Så skyddar du nätverket mot hot från dark web med NDR

Förstå vägen till dark web

Dark web är inte som den vanliga webben. Den använder anonymiseringstjänster som Tor, I2P och Freenet för att dölja användarnas ursprung och kryptera trafiken. Men även om aktiviteten är dold, lämnar den digitala fotspår.

Ovanliga portar, märkliga krypteringsmönster och kontakt med Tor-noder är exempel på tecken som kan avslöja att någon i nätverket försöker nå dark web.

Vad NDR gör – och varför det är viktigt

Network Detection and Response (NDR) övervakar nätverkstrafiken i realtid med hjälp av AI och beteendeanalys. Den kan upptäcka misstänkt aktivitet, skapa historik över nätverksflöden och hjälpa IT-team att snabbare reagera på hot, rapporterar Bleeping computer. 

Genom att integrera NDR i säkerhetsarbetet kan företag minska tiden det tar att upptäcka (MTTD) och åtgärda (MTTR) cyberangrepp – även de som har sitt ursprung på dark web.

Läs också: Nvidia passerade 4 000 miljarder dollar

Få full insyn med NDR

Placera NDR-sensorer strategiskt där de skyddar mest – vid centrala nätverk, företagsgränser och interna segment med känslig data.

Fokusera på tre områden:

• Yttre trafik (north-south): Identifiera misstänkta kopplingar till externa servrar.
  
• Intern trafik (lateral movement): Övervaka enheter som kommunicerar oväntat mycket med varandra.
  
• Kritiska resurser: Upptäck försök till datastöld eller styrsignaler till angriparnas servrar (C2-aktivitet).
  

Bygg en säkerhetsgrund – börja med baselining

När NDR installeras inleds ofta en så kallad baselining-fas på cirka 30 dagar. Systemet lär sig då vad som är normalt för ditt nätverk. Efter det kan det automatiskt upptäcka avvikelser – som okända IP-adresser, konstiga filöverföringar eller trafik till märkliga domäner.

Men se upp: om nätverket redan är infekterat kan dessa hotmönster tolkas som “normala”. Därför krävs aktiv analys under baslinjefasen.

Läs också: Apple vill köpa F1-rättigheterna

Upptäck Tor och anonym trafik

Tor-nätverket är en av de vanligaste vägarna till dark web. För att upptäcka sådan aktivitet bör du:

• Skapa varningar för trafik på Tor-portar (9001, 9030, 9050).
  
• Leta efter ovanliga krypteringsmönster och långa, intensiva sessioner.
  
• Identifiera anslutningar till Tor-noder och anonymiseringstjänster som “obfs4”.
  

Corelight’s Open NDR Platform kan genom sina analysverktyg identifiera Tor-kommunikation via metadata och maskininlärning.

Håll koll på I2P- och P2P-anslutningar

Andra nätverk som I2P och Freenet kan också användas för att gömma olaglig aktivitet. Titta särskilt efter:

• Trafik på I2P-portar (7650–7659) eller P2P-portar (6881–6889).
  
• Udda UDP-trafik till slumpmässiga IP-adresser.
  
• Långvariga sessioner och självsignerade certifikat.
  

Corelight Encrypted Traffic Collection kan identifiera dessa krypterade mönster och flagga misstänkta anslutningar.

Läs också: Samsung fortsätter med galna priser

Granska DNS och VPN-aktivitet

DNS-loggar avslöjar ofta mer än man tror. Förfrågningar till .onion-adresser, lågkvalitetsdomäner eller externa DNS-servrar kan tyda på anonymisering.

Övervaka också VPN-trafik. Varningar bör utlösas vid anslutningar till vanliga konsument-VPN-tjänster eller vid användning av icke-standardportar (t.ex. OpenVPN 1194, L2TP 1701).

Corelight’s VPN Insights kan känna igen över 400 olika VPN-tjänster och loggar dem för vidare analys.

Upptäck “omöjliga resor” och misstänkt rörelse

Om en användare loggar in från två olika länder med bara några minuters mellanrum är något fel. Genom IP-geolokalisering kan NDR snabbt avslöja sådana “impossible travel”-fall och flagga trafik från ovanliga regioner.

Läs också: Håll inne knappen – då avslöjar WhatsApp en dold funktion du inte visste fanns

Inom nätverket kan även intern rörelse mellan system tyda på infiltration. Oväntad användning av protokoll som SOCKS eller RDP kan avslöja att angripare rör sig internt.

Identifiera skadlig kod och C2-aktivitet

Använd Yara-regler för att granska filer som hämtats via nätverkstrafiken. Leta efter “beaconing”-mönster där en dator kontaktar en server med jämna mellanrum – ett klassiskt tecken på att angriparen styr datorn på distans.

Corelight’s C2 Collection känner igen många av de verktyg och trojaner som används för att ta kontroll över system.

Förstärk skyddet med hotinformation

Koppla samman NDR med externa hotflöden som innehåller IP-adresser, domäner och hashvärden kopplade till kända dark web-aktiviteter.

Läs också: Samsung Galaxy Z Fold7: Tunnare, starkare och snabbare

Du kan även anlita en extern hotanalystjänst som bevakar dark web efter läckor eller diskussioner om ditt företag.

Corelight’s Intel Framework kan matcha miljontals indikatorer i realtid och ge exakta varningar för vidare utredning.

En vässad NDR-lösning = starkare cyberskydd

En välkalibrerad NDR-plattform ger företag en kraftfull fördel i kampen mot cyberbrott. Den avslöjar dolda hot, stärker den digitala säkerheten och gör det möjligt att agera innan angriparna gör det.

Corelight’s Open NDR Platform erbjuder ett heltäckande skydd med flerskiktad upptäckt, filanalys, protokollövervakning och långsiktig metadata-insamling – allt för att hålla dark web-hot borta från ditt nätverk.