پروکسی برای نظارت بر دارک وب: چگونه شرکت‌ها نشت‌های داده و تهدیدات امنیتی را ردیابی می‌کنند

هر روز هزاران آگهی جدید در دارک‌نت برای فروش داده‌های شرکتی منتشر می‌شود: ورود به سیستم کارکنان، پایگاه‌های داده مشتریان، کد منبع، مستندات مالی. شرکت‌هایی که این بازار را زیر نظر ندارند، آخرین کسانی هستند که از نشت اطلاعات مطلع می‌شوند — پس از آنکه داده‌ها توسط کلاهبرداران استفاده شده‌اند. سرورهای پروکسی به ابزاری کلیدی برای نظارت ایمن و ناشناس بر دارک‌نت تبدیل شده‌اند: آنها به خدمات امنیتی اجازه می‌دهند به طور نامحسوس کار کنند و زیرساخت‌های شرکتی را فاش نکنند.

چرا کسب‌وکارها باید دارک‌نت را زیر نظر داشته باشند

دارک‌نت فقط یک مکان برای تجارت غیرقانونی نیست. این یک بازار سایه‌ای کامل است که در آن داده‌های شرکتی شما ممکن است قبل از اینکه شما حتی از وقوع حادثه مطلع شوید، ظاهر شوند. بر اساس گزارش هزینه نشت داده‌های IBM در سال 2023، هزینه متوسط یک نشت داده 4.45 میلیون دلار است. در 83 درصد موارد، شرکت‌ها از نشت اطلاعات نه از خدمات امنیتی خود، بلکه از طرف‌های ثالث — مشتریان، شرکا یا خبرنگاران مطلع می‌شوند.

پس از نشت داده‌ها، چه بر سر داده‌های شرکت می‌آید؟ سناریو استاندارد است: هکرها سیستم را هک می‌کنند یا دسترسی را از یک فرد داخلی خریداری می‌کنند، و سپس داده‌ها در فروم‌ها و بازارهای دارک‌نت ظاهر می‌شوند. ابتدا آنها به صورت عمده به خریداران بزرگ فروخته می‌شوند و سپس به صورت جزئی. کل چرخه از هک تا اولین استفاده از داده‌ها توسط کلاهبرداران به طور متوسط 72 تا 96 ساعت طول می‌کشد. در این بازه، شرکت می‌تواند اقدام کند: رمزهای عبور را تغییر دهد، حساب‌های به خطر افتاده را مسدود کند و مشتریان را هشدار دهد.

نظارت بر دارک‌نت نه پارانویا، بلکه یک عمل استاندارد در امنیت شرکتی است. بانک‌های بزرگ، شرکت‌های بیمه، خرده‌فروشان و شرکت‌های فناوری مدت‌هاست که بودجه‌های جداگانه‌ای برای تهدید اطلاعات (threat intelligence) اختصاص داده‌اند. کسب‌وکارهای کوچک و متوسط تازه شروع به درک نیاز به این حوزه کرده‌اند — و در اینجا پروکسی به درستی تنظیم شده به ابزاری اولیه و در دسترس برای حفاظت تبدیل می‌شود.

نظارت بر دارک‌نت با پروکسی چگونه کار می‌کند

برای درک نقش پروکسی در نظارت بر دارک‌نت، باید در مورد معماری خود اینترنت سایه‌ای اطلاعات کسب کنید. دارک‌نت از طریق شبکه Tor (The Onion Router) کار می‌کند — سیستمی از هزاران گره که ترافیک را چندین بار رمزگذاری کرده و آدرس IP واقعی کاربر را پنهان می‌کند. وب‌سایت‌های دارک‌نت دارای دامنه‌های .onion هستند و از طریق مرورگرهای عادی قابل دسترسی نیستند.

مشکل اتصال مستقیم به Tor با IP شرکتی واضح است: شما تعلق ترافیک خود را به سازمانتان فاش می‌کنید. اگر مهاجمان در فروم ببینند که کسی با IP یک بانک روسی به طور منظم سایت آنها را زیر نظر دارد، آنها یا اطلاعات را حذف می‌کنند یا شروع به انتشار اطلاعات نادرست به طور خاص می‌کنند. بدتر از آن — IP شرکتی شما ممکن است به پایگاه‌های داده گروه‌های هکری به عنوان «هدف جالب» وارد شود.

در اینجا پروکسی‌ها وظیفه کلیدی را انجام می‌دهند: آنها یک لایه میانی بین زیرساخت واقعی شما و نقاط نظارت ایجاد می‌کنند. طرح کار به این صورت است:

1. درخواست از سیستم نظارت شما به سرور پروکسی می‌رود
2. سرور پروکسی درخواست را از طریق Tor یا به طور مستقیم به ایندکس‌کننده‌های دارک‌نت هدایت می‌کند
3. پاسخ از طریق پروکسی بازمی‌گردد و IP واقعی شما را پنهان می‌کند
4. سیستم داده‌های دریافتی را برای ذکر نام شرکت شما، دامنه‌ها، آدرس‌های ایمیل تحلیل می‌کند
5. در صورت شناسایی تطابق‌ها — اطلاع‌رسانی خودکار به تیم امنیتی

چرخش پروکسی یک سطح حفاظت اضافی اضافه می‌کند: هر درخواست از یک آدرس IP جدید می‌آید، که پیگیری الگوهای نظارت را غیرممکن می‌سازد. تیم‌های حرفه‌ای تهدید اطلاعات از مجموعه‌ای از صدها و هزاران آدرس IP استفاده می‌کنند تا ترافیک ارگانیک بسیاری از کاربران را شبیه‌سازی کنند.

