ESTADOS UNIDOS 

CARACTERÍSTICA

10 herramientas de monitoreo de la web oscura

Las empresas que buscan adelantarse a las violaciones y filtraciones de

datos pueden beneficiarse del uso de herramientas de monitoreo de la
dark web y escanear en busca de información de identificación personal e
incluso responder a los ataques. Aquí hay una lista de 10 de estas
herramientas.
Por Tim Ferrill

OSC |
21 DE FEBRERO DE 2023 2:00 A. M. PST

La web oscura es el lugar donde todos los CISO esperan que los datos de su empresa no
terminen. Consiste en sitios que no están indexados por motores de búsqueda populares
como Google, y la web oscura incluye mercados para datos que generalmente se
obtienen como resultado de un ataque cibernético, como cuentas de usuario
comprometidas, información de identidad u otra información corporativa confidencial.

Obtener inteligencia operativa sobre los datos que ofrecen estos sitios es fundamental
para defender a los ciberdelincuentes que utilizan cuentas comprometidas para permitir
ataques, cometer fraudes o realizar campañas utilizando el phishing selectivo o la
suplantación de marca. La web oscura también es una fuente de inteligencia sobre las
operaciones, tácticas e intenciones de los grupos criminales. Las herramientas que
monitorean la web oscura en busca de datos comprometidos están disponibles para
estos fines.

¿Quién necesita herramientas de monitoreo de la dark

web?

Dado que los sitios web oscuros suelen ser solo para invitados, obtener acceso
generalmente requiere infiltración haciéndose pasar por un usuario malintencionado o
alguien en el mercado de identidades o datos corporativos robados. Esto requiere
personas o servicios con conjuntos de habilidades que les permitan no solo identificar
estos sitios, sino también adquirir datos relevantes para proteger identidades o datos
corporativos.

[ Aprenda 8 trampas que socavan el éxito del programa de seguridad y 12 consejos para
presentar la seguridad cibernética de manera efectiva a la junta directiva . | Suscríbase a los
boletines de las OSC . ]

La mayoría de las empresas no necesitan realizar investigaciones en la dark web

directamente. Más bien, pueden aprovechar herramientas y servicios que escanean la
dark web. Las herramientas como la detección y respuesta extendidas (XDR) o los
servicios como la detección y respuesta administradas (MDR) comúnmente ingieren
datos recopilados de fuentes en la web oscura para identificar cuentas comprometidas,
calcular el riesgo y proporcionar contexto.

Algunas industrias, en particular el gobierno, las instituciones financieras, ciertas

empresas de seguridad de TI de alto perfil y algunas otras, pueden necesitar un acceso
más directo a la inteligencia que solo está disponible directamente de fuentes en la web
oscura, dice el analista de Gartner Mitchell Schneider a CSO. En muchos casos, estas
empresas buscan algo más que credenciales filtradas o datos corporativos. Más bien,
necesitan información sobre los actores de amenazas, los vectores de ataque en
evolución o las vulnerabilidades.

Otros segmentos comerciales, como el comercio minorista o el farmacéutico, son más

susceptibles a los ataques no tradicionales, como la suplantación de marca en forma de
dominios falsos o ataques de phishing, según Schneider. En su opinión, el monitoreo de
la huella digital es una herramienta particularmente valiosa y, a menudo, incluirá un
componente de la dark web. Además, los servicios de eliminación son un paso natural
más allá del monitoreo de la huella digital. En general, las empresas individuales no
tendrán los contactos necesarios con los proveedores de servicios de Internet, las
plataformas de alojamiento en la nube e incluso con las fuerzas del orden público para
efectuar las eliminaciones por su cuenta. Los servicios de protección contra riesgos
digitales (DRPS) llenan este vacío muy bien al ofrecer soluciones basadas en servicios
que se ocupan de proteger su marca a través del monitoreo (Internet, web superficial y
web oscura) y métodos más prácticos como los servicios de eliminación de sitios.
Estas son algunas de las herramientas de monitoreo de la dark web más populares.

protección contra incendios

Brandefense es una solución DRPS impulsada por IA que escanea la web superficial y la
web oscura para obtener detalles sobre métodos de ataque o filtraciones de datos,
correlacionando estos datos y contextualizándolos, y luego brindando alertas cuando un
incidente tiene relevancia para su marca. Brandefense también puede facilitar los
derribos contra los actores de amenazas en caso de que sea necesario, manteniendo su
postura de seguridad inclinada hacia adelante en lugar de esperar para responder a los
ataques activos.

