はじめに
サイバーセキュリティの専門家は、エンタープライズネットワークがランサムウェア、不正な内部活動、データ流出といったダークウェブのリスクの主要な標的であることを認識しています。これらの活動の証拠は、日常のネットワークトラフィックの中に隠されていることが少なくありません。ネットワーク検出応答(NDR)を使用するセキュリティリーダーにとって、これらの隠れた信号は防御の機会となります。ネットワーク上でダークウェブの脅威を特定する方法を知りたいですか?NDRを活用して検出と調査を行うための4つの重要なステップから始めましょう。
ステップ1:ダークウェブへのゲートウェイを理解する
パブリックウェブとは異なり、ダークウェブはTorブラウザ、Invisible Internet Project(I2P)、Freenetピアツーピア(P2P)ネットワークなどの匿名化ツールに依存しており、ユーザーの発信元を隠し、トラフィックを暗号化し、検出を回避します。これらのツールは活動を難読化する能力があるにもかかわらず、ダークウェブの動きの兆候はネットワークデータに捉えられます。
特徴的な兆候には、以下のものがあります:
- 異常なポート使用
- 暗号化されたトラフィックパターン
- Torのエントリーノードまたはイグジットノードとの通信
ステップ2:NDRを理解する
NDRシステムは、AI、機械学習、行動分析を活用して、疑わしいまたは悪意のある活動をリアルタイムで監視します。NDRはまた、ネットワーク活動の包括的な記録を維持し、不可欠な履歴とコンテキストを提供します。これらの洞察により、チームはNDRをSOCインフラストラクチャとプロセスに統合し、ダークウェブがもたらす脅威を含むサイバー脅威の検出時間(MTTD)と対応時間(MTTR)を改善できます。
ステップ3:包括的なダークウェブ可視性のためにNDRを展開する
コアネットワーク、エッジ環境、内部セグメント全体でトラフィックを監視します。主な推奨事項は次のとおりです:
- NDRセンサーを戦略的な場所に配置する: コマンド&コントロール(C2)活動やデータ流出の試みを捕捉するために、高価値資産を収容するネットワークセグメントに焦点を当てます。
- 南北トラフィックを分析する: 内部から外部への通信をNDRで検査し、ダークウェブとの潜在的な相互作用を検出します。
- ラテラルムーブメントを追跡する: デバイス間の内部トラフィックを監視し、ダークウェブ関連の脅威を示す可能性のある兆候を探します。
ステップ4:NDRで検出とハンティングを行う
ネットワークベースラインの確立
NDRの導入は、プラットフォームが組織の通常のトラフィックを学習するための30日間のネットワークベースライン期間から始まることがよくあります。完了すると、NDRはダークウェブ活動の指標を自動的にフラグ付けできます。これには以下が含まれます:
- 以前に不明だった外部IPとの新規通信
- 過剰なピア接続
- 疑わしいファイル転送プロトコルまたは異常なドメインへのトラフィック
- 通常のトラフィックを装った異常なアウトバウンドトラフィック(ダークウェブマーケットプレイスへのデータ流出の可能性を示す)
ベースラインが確立されたら、NDR設定を調整して、ターゲットとなるダークウェブ指標の検出を自動化できます。ネットワークがすでに侵害されている場合、NDRが脅威活動を「正常」と認識しないように注意する必要があります。これが、ネットワークのベースライン設定に積極的な分析と環境の理解が必要な理由です。
Tor活動の自動検出
デフォルトのTorポート(9001、9030、9050)を介して通信するデバイスに対して動的なアラートを設定します。圧縮されたTransport Layer Security(TLS)ヘッダー、独自のネゴシエーション動作、異常に長いセッション、高い帯域幅使用量などの不規則なパターンについてトンネルログを監視します。特徴的なパケット長やハンドシェイクを含むTorトラフィックシグネチャをスキャンします。既知のTorエントリーノード、リレー、ブリッジ、Obfourscatorまたは「obfs4」ノードへの接続を追跡します。複数の外部IP間を頻繁に切り替えるトラフィックや、匿名化サービスと相互作用するトラフィックにフラグを立てます。
I2PおよびP2P接続の監視
I2Pポート(7650~7659)およびBitTorrent/P2Pポート(6881~6889)上のトラフィックに対して動的なアラートを設定します。I2Pトンネルを示す、ランダムまたは外部IPへの高いアウトバウンドUDPトラフィックを監視します。I2Pピアディスカバリで一般的な、なじみのないまたは未解決のIPおよび不明瞭なUDPポートへの定期的なスパイクに注意します。分散IP間で持続的で長時間のP2Pセッションを検出し、Freenet活動を示します。Freenetやその他の匿名化ツールに典型的な自己署名証明書を探します。高エントロピーまたはランダムなドメイン名への持続的な接続を示すワークステーションやデバイス(IoTを含む)にフラグを立てます。これは匿名化サービスの一般的な兆候です。
疑わしいDNS活動の追跡
.onionアドレス、珍しいサブドメイン、匿名化ツールに関連するドメインへのアクセス試行についてDNSログを監視します。評判の低い、めったに使用されない、または悪意のあるドメイン、特にVPNまたはプロキシに関連するドメインへのクエリにフラグを立てます。たとえば、旧ソビエト連邦のために予約されている.suドメインを含むDNS要求は、ほとんど正当ではありません。内部DNSを回避し、代わりに外部DNSサーバーを使用するデバイスを検出します。これは匿名化ツールの使用を示す可能性がありますが、組織のネットワークセキュリティポリシーと設定の違反である可能性も高いです。
VPN接続の監視
よく知られた消費者向けVPNプロバイダー(例:NordVPN、ExpressVPN、ProtonVPN)への接続を検出します。非標準のVPNポート(OpenVPN:1194、Layer Two Transport Protocol、またはL2TP:1701)に関するアラートを発します。OpenVPN、IPSec、またはWireGuardを介してルーティングされるトラフィック(これらのサービスに関連付けられたカスタムSSL/TLS証明書の使用を含む)にフラグを立て、現在のポリシーと慣行で許可されているかどうかを判断します。
「不可能移動」、地理位置情報、および同様の異常の特定
ユーザーまたはデバイスからのIP地理位置情報データを使用して、「不可能移動」のインスタンスを特定します(例:ユーザーがオフィスにいるときに遠隔地からのログイン)。組織の通常の運用範囲外の疑わしい地域または国からの接続を検出します。正当なビジネスアプリケーションが特定できないトラフィックを探します。
マルウェアとコマンド&コントロール(C2)ビーコンの検出
ネットワークトラフィックから抽出されたファイルを分析するためにYaraを使用します。マルウェアまたは疑わしいバイナリを探します。「チェックイン」活動のパターンについてログを確認します。これらは、5分ごと、または1時間ごとなど、定期的に発生する可能性があります。
脅威インテリジェンスの追加
脅威インテリジェンスフィードを追加して、既知のダークウェブ活動を関連付けます。ハッシュ、IP、C2ドメインなどの侵害指標(IOC)にフラグを立てるためにフィードを統合します。組織に関するチャットや環境からのデータ漏洩についてダークウェブを監視するために、第三者の脅威インテリジェンスサービスを雇うことを検討します。外部の資格情報監視により、疑わしいまたは侵害された場所からのログイン試行を追跡します。
結論
適切に調整されたNDRソリューションは、組織がダークウェブ活動を検出する能力を大幅に強化し、全体的なサイバーセキュリティ体制を強化します。