image

Quando se trata de operações de inteligência de ameaças cibernéticas (CTI), há uma variedade de fontes de informação, mas elas se enquadram em duas categorias principais - inteligência da Surface Web e inteligência da Dark Web.

O que é o Surface Web e como é diferente da Dark Web?

Para entender a diferença entre Surface Web e Dark Web, podemos fazer a analogia de um iceberg para visualizar o ciberespaço.

image

A ponta do iceberg que é visível para todos os internautas é chamada de Surface Web. Esta parte da web é completamente pesquisável e indexável, assim visível para qualquer pessoa que use um mecanismo de busca.

Isso inclui todos os sites cotidianos e serviços online que usamos, incluindo mídias sociais, sites de comércio eletrônico, blogs ou sites pessoais, sites da empresa, portais do governo e muito mais.

Por outro lado, a parte da web que não é indexada por mecanismos de pesquisa padrão é chamada de Deep Web. Isso inclui as partes não indexadas de várias plataformas online, como webmail, bancos online e serviços pagos, como vídeo sob demanda, revistas online e jornais para citar alguns.

O conteúdo da deep web pode ser acessado através de sua URL direta e muitas vezes é guardado por uma camada adicional de segurança, como uma senha.

Mais abaixo da Deep Web, há uma parte dela que só é acessível com software ou hardware específicos. Por exemplo, a rede Tor que foi projetada para ser acessível apenas a partir do navegador Tor. Esta parte da web é referida como a Dark Web.

A Dark Web foi projetada para fornecer anonimato àqueles que operam nela. É, portanto, muitas vezes um lar para atividades ilícitas, bem como indivíduos que tentam escapar da vigilância.

Para um analista de segurança, todas as partes da web têm sua utilidade e significado para coletar informações CTI. Vamos dar uma olhada em como o Surface Web Intelligence difere da Deep & Dark Web Intelligence em termos de suas aplicações do ponto de vista da segurança organizacional.

Aplicações de Inteligência Web de Superfície

O Surface Web também é frequentemente referido como a Web Aberta, consiste em toda a web indexada e pesquisável. O processo, ferramentas e técnicas usadas para coletar informações da Surface Web são muitas vezes chamados coletivamente de Inteligência de Código Aberto (OSINT).

As técnicas OSINT aplicadas à Surface Web, fornecem insights sobre os pontos finais expostos, pesquisas de ameaças mais recentes e mais recursos que são frequentemente lançados publicamente.

A aplicação do Surface Web Intelligence inclui o seguinte.

Operações para reunir informações sobre atividades de cibercriminosos

  • Monitoramento de fóruns abertos de segurança
  • Monitorando plataformas de troca de informações de ameaças
  • Monitoramento de plataformas de mídia social para anúncios de ataques e alertas
  • Operações para combater ameaças cibernéticas novas ou existentes
  • Monitoramento de páginas de phishing com base na convenção de nomeação de ativos
  • Monitorando um malware específico, aplicativo desonesto ou botnet visando a organização
  • Coleta de informações sobre vetores de ataque de ameaças geopecídas, específicas do setor e específicos da infraestrutura
  • Monitoramento das mídias sociais para relatórios de questões de segurança
  • Monitoramento de ameaças internas e risco de exposição de terceiros
  • Operações para gerenciar o risco de negócios
  • Monitoramento de ameaças comerciais e físicas
  • Monitoramento para menções de marcas, principais executivos, endereços de e-mail, marca registrada, direitos autorais e ativos sensíveis
  • Monitoramento de informações falsas espalhadas sobre a organização
  • Monitoramento de golpes direcionados aos funcionários e clientes
  • Monitorando funcionários desonestos

Aplicações de Deep & Dark Web Intelligence

Analistas de segurança e investigadores estão frequentemente competindo com cibercriminosos para fechar quaisquer brechas de segurança antes que eles possam ser explorados. Um grande número de vulnerabilidades são frequentemente vazadas on-line antes de serem listadas no banco de dados oficial de vulnerabilidades. Isso dá aos cibercriminosos a chance de explorá-lo com sucesso antes que as organizações possam reunir uma defesa.

Nesses casos, monitorar a dark web para explorações à venda pode ser crucial para evitar um grande ataque. Com a coleta de informações proativa, os profissionais de cibersegurança podem se concentrar efetivamente na correção de falhas de segurança em tempo hábil.

É frequentemente estimado que a Deep Web e a Dark Web juntas compõem a grande maioria da web. Segundo algumas estimativas, ela representa até 96% da web.

Independentemente dos números exatos, é bastante claro que grande parte da web não é visível para usuários comuns e hospeda uma enorme quantidade de dados também. Assim, a necessidade de reunir informações da deep and dark web é bastante clara.

As aplicações do Deep & Dark Web Intelligence incluem o seguinte:

Operações para reunir informações sobre cibercriminosos

  • Monitorando salas de bate-papo do IRC e fóruns fechados
  • Monitorando a dark web para venda de quaisquer credenciais de funcionários comprometidos ou dados de clientes
  • Monitorando a dark web para venda de dados comprometidos de cartão de crédito/débito
  • Rastreamento hacktivista e correlação de inteligência w.r.t. o banco
  • Operações para combater ameaças cibernéticas novas ou existentes
  • Coleta de informações sobre vetores de ataque de ameaças geopecídas, específicas do setor e específicos da infraestrutura
  • Monitoramento de explorações direcionadas a vulnerabilidades não reparadas
  • Monitorando um malware específico ou botnet direcionado à organização
  • Monitoramento de ativos comprometidos e vazamentos de dados
  • Monitoramento do risco de exposição de terceiros
  • Operações para gerenciar o risco de negócios
  • Monitorando os esforços de recrutamento na dark web para contratação de informantes e funcionários desonestos
  • Monitoramento para menções de marcas, principais executivos, endereços de e-mail, marca registrada, direitos autorais e ativos sensíveis

Resumindo a diferença entre Surface Web e Dark Web Intelligence

No geral, tanto a Surface Web quanto a Dark Web oferecem oportunidades significativas para coletar informações críticas do CTI. No entanto, eles têm seu próprio conjunto de limitações também.

O Surface Web fornece uma grande quantidade de dados onde remover o ruído e chegar às informações-chave pode ser um desafio. Além disso, os cibercriminosos são menos propensos a deixar seus rastros na Surface Web, o que limita o escopo de informações que podem ser obtidas sobre suas atividades.

Por outro lado, a inteligência recolhida da Dark Web tem seus próprios prós e contras. Embora a inteligência recebida da Dark Web possa ser mais completa e específica, mas vem com alguns problemas de confiabilidade. Os motivos daqueles que compartilham informações na Dark Web também não podem ser facilmente confiáveis.

Em última análise, o domínio do CTI é enriquecido pela inteligência coletada de todos os tipos de fontes, seja da Surface Web ou da Dark Web. O que é necessário é que todas as fontes importantes sejam aproveitadas e as informações coladas sejam submetidas à fusão de dados para produzir uma inteligência de ameaças silenciosamente, relevante e específica.

Artigo Original