La seguridad de los ejecutivos de alto nivel, o VIP, es otra área de enfoque para
Brandefense, ya que estas personas a menudo no solo son parte de su marca
corporativa, sino también un objetivo de ataque frecuente. Sus nombres y correos
electrónicos también se utilizan con frecuencia en ataques de phishing dirigido contra
empleados o clientes.

CTM360 CyberBlindspot y ThreatCover

CTM360 ofrece dos soluciones diferentes que monitorean la web oscura como un medio
para proteger su organización de amenazas emergentes. CyberBlindspot se centra en la
inteligencia que hace referencia directa a sus activos corporativos. CyberBlindspot amplía
el concepto de indicadores de compromiso (IOC) para exponer indicadores de
advertencia o indicadores de ataque, lo que le permite identificar áreas de preocupación
para su red de manera aún más proactiva.

ThreatCover ofrece herramientas para que los analistas de seguridad profundicen en las
fuentes de inteligencia de amenazas, lo que permite una calidad de datos y un contexto
óptimos a partir de los cuales los equipos de respuesta pueden iniciar la respuesta a
incidentes. CTM360 también puede facilitar eliminaciones a nivel internacional a través
de su servicio Takedown++.
Intercambio de IBM X-Force

IBM X-Force Exchange es principalmente una comunidad y una plataforma de

intercambio de datos, que ofrece información sobre amenazas e inteligencia en una base
de datos interactiva que permite realizar búsquedas y que también se puede integrar en
su pila de seguridad existente a través de API y alertas automatizadas. Muchas de las
herramientas que ofrece IBM son gratuitas y ni siquiera requieren registro, aunque querrá
registrarse para personalizar su portal guardando búsquedas relevantes y siguiendo
fuentes relacionadas con dominios y marcas relevantes. El acceso a la API, el análisis
avanzado y los informes de inteligencia de amenazas premium requieren una suscripción.

Plataforma de inteligencia de amenazas IntSights

IntSights Threat Intelligence Platform brinda inteligencia y monitoreo holístico de

amenazas externas para IOC. IntSights, que ahora forma parte de la familia Rapid7,
explora la web oscura en busca de información sobre amenazas, como tácticas, técnicas
y procedimientos; actores de amenazas; y variantes de malware. Este tipo de inteligencia
ayuda a los profesionales de la seguridad a mantenerse actualizados sobre los métodos
de ataque en evolución, proporcionando los medios para ajustar las defensas y capacitar
a los usuarios sobre las mejores prácticas. El producto de IntSights también proporciona
una ventana a las conversaciones activas en la dark web que hacen referencia a las
marcas o dominios de la empresa, lo que le brinda la oportunidad de reaccionar ante las
amenazas de manera proactiva, en lugar de esperar a que comience el ataque.

Plataforma de intercambio de información de malware

- MISP

La plataforma de intercambio de información de malware (MISP) es una plataforma de

código abierto diseñada en torno a la idea de datos de inteligencia de amenazas
compartidos. MISP incluye software de código abierto que se puede instalar dentro de su
centro de datos o en varias plataformas en la nube y aprovecha los protocolos y formatos
de datos de código abierto que se pueden compartir con otros usuarios de MISP o
integrar en todo tipo de herramientas de seguridad de la información. De hecho, la
compatibilidad con la integración de MISP se menciona a menudo como una
característica de otras soluciones en esta lista. Si bien los flujos de amenazas MISP no
se seleccionan de la misma manera que las herramientas comerciales, es una forma
económica para que las corporaciones pongan en marcha una solución interna de
monitoreo de la web oscura.

Monitoreo de amenazas digitales Mandiant

Mandiant Digital Threat Monitoring ofrece visibilidad de la inteligencia relacionada con

amenazas y credenciales filtradas u otros secretos corporativos en la Internet abierta o la
web oscura. Estos datos de inteligencia se ven reforzados por el contexto entregado a
través del aprendizaje automático, lo que genera alertas priorizadas relevantes que
facilitan el proceso de clasificación. Además del monitoreo de marca (incluida la
protección VIP), Mandiant Digital Threat Monitoring ofrece monitoreo de otras empresas
con las que tiene relaciones de confianza. Al monitorear a estos socios confiables, puede
proteger aún más su cadena de suministro y evitar ataques entre dominios que tienen el
potencial de eludir los controles de seguridad existentes.

