طرق لتحديد مخاطر الأمن السيبراني في الانترنت المظلم Darknet

المكون المظلم للشبكة العميقة هو الطريق السريع الأساسي للتبادل والتجارة بين مجموعات مجرمي الإنترنت. في الواقع ، يعمل عدد قليل جدًا من مجرمي الإنترنت بمفردهم. ثمانون في المائة من الجرائم الإلكترونية مرتبطة بالمجموعات الإجرامية ، وتظهر البضائع المسروقة على شكل بيانات بسرعة في منتديات وأسواق الشبكة المظلمة بعد حوادث الأمن السيبراني مع فقدان البيانات.

التكيف مع هذه الاتجاهات أمر ضروري. يمكن للمنظمات التي لديها القدرة على استخلاص معلومات التهديد من التنقيب في البيانات هذه المصادر المراوغة عبر الإنترنت أن تحقق ميزة أمنية كبيرة.

Deep Web و Darknet: ما الفرق؟
يُعرف جزء الويب الذي يمكن الوصول إليه من خلال محركات البحث والمستخدم في الأنشطة اليومية بين الباحثين باسم الويب السطحي. يتم تعريف أي شيء يتجاوز ذلك على أنه شبكة الويب العميقة. في حين تختلف التقديرات ، يتوقع بعض الباحثين أن هناك مواقع عميقة بنسبة 90 في المائة أكثر من المواقع السطحية ، وفقًا لموقع TechCabal. في شبكة الويب العميقة توجد مواقع ويب غير مفهرسة ولا يمكن الوصول إليها من قبل مستخدمي الإنترنت اليوميين. يقيد البعض الوصول ، بينما يتم توجيه البعض الآخر عبر العديد من طبقات عدم الكشف عن الهوية لإخفاء هوية مشغليهم.

تعد مواقع وتقنيات Darknet مجموعة فرعية من تصنيف الويب العميق ، والذي يتكون من مواقع مخفية عن قصد ويمكن الوصول إليها بشكل عام فقط من خلال تقنيات مثل The Onion Router (Tor) ، وهو برنامج يسهل الاتصال المجهول أو متصفحات نظير إلى نظير (P2P) . ترتبط هذه الشبكة المخفية ارتباطًا وثيقًا بإخفاء الهوية و (في بعض الحالات) بالنشاط الإجرامي المدعوم بتبادل مفتوح وتعاون بين الجهات المهددة.

كيفية رسم ذكاء التهديد المظلم
قال Dave McMillen ، كبير المحللين في X-Force IRIS في IBM X-Force Incident Response and Intelligence Services (IRIS): “تعد معلومات الويب المظلمة أمرًا بالغ الأهمية لاتخاذ القرارات الأمنية على أي مستوى”. “من الممكن جمع عمليات استغلال الثغرات ونقاط الضعف وغيرها من مؤشرات الاختراق ، بالإضافة إلى نظرة ثاقبة للتقنيات والتكتيكات والإجراءات [TTPs] التي يستخدمها المجرمون للحصول على معرفة متميزة حول الأدوات التي يفضلها الفاعلون لتهديد البرامج الضارة.”

عندما يتم تصفية بيانات التهديد في الوقت الفعلي هذه من خلال سياق كافٍ وفصلها عن الإيجابيات الكاذبة ، فإنها تصبح ذكاءً قابلاً للتنفيذ. يعتقد ماكميلن أن هناك عدة طرق يمكن للمؤسسات من خلالها الاستفادة من المعلومات الاستخباراتية ذات المصادر الداكنة. وتشمل هذه الفوائد فهم اتجاهات التهديدات الناشئة لتطوير تقنيات التخفيف بشكل استباقي. يمكن أن تساعد استخبارات المصادر المظلمة أيضًا في تحديد الدوافع الإجرامية والتواطؤ قبل الهجمات. بل يمكن أن يساعد في عزو المخاطر والهجمات إلى جماعات إجرامية محددة.

كيفية تحديد مخاطر Darknet الأمنية
بالنسبة للباحثين الخبراء في مجال التهديد مثل McMillen ، يمكن أن تكشف أنماط نشاط الويب العميق هجومًا قيد التقدم أو هجمات مخططة أو اتجاهات تهديد أو أنواع أخرى من المخاطر. يمكن أن تظهر علامات التهديد بسرعة ، حيث يحاول المتسللون المدفوعون ماليًا تحويل البيانات المسروقة إلى ربح في غضون ساعات أو دقائق من الدخول إلى شبكة المؤسسة.

