuelles et à venir. Les forums de cybercriminalité du dark web incluent souvent des discussions sur les vulnérabilités logicielles pour lesquelles les correctifs ne sont pas largement déployés. Considérer ces conversations comme une menace et les suivre de manière appropriée vous donne un temps précieux pour protéger les logiciels vulnérables ou découvrir des faiblesses jusque-là inconnues.
Offres de services
Le modèle commercial de la cybercriminalité en tant que service continue de gagner en popularité sur le dark web. Les adversaires proposent des outils, des logiciels malveillants ou des attaques sur mesure comme les rançongiciels à d'autres acteurs de la menace moyennant un abonnement mensuel ou une sorte de commission. Le suivi des offres de services actuelles sur les marchés du dark web vous donne un aperçu précieux des menaces potentielles à venir.
Quelles cybermenaces devriez-vous suivre sur le Clear Web ?
Le dark web peut contenir la majeure partie des informations sur les menaces basées sur Internet qui méritent d'être suivies, mais lorsque vous savez ce qu'il faut rechercher, le clear web est également une source très utile.
Fuites GitHub
Integrate the world’s easiest to use and most comprehensive cybercrime database into your security program in 30 minutes.
Le PDG de Microsoft, Satya Nadella, déclare que chaque entreprise est désormais une société de logiciels. Que vous publiiez ou non des applications destinées aux clients, il est probable que vous ayez une équipe qui exécute des projets de développement pour des applications et des services internes. Le code de ces projets est souvent stocké dans des services d'hébergement Internet comme Github.
As Twitter a découvert à ses dépens récemment, le code source propriétaire peut et est effectivement divulgué dans les référentiels GitHub, accidentellement ou intentionnellement. Les clés secrètes peuvent également se retrouver dans des référentiels publics GitHub, où les pirates les saisissent facilement et utilisent ces clés pour accéder à d'autres services.
Le risque de code source et fuites secrètes sur Github rend cette menace digne d'être suivie. En particulier, chaque validation publique sur GitHub doit être analysée à la recherche de secrets et de données sensibles ; cela inclut les référentiels GitHub personnels utilisés par vos développeurs.
Vidages de données
L'industrie des ransomwares et de l'extorsion de données sur le dark web vaut des milliards de dollars, mais dans de nombreux cas, les données volées finissent par être librement disponibles sur l'Internet public. Les pirates publient régulièrement des vidages de mots de passe, des données techniques sensibles et même des informations personnellement identifiables régulièrement sur Pastebin et d'autres sites de partage anonymes (sites bin) accessibles à l'aide de navigateurs Web standard.
Avec des informations divulguées facilement accessibles à tout acteur malveillant qui charge Pastebin ou un site Web similaire, cette cybermenace peut se cacher à l'extérieur de votre périmètre en attendant d'être utilisée à des fins malveillantes. Cela vaut vraiment la peine de suivre le Web clair pour les mentions de votre entreprise ou de vos domaines de messagerie.
Avec des données volées qui coûtent si cher dans le monde souterrain de la cybercriminalité d'aujourd'hui, vous vous demandez peut-être pourquoi quelqu'un rendrait ces informations disponibles gratuitement. Dans certains cas, des groupes de menaces ou des acteurs individuels veulent démontrer leurs prouesses en matière de piratage et fournir des preuves de ce qu'ils peuvent faire. Certains adversaires volent des données à des fins non lucratives, mais à des fins politiques, idéologiques ou même récréatives, et ils n'hésitent pas à publier gratuitement des informations volées sur des sites de partage anonyme.
Usurpation de domaine
Parfois appelé attaque d'usurpation d'identité de marque, l'usurpation de domaine implique que des escrocs créent des sites Web similaires pour se faire passer pour votre entreprise. Un pic au cours des dernières années dans la fraude par usurpation d'identité a conduit à un rapport 2 milliard de dollars de pertes ces dernières années, comme l'a rapporté la FTC des États-Unis.
Ces domaines usurpés peuvent utiliser l'adresse exacte de votre site Web professionnel et modifier simplement le domaine de premier niveau (TLD), par exemple, de .com à .co. Le plus souvent, cependant, le domaine usurpé ressemble ou ressemble à votre nom de domaine d'origine, mais il y a une légère faute d'orthographe ou un caractère supplémentaire dans le nom de domaine.
Les acteurs de la menace qui créent ces faux sites Web copient souvent la marque exacte du site Web de l'entreprise cible pour rendre le faux site plus convaincant. L'intention derrière l'usurpation de domaine est souvent de récolter des informations sensibles auprès de clients ou d'employés sans méfiance qui pensent interagir avec votre marque authentique.
L'atteinte à la réputation est l'une des principales conséquences de l'usurpation de domaine : les clients concernés sont enclins à reprocher à la marque de ne pas connaître l'existence d'un site Web copié. Étant donné que ces domaines similaires sont presque toujours accessibles via l'Internet public, ils valent certainement la peine d'être suivis, idéalement en utilisant une sorte de service ou d'outil automatisé.
Pourquoi le suivi automatisé des menaces est essentiel
Les lacunes en matière de compétences en matière de sécurité continuent de limiter les ressources disponibles pour la plupart des entreprises et ont un impact sur la manière dont elles préviennent, détectent et répondent aux cybermenaces. Il est possible de suivre manuellement bon nombre de ces menaces, mais cela ne signifie pas qu'il s'agit d'une utilisation efficace ou judicieuse des ressources. En fait, le suivi de toutes ces informations occuperait à lui seul la majeure partie de la semaine de travail de votre équipe de sécurité.
Les meilleurs endroits où vos analystes de sécurité peuvent ajouter de la valeur sont en surveillant les discussions sur les vulnérabilités sur les forums et en consultant régulièrement les dernières offres de services sur les places de marché pour évaluer les tendances. En dehors de ces menaces, l'automatisation est la voie à suivre pour un suivi des menaces Web sombre et clair.
Suivi des fusées éclairantes et des menaces
La solution de surveillance de l'empreinte numérique de Flare fonctionne sans effort pour analyser à la fois le Web clair et le Web sombre à la recherche de toutes sortes d'informations sur les menaces. Vous recevez des alertes en temps réel si votre entreprise ou vos actifs sont mentionnés n'importe où sur le Web sombre, profond ou clair. Flare identifie également les informations d'identification divulguées, les informations d'identification à vendre, les vidages de données sur les sites Web de partage anonymes, les fuites GitHub, etc.