Dark Web NDR

サイバーセキュリティの専門家は、企業ネットワークがランサムウェア、不正なインサイダー活動、データ流出などのダークウェブリスクの格好の標的であることを認識しています。あまり知られていないのは、このような活動の証拠が、日常的なネットワーク・トラフィックの中に埋もれて、目に見えるところに隠れていることが多いということです。

NDR(Network Detection and Response)を使用するセキュリティ・リーダーにとって、これらの隠れたシグナルは防御のチャンスとなります。

ネットワーク上のダーク・ウェブの脅威を発見する方法をお探しですか?

NDRを検出と調査に活用するために、以下の4つの重要なステップから始めましょう:

ステップ1:ダークウェブへのゲートウェイを知る

パブリック・ウェブとは異なり、ダーク・ウェブはTorブラウザ、Invisible Internet Project (I2P)、Freenetピアツーピア(P2P)ネットワークのような匿名化ツールに依存しており、ユーザーの出所を不明瞭にし、トラフィックを暗号化し、検知を回避します。

活動を難読化する能力があるにもかかわらず、ダークウェブの動きの兆候はネットワーク・データで捕捉されている。

その兆候には、通常とは異なるポートの使用、暗号化されたトラフィックパターン、Torエントリーノードやエグジットノードとの通信などがあります(ステップ4でさらに詳しく説明します)。

ステップ2:NDRを理解する

NDRシステムはネットワーク・トラフィックをリアルタイムで監視し、AI、機械学習、行動分析を活用して疑わしい活動や悪意のある活動を特定します。NDRはまた、ネットワーク・アクティビティの包括的な記録を保持し、重要な履歴とコンテキストを提供します。

これらの洞察により、チームはNDRをSOCインフラとプロセスに統合し、ダークウェブによるものを含むサイバー脅威に対する平均検出時間(MTTD)と対応時間(MTTR)を改善することができます。

ステップ3:NDRを導入してダークウェブを包括的に可視化する

コア・ネットワーク、エッジ環境、内部セグメントのトラフィックを監視する。主な推奨事項は以下のとおりです:

  • NDRセンサーを戦略的な場所に配置する:
    高価値の資産を収容するネットワーク・セグメントに焦点を当て、コマンド・アンド・コントロール(C2)活動やデータ流出の試みを捕捉する。

  • 南北トラフィックを分析する:NDRを使用して内部から外部への通信を検査し、ダークウェブでの相互作用の可能性を検出する。

  • 横方向の動きを追跡する:ダークウェブ関連の脅威を示す兆候がないか、デバイス間の内部トラフィックを監視します。

ステップ 4: NDR による検出とハント

ネットワークのベースライン化から始める

NDRの導入は、多くの場合、30日間のネットワークベースライニング期間から始まります。これが完了すると、NDRは自動的に以下のようなダークウェブ活動の指標にフラグを立てることができます:

  • 未知の外部IPとの新たな通信

  • 過剰なピア接続

  • 疑わしいファイル転送プロトコルまたは異常なドメインへのトラフィック

  • ダークウェブ・マーケットプレイスへのデータ流出の可能性を示す、通常を装った異常な送信トラフィック

ベースラインの確立により、NDR 設定を洗練させ、ターゲットとなるダークウェブ指標の検出を自動化することができます。

ネットワークがすでに侵害されている場合は、NDRが脅威の活動を「正常」と認識しないように注意する必要があります。

このため、ネットワークのベースライン化には、積極的な分析と環境の理解が必要です。

Torアクティビティの自動検出

  • デフォルトのTorポート(9001, 9030, 9050)で通信しているデバイスに対してダイナミックアラートを設定する。

  • 圧縮されたトランスポート・レイヤー・セキュリティ(TLS)ヘッダー、ユニークなネゴシエーション動作、異常に長いセッション、高い帯域幅の使用などの不規則なパターンがないかトンネルのログを監視する。

  • 特徴的なパケット長やハンドシェイクなどのTorトラフィックのシグネチャをスキャンします。

  • 既知のTorエントリーノード、リレー、ブリッジ、Obfourscatorまたは “obfs4 “ノードへの接続を追跡します。複数の外部IP間で頻繁に切り替わるトラフィック、または匿名化サービスと相互作用するトラフィックにフラグを付けます。

  • CorelightのOpen NDR Platform withInvestigatorは 、ネットワークメタデータ(接続、プロトコル、TLS接続、証明書を含む)、Suricataシグネチャ、機械学習アルゴリズム検出を通じて、Tor接続の可視性を提供できます。

a.fl_button { background-color:#border:1px solid #3b59aa; color:#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

Corelight NDRでダークウェブの脅威を発見する

世界で最も機密性の高いネットワークの防御に信頼されているCorelightのネットワーク検出と応答(NDR)プラットフォームは、深い可視性と高度な行動および異常検出を組み合わせ、SOCがAIを活用した新しい脅威やダークウェブの活動を発見できるようにします。

