Dark web-overvåkning for små bedrifter: verdt det eller overkill?

Hva dark web-overvåkning egentlig innebærer

Dark web er ikke ett sted. Det er et mangfold av Tor-skjulte nettsteder, krypterte forumer, Telegram-kanaler og private markedsplasser der kriminelle handler med alt fra stjålne logins til full tilgang til bedriftsnettverk. Å overvåke alt dette kontinuerlig krever både teknologi og menneskelige analytikere.

Når leverandører selger dark web-overvåkning, snakker de vanligvis om én av tre ting:

• E-post-lekkasje-overvåkning: sjekker om bedriftens e-postadresser dukker opp i offentlige lekkasjer (som haveibeenpwned.com indekserer)
• Domene- og merkevare-overvåkning: leter etter nevnelse av bedriftsnavn, domener eller varemerker på forumer og leak-sider
• Credential stuffing-lister: finner kombinasjoner av e-post og passord fra nylige datainnbrudd som selges eller deles fritt

Det første er allerede standard i moderne e-post-verktøy. Det andre er der verdien potensielt ligger, men bare hvis du har evnen til å reagere raskt. Det tredje er viktig, men overlapper mye med det første.

Når det gir mening: tre konkrete scenarioer

Scenario 1: Du har høy digital synlighet. Hvis bedriften din driver netthandel, har store kunderegistre eller håndterer betalinger, er sannsynligheten større for at dere nevnes i kriminelle miljøer. Her kan tidlig varsling om at «noen tilbyr tilgang til X AS» gi deg noen timer eller dager til å stenge hull før skaden er et faktum.

Scenario 2: Du har blitt rammet før. Bedrifter som allerede har hatt et innbrudd eller ransomware-angrep er hyppigere mål for gjentatte angrep. Aktørene vet at systemet har sårbarheter, og de selger eller deler gjerne tilgangsinformasjon internt. Løpende overvåkning her er forsikring mot at samme aktør kommer tilbake gjennom en annen dør.

Scenario 3: Du opererer i bransjer med regulatoriske krav. Helse, finans og offentlig sektor har ofte krav om å demonstrere at de aktivt søker etter indikatorer på kompromittering. Da er dark web-overvåkning ikke bare teknisk fornuftig, det er også dokumenterbart due diligence.

Når det kan virke overkill, og hvorfor Sentinel likevel er smart

Det finnes situasjoner der dark web-overvåkning ved første øyekast kan virke unødvendig. Hvis bedriften din består av en eller to personer, har en enkel nettside og ikke håndterer sensitive personopplysninger, er sjansen liten for at dere blir et navngitt mål kriminelle snakker om i lukkede fora. Men dere er fortsatt med i de brede, automatiserte angrepene som rammer e-post og passord på tvers av tusenvis av bedrifter samtidig, og der er det nettopp credentials-lekkasjer som åpner døra.

Det stemmer at overvåkning ikke beskytter i seg selv, den varsler. Men varslingen er nettopp det de fleste små bedrifter mangler. Uten det oppdager du gjerne lekkasjen først når en kunde ringer eller noen allerede har logget seg inn i Microsoft 365-kontoen din. Med et verktøy som samler signalene, holder det som regel at du rekker å bytte passord og slå på tofaktor før treffet utnyttes. Du trenger ikke et eget sikkerhetsteam for å handle på det.

En reell fallgruve er leverandører som selger «kontinuerlig dark web-skanning» og i praksis bare reselger gratis HIBP-oppslag til premiumpris. Sentinel henter også fra HIBP, men kombinerer det med Certificate Transparency-overvåkning av nye sertifikater på domenet ditt, supply-chain-hashing av eksterne JavaScript-bibliotek, DNS- og SSL-helse, og for PLUSS-kunder kontinuerlig dark web-recon via SpiderFoot. Free-tier starter på 0 kr og PLUSS koster 179 kr per måned. Det kommer på toppen av tofaktor, oppdateringer og backup, ikke i stedet for, og er ofte forskjellen på å oppdage en lekkasje i tide og å oppdage den når skaden allerede er gjort.

Hva du faktisk bør overvåke

Hvis du bestemmer deg for at dark web-overvåkning er verdt det, fokuser på dette:

• Ransomware leak-sider: mange aktører publiserer ofre offentlig før de begynner å lekke data. Å vite at dere er nevnt gir deg tid til å forberede kommunikasjon.
• Credential markets: spesifikke markedsplasser der folk selger tilgang til bedriftsnettverk. Hvis domenet ditt dukker opp her, er det en akutt trussel.
• Pastebin og lignende: mange angrep begynner med at noen poster påloggingsdetaljer åpent som «proof of concept». Dette kan skje timer før noen faktisk utnytter det.

Det du ikke trenger: generell «merkevare-overvåkning» på sosiale medier som Twitter eller Reddit. Det er PR-verktøy, ikke sikkerhet.

Sentinel og dark web

Mustvedt Sentinel kjører i dag kontinuerlig dark web-overvåkning via SpiderFoot for PLUSS-kunder. En automatisk jobb går hver time og leter etter eksponering knyttet til domenet ditt, e-postadressene dine og kjente credentials-lekkasjer på dark web, paste-sider og leak-fora. I tillegg kan du fortsatt kjøre en on-demand-skanning fra dashbordet når du vil ha et øyeblikksbilde i sanntid.

PLUSS-kunder får i tillegg daglig varsling på e-post-lekkasjer via Have I Been Pwned med instant re-sjekk når nye breaches publiseres, kombinert med Certificate Transparency-overvåkning som flagger nye sertifikater utstedt på domenet ditt, supply-chain-hashing av eksterne JavaScript-kilder på nettsiden din, og DNS- og SSL-helse med subdomene-risiko. Dark web-delen er live i dag, ikke et løfte om noe som kommer.

Konklusjon: spør deg selv om du kan handle på det

Dark web-overvåkning er verken scam eller magisk kule. Det er et verktøy som har størst verdi når tre ting stemmer: du har noe verdt å stjele, du har evnen til å respondere raskt, og du har allerede de grunnleggende tingene på plass.

Hvis du ikke har tofaktorautentisering på alle kontoer, mangler backup-rutiner eller lar ansatte bruke «Sommer2024!» som passord, da er ikke dark web-overvåkning det første du skal prioritere. Start der det faktisk brenner.

Men hvis du har orden i grunnmuren og vil ha tidlig varsling om at noe er på gang, da er det et smart tillegg. Bare sørg for at tjenesten faktisk overvåker noe mer enn det du kan google deg til gratis.