يبلغ متوسط الوقت المستغرق لتحديد اكتشاف حادثة الأمن السيبراني 197 يومًا ، وفقًا لتكلفة دراسة خرق البيانات لعام 2018 من معهد بونيمون ، برعاية شركة آي بي إم. تتمتع الشركات التي تحتوي على خرق في غضون 30 يومًا بميزة على أقرانها الأقل استجابة ، مما يوفر في المتوسط مليون دولار من تكاليف الاحتواء.

تقرير تكلفة خرق البيانات والآلة الحاسبة لعام 2020
“يعد استخدام حلول مراقبة الويب المظلمة التي تسمح باستخدام عوامل تصفية مركزة لتحديد العبارات الرئيسية ، مثل علامتك التجارية وأسماء منتجاتك ، والتي قد تحتوي على معلومات يمكن أن تؤثر سلبًا على مؤسستك ، بداية جيدة في جهودك للحصول على معلومات استخبارية مفيدة من الظلام الويب ، “قال ماكميلين.

يجب بعد ذلك تنبيه البيانات التي تم جمعها وتوجيهها من خلال عملية تحليل بشرية لتقديم رؤى قابلة للتنفيذ. يمكن أن تكشف معلومات التهديد الغنية بالسياق عن العديد من أشكال المخاطر المختلفة.

1. منظمة أو مناقشة الصناعة
   من بين عوامل الخطر والتهديدات الرئيسية ذكر اسم المنظمة في مشاركات المنتدى أو لصق المواقع أو القنوات أو غرف الدردشة. يمكن أن يحدد التحليل السياقي ما إذا كانت الجهات الفاعلة في التهديد تخطط لهجوم أو تمتلك بيانات مسروقة بشكل فعال. يمكن للمناقشات الأخرى عالية الخطورة أن تحيط بالصناعات المتخصصة أو القطاعات ، أو معلومات حول المساومة على التقنيات شديدة التحديد التي تستخدمها المنظمة.
2. تبادل معلومات التعريف الشخصية (PII)
   عند حدوث خرق ، يمكن أن يشير بيع معلومات تحديد الهوية الشخصية أو بيانات الصحة الشخصية أو البيانات المالية أو غيرها من المعلومات الحساسة إلى تداعيات الهجوم. يمكن بيع سجل بيانات واحد بما يصل إلى 20 دولارًا ، وفقًا لـ Recorded Future. تُسرق هذه البيانات عمومًا بشكل جماعي من المؤسسات الكبيرة – مثل وكالات الائتمان والبنوك – لذا فإن بضعة آلاف من أرقام بطاقات الائتمان يمكن أن تحقق أرباحًا ضخمة.

مما لا يثير الدهشة ، 76 بالمائة من الانتهاكات بسبب دوافع مالية ، وفقًا لتقرير التحقيقات في خرق البيانات لعام 2018 الصادر عن شركة Verizon.

3. تبادل الاعتمادات
   كانت بيانات الاعتماد المفقودة أو المسروقة هي أكثر أعمال التهديد شيوعًا المستخدمة في عام 2017 ، حيث ساهمت في 22 بالمائة من خروقات البيانات ، وفقًا لتقرير Verizon. في حين أن وجود أسماء المستخدمين وكلمات المرور على مواقع اللصق أو الأسواق يمكن أن يشير إلى حدوث خرق للبيانات ، فإن التحليل السياقي مطلوب لتحديد ما إذا كان هذا يمثل اختراقًا حديثًا أو بيانات معاد تدويرها من حادث سابق.

في مايو 2018 ، كشفت شركة استخبارات التهديدات 4iQ عن قاعدة بيانات ضخمة عائمة لمعلومات الهوية ، بما في ذلك أكثر من 1.4 مليار من بيانات الاعتماد غير المشفرة.

قال جوليو كاسال ، مؤسس 4iQ ، لـ Information Age: “الاختراق أكبر مرتين تقريبًا من أكبر تعرض سابق لبيانات الاعتماد”.

