Monitorear el tráfico en la web oscura es el tipo de cosas que preocupan a los administradores de TI, pero no pueden hacer nada al respecto. Ahora TI puede identificar quién y qué está accediendo a la web oscura desde las redes corporativas con WhatsUp Gold.
WhatsUp Gold, para aquellos que no están familiarizados, es una solución de monitoreo de red de Ipswitch. Una nueva característica de WhatsUp Gold 2018 Service Pack 2 es una forma de monitorear el tráfico que llega hacia y desde la web oscura. Pero, ¿por qué es importante que los equipos de TI rastreen el tráfico de la web oscura? No todo el tráfico de la web oscura es necesariamente malicioso, aunque podemos imaginar que parte de él lo es. Sin embargo, probablemente no haya un lugar para el uso de Tor y otras herramientas que se utilizan para acceder a la web oscura en una red corporativa.
El tráfico de la Web Oscura es probablemente ilícito
En un estudio reciente, encontraron que el 58% del tráfico en la web oscura o a través de la red Tor era ilícito, y solo el 42% era lícito. Algunos estudios en el pasado incluso han afirmado que el tráfico ilícito es casi el 80%. Por ejemplo, los equipos de TI quieren mantener estas cosas fuera de la red empresarial porque la mayoría del tráfico no se está utilizando para buenos propósitos. En última instancia, la web oscura realmente podría poner a su empresa en una situación realmente dolorosa.
Las cosas que se están intercambiando en la web oscura son actividades delictivas, como pornografía infantil e incentivos para hacer negocios de drogas. Es seguro decir que la mayoría de las empresas no quieren ninguna parte del tráfico que pueda estar haciendo eso. Y, sin embargo, es muy difícil de monitorear porque todo el propósito de la web oscura es ocultar todo este tráfico. Entonces, si hay una manera de encontrar algo de eso u obtener al menos una pista sobre lo que está sucediendo, probablemente desee rastrearlo y hacer algo al respecto.
Cuando está monitoreando el tráfico de la web oscura, ¿cuáles serían algunas banderas rojas cuando se trata de este tipo de tráfico? ¿Hay ciertos dispositivos en la red que son más propensos a la actividad maliciosa de la web oscura?
En general, el acceso a través de PC con el cliente web Tor sería suficiente señal de alerta. El indicador principal es el cliente web Tor. Debemos agregar que hay algunas formas diferentes de anonimizar en Internet. Podrías, por ejemplo, usar una VPN, pero de lo que estamos hablando específicamente es de Tor.
Análisis y alertas de tráfico de red WhatsUp Gold
WhatsUp Gold utiliza su módulo de análisis de tráfico de red o lo que algunas personas llaman Flow Monitor para monitorear el tráfico de la web oscura. Está utilizando datos netflow de enrutadores y conmutadores y está buscando lo que se conoce como los nodos de entrada o salida en la red Tor. Tenemos una base de datos de estos nodos que están integrados en el producto que se actualizan regularmente y WhatsUp Gold básicamente realiza un seguimiento. Si bien es una red anónima, debe ingresar a esta red anónima en algún lugar específico. WhatsUp Gold está investigando dónde está entrando y saliendo alguien de Internet. Si WhatsUp Gold nota tráfico de esas ubicaciones, usted (el equipo de TI) recibirá una alerta.
Para ser claros, WhatsUp Gold es específicamente un paquete de monitoreo de red,monitoreo de red y alertas. La herramienta no está haciendo ningún tipo de filtrado de paquetes aquí. Por lo tanto, depende de usted y de su equipo de TI averiguar qué quiere hacer con esa información.
Los mensajes de WhatsUp Gold provienen del Centro de alertas, que enviará una notificación por correo electrónico o mensaje SMS. Lo que tendría que hacer como administrador de red en ese momento sería usar su propio software de red, ya sea de Windows o Linux, para encontrar la dirección IP. WhatsUp Gold puede ayudarlo con eso, pero tendría que pasar por el paso de encontrar el dispositivo. WhatsUp Gold hará una búsqueda de nombres DNS e intentará rellenar el nombre DNS, lo que debería darle una pista bastante buena, pero es posible que deba usar algunas de sus herramientas de Microsoft para rastrear el dispositivo.
Además, con WhatsUp Gold, su equipo de TI puede armar un informe de panel que muestre la cantidad de tráfico que se ha detectado que va a la web oscura.