Így működik a sötét web – ismerd fel a kapukat!
A sötét web nem a hagyományos interneten rejtőzik, hanem anonimizáló eszközöket – például a Tor böngészőt, az Invisible Internet Projectet (I2P) vagy a Freenet hálózatot – használ. Ezek elrejtik a felhasználók nyomait, titkosítják az adatforgalmat, és megnehezítik a hagyományos észlelési módszerek számára a felfedezésüket. Érdemes kiemelni, hogy a forgalomban még így is fellelhetők azok a jelek, amelyek erre az aktivitásra utalnak: szokatlan portok használata, furcsán titkosított forgalmi minták, illetve gyanús kommunikáció Tor node-okkal.
Az NDR eszközök szerepe a védelmi arzenálban
Az NDR valós időben figyeli a hálózati forgalmat, mesterséges intelligenciát, gépi tanulást és viselkedéselemzést alkalmazva kutatja fel a gyanús vagy kifejezetten rosszindulatú tevékenységeket. Ezek a rendszerek folyamatosan rögzítik az eseményeket, történeti adatokat szolgáltatnak, amelyek elengedhetetlenek a biztonsági elemzők számára ahhoz, hogy kontextusban lássák az incidenseket. Így lehetőség nyílik a fenyegetések észlelésének és a reagálási időnek a csökkentésére, még akkor is, ha a mesterséges intelligenciával vezérelt támadások vagy a sötét webről érkező fenyegetések túl kifinomultak lennének a hagyományos módszerek számára.
Teljes átláthatóság az NDR-rel – a lépések
Elsőként az NDR érzékelőket a legfrekventáltabb, leginkább veszélyeztetett hálózati szegmensekbe kell telepíteni, különösen azokra a helyekre, ahol értékes adatok vagy üzleti folyamatok zajlanak. Az eszköznek elemeznie kell a kimenő-bemenő (north-south) és az oldalsó (lateral) forgalmat is, hogy kiszűrhető legyen a parancs- és vezérlő (C2) kommunikáció, vagy az adatlopási próbálkozás.
Telepítés után az NDR rendszer egy 30 napos tanulási időszakkal (baselining) ismeri meg a hálózat normális működését. Ez lehetővé teszi, hogy a későbbi eltérések – például új, ismeretlen IP-kkel való kommunikáció, szokatlan peer-kapcsolatok, furcsa átvitel protokollok vagy gyanúsan álcázott forgalom – azonnal észlelhetők legyenek. Ugyanakkor, ha a hálózatot már korábban feltörték, fontos, hogy ezeket az anomáliákat ne tanulja be normálisnak a rendszer – ezért szükséges a tudatos, aktív felügyelet.
Különös figyelem a Tor, I2P és P2P forgalomra
A Tor protokollt leleplezhetjük, ha az eszközök a 9001, 9030, 9050 portokon kommunikálnak, ha a TLS-fejlécek összetettek, a kommunikáció túl hosszú ideig tart, vagy szokatlanul nagy a sávszélesség-használat. Figyelni kell a Tor node-okhoz való kapcsolódásokat, az IP-címek gyakori váltogatását, illetve a különféle anonimizációs szolgáltatások mintázataira.
Ugyanez igaz az I2P (7650-7659 port), valamint a BitTorrent és más P2P (6881-6889 port) forgalomra is. Az ilyen adatcsatornák észlelhetők kiugró UDP-forgalom, ismeretlen IP-címekkel történő kapcsolatok vagy hosszabb peer-kapcsolatok alapján. Érdemes kiemelni, hogy az önaláírt tanúsítványok és a magas entropiájú domain-nevek is árulkodóak lehetnek – utalva a Freenet vagy hasonló szoftverek használatára.
Gyanús DNS- és VPN-aktivitás kiszűrése
Az NDR-rel monitorozható, ha a hálózatban .onion végződésű domaineket keresnek fel, vagy ha ritkán használt, alacsony reputációjú, esetleg rosszindulatú domainek jelennek meg, például a .su végződéssel. Ezen kívül árulkodó lehet, ha valamelyik eszköz elkerüli a belső DNS-szervereket, és helyettük külső DNS-t használ.
A VPN-ek esetén gyanús lehet a NordVPN, az ExpressVPN, a ProtonVPN, illetve más hasonló szolgáltatásokhoz történő kapcsolódás – különösen, ha nem szabványos portokat (például OpenVPN: 1194 vagy L2TP: 1701) használnak. Ha ezek a csatlakozások nincsenek engedélyezve, azonnal fel kell őket deríteni.
Fenyegető jelek keresése és fenyegetésfelderítés
A lehetetlen utazás – például, ha egy dolgozó magyarországi IP-címről lép be, majd hirtelen olaszországi IP-címről is jelentkezik, miközben fizikailag nem mozdult el – szintén intő jel. Gyanús, ha ismeretlen régiókból, országokból származik kapcsolat, amelyek kívül esnek a szervezet tevékenységi körén.
Az oldalsó mozgások, például ha a forgalom több belső rendszeren halad át, mielőtt eléri a külső célpontot, vagy szokatlan belső protokollokat (például SOCKS proxy-t) használnak, szintén potenciális sötét webes tevékenységre utalhatnak.
Kiemelt figyelmet érdemel, ha a rendszer parancs- és vezérlő (C2) kommunikációt azonosít – például rendszeres időközönként kezdeményezett hálózati kapcsolatok, vagy tipikusan támadók által használt eszközök (malware, RAT) forgalma.
Fenyegetési intelligencia integrálása
Fenyegetési intelligencia-adatfolyamok integrálásával az NDR képes összekapcsolni az ismert sötét webes aktivitásokat a hálózati eseményekkel. Így, ha felbukkan egy kompromittált IP-cím, hash vagy C2 domain, a rendszer azonnal riaszt. Külső céget is megbízhatsz azzal, hogy figyelje a sötét webet a vállalatodhoz köthető kiszivárgott információkért. A gyanús forrásból érkező vagy ellopott jelszavakkal történő belépési kísérletek is kiszűrhetők.
Összegzés: Ráállni a sötét webre – valódi előny
Az NDR-rel finomhangolt védelem jelentős előnnyel ruházza fel a szervezetet: átláthatóbbá és védettebbé válik a hálózat, miközben a mesterséges intelligencia által vezérelt, vagy a sötét webről érkező fenyegetéseket már a legelején ki lehet szűrni. A hosszú távú metaadatgyűjtés, a fejlett protokollelemzés és a többszintű detektálási módszerek révén nemcsak a jelenlegi, hanem a jövőbeli támadásokkal is lépést lehet tartani.