4. ريكون المعلومات
   تُستخدم تكتيكات الهندسة الاجتماعية في 52 بالمائة من الهجمات ، وفقًا لتقرير فبراير 2018 من شركة الأمن F-Secure. يمكن أن يظهر التواطؤ حول إعادة المعلومات في كل من التبادلات المفتوحة والمغلقة بين الفاعلين والمجموعات المهددات الفردية.
5. تنسيق هجوم التصيد
   نظرًا لأن هجمات التصيد الاحتيالي وصيد الحيتان أصبحت أكثر تعقيدًا ، يمكن لذكاء تهديدات الويب العميق أن يكشف عن مخاطر استخدام الإنترنت والمخاطر. التنسيق حول إعادة المعلومات أمر شائع. يمكن الآن لممثلي التهديدات شراء مجموعات برامج التصيد كخدمة المعقدة بشكل متزايد ، وإذا كان المدافعون على دراية بها ، فيمكنهم تثقيف المستخدمين بشكل أفضل ووضع الضوابط الصحيحة في مكانها الصحيح.

على الرغم من أن المطلعين الخبثاء يتسببون في انتهاكات أقل من الخطأ البشري البسيط ، فإن الشبكة المظلمة هي مركز راسخ للمجموعات الإجرامية لتجنيد موظفين لديهم بيانات اعتماد الشبكة لهجوم متطور. تتبعت Dark Reading ما يقرب من ضعف عدد الإشارات إلى التوظيف الداخلي في منتديات darknet في عام 2016 مقارنة بعام 2015.

7. الأسرار التجارية ومناقشات الأصول الحساسة
   تعد الأسرار التجارية والذكاء التنافسي جانبًا آخر مربحًا من تجارة الفاعل المهدد الذي يمكن أن يشير إلى المخاطر للباحثين. في إحدى الحوادث الأخيرة التي أبلغت عنها CNBC في يوليو 2018 ، باع مجرم إلكتروني روسي محتمل الوصول إلى شبكة شركة محاماة وأصول حساسة مقابل 3500 دولار. كان من الممكن أن يؤدي الحصول على هذه المعلومات مسبقًا إلى توفير الوقت والمال والضرر الذي يلحق بالسمعة للضحية.

ما هي تحديات اشتقاق القيمة من المصادر المظلمة؟
في حين أن هناك قيمة استراتيجية وتكتيكية واضحة لذكاء التهديدات المظلمة ، يمكن أن تظهر تحديات كبيرة على طريق البحث العميق عن التهديدات على شبكة الإنترنت والتنقيب عن البيانات. على سبيل المثال ، ليس من المثالي تزويد محللي مركز عمليات الأمان (SOC) بمتصفح Tor. يستلزم الحجم المحتمل للإيجابيات الخاطئة استنادًا إلى الحجم الهائل للشبكة المخفية اتباع نهج أكثر فاعلية.

قال ماكميلين: “الشبكة المظلمة مجزأة ومتعددة الطبقات”.

عندما يكتشف الباحثون مصدرًا موثوقًا به ، فإن الأمر يتطلب عمومًا ساعات لفحص الذكاء وإجراء تحليل كامل. كما نمت تجارة الشبكة المظلمة بشكل زئبقي ولامركزية بشكل متزايد حيث يتتبع تطبيق القانون عمليات النقل والإجرام (TTPs) عند ظهورها. قادة الأمن الذين يمكنهم التغلب على هذه الحواجز لديهم القدرة على تحسين الإستراتيجية الأمنية بشكل كبير استجابة لاتجاهات التهديد وعوامل الخطر الناشئة.

اكتشف الذكاء الاصطناعي (AI) لعام 2018 في دراسة الأمن السيبراني من معهد بونيمون ، برعاية IBM Security ، أن الذكاء الاصطناعي (AI) يمكن أن يوفر أمانًا أعمق وزيادة الإنتاجية بتكاليف أقل. ذكر تسعة وستون في المائة من المستجيبين أن أهم فائدة للذكاء الاصطناعي هي القدرة على زيادة السرعة في تحليل التهديدات.

بينما يفكر القادة في كيفية تعميق تبني المعلومات الاستخبارية للتهديدات المظلمة ، من المهم أن نفهم أنه لا يمكن لجميع مصادر الاستخبارات أن تلتقط بشكل كاف النطاق الكامل لتبادل الجهات الفاعلة في التهديد على هذه الطائرة الواسعة سريعة التحول. الاعتماد على التقنيات الراكدة أو القديمة أو المؤتمتة بالكامل قد يفشل في التخفيف من المخاطر الهامة. أفضل طريقة للحماية هي تلك التي تجمع بين ذكاء الباحثين البشريين المهرة والذكاء الاصطناعي لتحويل البيانات الأولية إلى ذكاء عملي بشكل فعال.