Mandiant también ofrece Digital Threat Monitoring como un módulo adicional a su

Advantage Threat Intelligence, incorporando muchas de estas mismas capacidades de
monitoreo de la dark web a su capacidad de inteligencia de amenazas.

OpenCTI

OpenCTI es otra opción de código abierto para recopilar, administrar e interactuar con
datos de inteligencia. Desarrollado y propiedad de Filigran, OpenCTI se puede
implementar como un contenedor Docker, lo que lo hace independiente de la plataforma y
presenta una amplia gama de conectores a otras plataformas de seguridad y
herramientas de software para integrar y enriquecer el flujo de datos de OpenCTI.

El conjunto de características de OpenCTI incluye control de acceso basado en roles

para su equipo de seguridad de la información, modelos de datos basados ​en estándares
y datos de atributos que indican el origen del hallazgo. La automatización de todo tipo se
puede habilitar utilizando el cliente OpenCTI para Python, que expone las API de
OpenCTI con funciones auxiliares y un marco fácil de usar que permite el desarrollo
rápido de lógica personalizada basada en datos de eventos.

Enfoque automático de Palo Alto Networks

No es ningún secreto que Palo Alto Networks es un jugador importante en el campo de la

seguridad de la red, y AutoFocus es una pieza clave de su cartera. AutoFocus brinda un
contexto profundo y una perspectiva al frente, lo que permite a los analistas de seguridad
clasificar eventos y priorizar los esfuerzos de respuesta. Palo Alto Networks recopila
información no solo de repositorios de datos en Internet abierta y la web oscura, sino que
también la correlaciona y contextualiza utilizando datos consumidos de la huella global de
dispositivos y servicios del proveedor.

Plataforma de nube de inteligencia futura registrada

La plataforma de inteligencia en la nube que ofrece Recorded Future presenta un

monitoreo constante de más de 300 actores estatales, 3 millones de identificadores de
foros criminales conocidos, miles de millones de dominios y cientos de millones de
direcciones IP en Internet y la web oscura. Estos datos de inteligencia hercúlea se
introducen en herramientas de análisis que categorizan y aplican contexto al conjunto de
datos, y finalmente los muestran en módulos que se centran en su marca corporativa,
amenazas y vulnerabilidades, identidades y varias otras áreas. Cada módulo muestra
inteligencia procesable, lo que le permite priorizar su respuesta en función de la
necesidad y el riesgo del negocio, minimizando el tiempo de respuesta y facilitando una
remediación eficiente.

SOCRadar RiskPrime

SOCRadar ofrece varios servicios y herramientas para profesionales de la seguridad,

incluida una variedad de herramientas gratuitas que puede usar para verificaciones
manuales únicas de nombres de dominio o direcciones IP, como un informe de la web
oscura. Para un monitoreo recurrente más completo, querrá suscribirse al servicio
RiskPrime de SOCRadar. RiskPrime ofrece monitoreo de PII (información de
identificación personal), al mismo tiempo que rastrea cuentas VIP comprometidas y
realiza monitoreo de reputación y detección de phishing. Los servicios de eliminación
están disponibles a través de RiskPrime, pero a menos que esté en el nivel de servicio
Enterprise, tiene un costo adicional. Los servicios de monitoreo de la web oscura están
incluidos y se vuelven más completos según el nivel del servicio.

A continuación, lea esto

Las 10 empresas de ciberseguridad más poderosas

7 tendencias candentes de ciberseguridad (y 2 frías)

Las vulnerabilidades de Apache Log4j: una línea de tiempo

Uso del marco de ciberseguridad del NIST para abordar el riesgo organizacional

11 herramientas de prueba de penetración que usan los profesionales

Tim Ferrill es un escritor y profesional de TI que vive en el sur de California y se especializa en

Windows, Windows Phone y Windows Server.

Seguir 👤 ✉  

Derechos de autor © 2023 IDG Communications, Inc.

💡 7 tendencias candentes de ciberseguridad (y 2 frías)

Derechos de autor © 2023 IDG Communications, Inc.