Il monitoraggio del dark web o Dark Web Monitoring è un elemento cardine di ogni strategia di sicurezza che voglia essere all’altezza delle dinamiche e delle minacce dell’universo cyber contemporaneo e che tenga in considerazione gli attacchi hacker in Italia più recenti – il cui livello di pericolo è aumentato vertiginosamente.
Perché occuparsi di dark web monitoring
Le attività di dark web monitoring sono essenziali per (almeno) due motivi:
- perché i data breach sono spesso silenziosi, ovvero le imprese non si rendono immediatamente conto di aver subito un attacco;
- perché scoprire per tempo una fuga di dati permette di mitigare il danno (ad esempio, bloccare le carte di credito prima che siano usate o cambiare le password degli indirizzi email) ed evitare che si ripropongano situazioni analoghe in futuro.
Se a tutto ciò si aggiunge un costo medio di data breach superiore ai 4 milioni di dollari – come suggerisce l’ultimo report IBM sul tema – ci si rende conto non solo dell’opportunità del dark web monitoring, ma anche della sua urgenza.
Come funziona il dark web monitoring
Connesso al tema della cyber threat intelligence, il dark web monitoring si traduce nell’attività di monitoraggio costante dei siti e delle piattaforme del dark web finalizzata a collezionare informazioni che dimostrino all’azienda di aver subito un data breach. Data la peculiarità di proteggere al massimo l’anonimato, il dark web rappresenta infatti un terreno fertile per attività illecite di ogni tipo, compresa la compravendita di dati aziendali.
In questa prospettiva, i tool di monitoraggio del dark web, disponibili come soluzioni stand-alone, software open source o parte integrante di piattaforme di sicurezza, esplorano il dark web per creare database di informazioni che permettono alle aziende di individuare se sono state vittime di violazioni dati o meno.
L’attività di dark web monitoring presenta un notevole indice di complessità legato alla natura e alle dinamiche del web oscuro: i siti cambiano di continuo, nascono e muoiono con una velocità cui gli utenti dei surface web non sono abituati. Non esiste un’indicizzazione unica, affidabile e sicura (come Google, per intenderci) dei servizi del dark web, e oltretutto il crawling dei portali pubblici non è sufficiente; occorre almeno registrarsi, fino a dover conquistare la fiducia dei gestori dei siti stessi, che talvolta sono board dedicate allo scambio di informazioni. Da ciò si deducono due aspetti:
- la scansione del dark web è un’attività continuativa, poiché nei portali identificati come target l’offerta muta con estrema rapidità;
- il successo è dato da un mix di automazione e attività manuali, che spaziano dalla validazione dei dati all’identificazione dei target fino alla comunicazione con terze parti.
Tool di dark web monitoring: 7 opzioni da valutare
Il mondo dei tool di dark web monitoring è estremamente ampio e dinamico. Realizzare da zero una soluzione dedicata è una strada difficilmente percorribile, perché oltre alle competenze specialistiche, è necessario l’accesso a fonti riservate e una conoscenza approfondita di piattaforme, siti, marketplace e canali di comunicazione dedicati. Per questo, l’offerta di soluzioni commerciali, che sollevano l’azienda da tutta la complessità sottostante, è in continua crescita, alimentata anche dalle sempre maggiore pericolosità delle minacce cyber.
Tra i tool di dark web monitoring open source, due opzioni interessanti sono OnionScan e BlackWidow. Il primo si rivolge sia ai “ricercatori e investigatori che monitorano e tracciano i siti del Dark Web”, sia agli operatori di servizi nascosti che intendono rafforzare il proprio profilo di sicurezza. BlackWidow, un tool piuttosto semplice da installare, parte invece da un sito target e ne effettua scansione e mappatura completa, con l’obiettivo di identificarne non solo la struttura, ma anche le informazioni contenute.
Segue poi tutto l’universo delle soluzioni commerciali, che possono essere operate direttamente dall’azienda – qualora disponga di personale con competenze specifiche – o gestite in outsourcing da un MSSP (Managed Security Service Provider).
Il mercato è stracolmo di soluzioni per qualsiasi target, spaziando singoli professionisti alle PMI, fino alle enterprise con security strategy ottimali e soluzioni di sicurezza distribuite a più livelli. Tra gli esempi più efficaci, si passa dalla soluzione di NortonLifeLock al dark web monitor di NordVPN, fino a piattaforme di Digital Risk Protection Service (DRPS) come Brandefense, che scansiona il web (surface, deep e dark) alla ricerca di informazioni sui data breach, effettuando automaticamente una correlazione e contestualizzazione AI-driven dei dati. Da segnalare la piattaforma di cyber threat intelligence di IntSights e IBM X-Force Exchange, che invece funge da piattaforma di condivisione di dati, feed e intelligence in un unico database integrabile via API nelle proprie soluzioni di sicurezza.
In quest’ottica è diventato cruciale individuare potenziali minacce prima che vadano a segno: anche nel campo del monitoraggio del dark web si rivela essenziale formare i dipendenti per massimizzare l’efficacia delle misure difensive messe in atto ed evitare falle e vulnerabilità che comprometterebbero la tenuta dell’infrastruttura IT aziendale.