今すぐ脅威に対処

I2PおよびP2P接続の監視

  • I2Pポート(7650-7659)およびBitTorrent/P2Pポート(6881-6889)のトラフィックに対する動的なアラートを設定します。

  • ランダムまたは外部IPへの高アウトバウンドUDPトラフィックを監視し、I2Pトンネルをシグナリングする。

  • I2P ピアの検出によく見られる、見慣れない、または未解決の IP や不明瞭な UDP ポートへの定期的なスパイクを監視する。

  • Freenetの活動を示す、分散したIP間での持続的で長時間のP2Pセッションを検出する。

  • Freenetや他の匿名化ツールに典型的な自己署名証明書を探します。

  • 匿名化サービスの一般的な兆候である、高エントロピーまたはランダムなドメイン名への持続的な接続を示すワークステーションやデバイス(IoTを含む)にフラグを付けます。

  • Corelight暗号化トラフィックコレクションは、暗号化されたI2PおよびP2P接続の使用を示す可能性のある、異常な証明書、予期しない暗号化、その他のTLSの異常を特定するのに役立ちます。

疑わしいDNSアクティビティの追跡

  • .onionアドレスへのクエリ、一般的でないサブドメイン、匿名化ツールに関連するドメインへのアクセス試行についてDNSログを監視します。

  • 特にVPNやプロキシにリンクされた、評価の低い、めったに使用されない、または悪意のあるドメインへのクエリにフラグを立てる。例えば、旧ソビエト連邦のために予約されている.suドメインを含むDNSリクエストは、ほとんど正当なものではありません。

  • 内部DNSを避け、外部DNSサーバーを使用するデバイスを検出する。これは匿名化ツールの使用を示している可能性があるが、組織のネットワーク・セキュリティ・ポリシーや設定に違反している可能性も高い。

VPN接続の監視

  • よく知られた消費者向けVPNプロバイダー(NordVPN、ExpressVPN、ProtonVPNなど)への接続を検出する。

  • 非標準のVPNポート(OpenVPN:1194、Layer Two Transport Protocol、またはL2TP:1701)に対して警告を発します。

  • OpenVPN、IPSec、またはWireGuard経由でルーティングされたトラフィックにフラグを立て、これらのサービスに関連付けられたカスタムSSL/TLS証明書の使用を含め、現在のポリシーとプラクティスで許可されているかどうかを判断します。

  • CorelightのVPN Insightsパッケージは、400以上のユニークなVPNプロトコル、プロバイダ、およびタイプを識別し、調査のために重要なメタデータ(発信国など)とともにログに記録します。

不可能な移動」、ジオロケーション、および同様の異常の監視

  • ユーザーまたはデバイスからのIPジオロケーションデータを使用して、「不可能な移動」の事例を特定します(例えば、ユーザーがオフィスにいる場合に、遠方の国からログインするなど)。

  • 組織の通常の運用範囲外の疑わしい地域または国からの接続を検出する。

  • 正当なビジネス・アプリケーションを特定できないトラフィックを探す。

侵入の可能性を示す横方向の動きを検出する。

  • 外部のエンドポイントに到達する前に、複数のシステム間をホップする内部トラフィックに警告を発します。

  • 特にSOCKSプロキシ/トンネルのような予期しないプロトコルを使用した、内部デバイス間の異常なアクティビティを監視します。

  • Corelightの暗号化トラフィックコレクションは、暗号化された接続であっても異常なリモート管理トラフィックを識別し、攻撃者がネットワーク内で横方向に移動する際にSSHやRDPが悪意を持って使用されている可能性を確認するのに役立ちます。

マルウェアとコマンド・アンド・コントロール(C2)ビーコンの検出

  • Yaraを使用して、ネットワーク・トラフィックから抽出したファイルを分析します。マルウェアや疑わしいバイナリを探します。

  • ログをチェックして、「チェックイン」活動のパターンを探します。これらは、5分ごとや1時間ごとなど、一定の間隔で発生することがあります。

  • Corelightの C2コレクションは、攻撃を開始し、C2を確立し、攻撃拡大のための追加ツールをダウンロードするためによく使用される数十の攻撃フレームワーク、RAT、およびマルウェアを識別します。

脅威インテリジェンスの追加

  • 脅威インテリジェンスのフィードを追加することで、既知のダークウェブ活動を関連付けます。フィードを統合して、ハッシュ、IP、C2ドメインなどのIOC(Indicators of Compromise)にフラグを立てる。

  • サードパーティの脅威インテリジェンスサービスを雇用し、ダークウェブで自社組織に関する雑談や自社環境からのデータ漏えいを監視することを検討する。

  • 外部クレデンシャル監視により、疑わしい場所や侵害された場所からのログイン試行を追跡する。

  • コアライトのインテルフレームワークは、何百万ものインジケータをラインレートで照合し、アラートとログを生成してピンポイントで検知・調査します。

よく調整されたNDRソリューションは、ダークウェブの活動を検出する組織の能力を大幅に強化し、全体的なサイバーセキュリティ体制を強化します。

CorelightのオープンNDRプラットフォームは、統合されたマルチレイヤー検出、ファイル分析、高度なプロトコル監視、包括的な長期ネットワークメタデータ収集を備えています。

Corelight NDRの詳細、または自社のネットワーク内でこれらのダークウェブ検出機能を有効にする方法については、corelight.comをご覧ください。

スポンサーおよび執筆:Corelight