کدام پروکسی‌ها برای نظارت بر تهدیدات مناسب هستند

انتخاب نوع پروکسی برای نظارت بر دارک‌نت به وظیفه خاص بستگی دارد. هر گزینه را از نظر کاربرد در امنیت شرکتی بررسی می‌کنیم.

پروکسی‌های رزیندنتی — انتخاب بهینه برای اکثر وظایف نظارت بر دارک‌نت هستند. آدرس‌های IP آنها متعلق به کاربران واقعی خانگی در سراسر جهان است که آنها را تقریباً غیرقابل تشخیص از ترافیک عادی می‌کند. زمانی که سیستم نظارت شما از طریق پروکسی‌های رزیندنتی به فروم دارک‌نت متصل می‌شود، این به عنوان یک کاربر عادی از آلمان، ایالات متحده یا هر کشور دیگری به نظر می‌رسد — هیچ نشانه‌ای از فعالیت شرکتی وجود ندارد.

پروکسی‌های موبایل به ویژه برای نظارت بر کانال‌ها و چت‌های تلگرام که در آن گروه‌های هکری درباره پایگاه‌های داده خریداری شده و برنامه‌ریزی حملات بحث می‌کنند، ارزشمند هستند. تلگرام به طور فعال با ربات‌ها و جمع‌آوری خودکار داده‌ها مبارزه می‌کند، بنابراین پروکسی‌های موبایل با آدرس‌های IP واقعی 4G/5G در اینجا ضروری هستند — آنها بالاترین سطح اعتماد را در پلتفرم‌ها دارند.

پروکسی‌های داده‌مرکز برای کار با ایندکس‌کننده‌ها و جمع‌آورنده‌های باز که داده‌ها را از دارک‌نت جمع‌آوری کرده و از طریق API ارائه می‌دهند، مناسب هستند. در اینجا سرعت پردازش حجم بالای درخواست‌ها مهم است، نه حداکثر ناشناس بودن. پروکسی‌های داده‌مرکز ظرفیت بالایی را با هزینه نسبتاً پایین ارائه می‌دهند.

شرکت‌ها در دارک‌نت چه چیزی را ردیابی می‌کنند

نظارت حرفه‌ای بر دارک‌نت یک مرور تصادفی از فروم‌ها نیست. این یک فرآیند ساختار یافته برای جستجوی شاخص‌های خاصی از نقض (IoC) است. در اینجا آنچه که خدمات امنیتی شرکت‌ها واقعاً جستجو می‌کنند:

1. اطلاعات حساب‌های شرکتی

ورود به سیستم و رمزهای عبور کارکنان — رایج‌ترین نوع نشت‌ها هستند. هکرها آنها را به صورت دسته‌ای می‌فروشند: «دپوی 50,000 حساب کاربری شرکت X». نظارت شامل جستجوی دامنه‌های ایمیل شرکتی (@company.ru) در پایگاه‌های داده اطلاعات حساب‌های به خطر افتاده است. شناسایی چنین نشت‌هایی به شرکت زمان می‌دهد تا رمزهای عبور را به طور اجباری تغییر دهد قبل از اینکه مهاجمان از دسترسی استفاده کنند.

2. داده‌های مشتری و پایگاه‌های داده

پایگاه‌های داده حاوی اطلاعات شخصی مشتریان — یکی از گران‌ترین کالاها در بازار دارک‌نت هستند. نظارت به شناسایی اینکه پایگاه مشتری شما برای فروش عرضه شده است، قبل از اینکه این موضوع به یک رسوایی عمومی تبدیل شود، کمک می‌کند. جستجوهای شامل نام شرکت، دامنه‌ها، الگوهای خاص فرمت داده‌ها هستند.

3. مستندات شرکتی و کد منبع

نشت مستندات داخلی، گزارش‌های مالی، برنامه‌های استراتژیک یا کد منبع محصولات آسیب جدی به شهرت و رقابت وارد می‌کند. چنین داده‌هایی در دارک‌نت به عنوان نتیجه حملات باج‌افزاری (زمانی که هکرها داده‌ها را رمزگذاری کرده و تهدید به انتشار می‌کنند) یا اقدامات افراد داخلی ظاهر می‌شوند.

4. بحث درباره حملات برنامه‌ریزی شده

گاهی اوقات در فروم‌های هکری بحث‌هایی درباره اهداف خاص برای حمله وجود دارد: «به دنبال آسیب‌پذیری در سیستم شرکت X هستم»، «دسترسی به شبکه بانک Y را می‌خرم». نظارت بر چنین ذکرهایی به پیشگیری از حمله در مرحله آماده‌سازی کمک می‌کند. این ارزشمندترین، اما همچنین دشوارترین نوع تهدید اطلاعات است.

5. داده‌های پرداخت به خطر افتاده

برای خرده‌فروشان، بانک‌ها و شرکت‌های فین‌تک نظارت بر فروش داده‌های کارت‌های مشتریان بسیار مهم است. ظهور داده‌های کارت‌هایی که توسط بانک شما صادر شده یا در وب‌سایت شما استفاده شده‌اند در فروم‌های کاردینگ، سیگنالی مستقیم برای تحقیق در مورد حادثه است.

ابزارها و پلتفرم‌ها برای نظارت بر دارک‌نت

بازار ابزارهای نظارت بر دارک‌نت به دو بخش تقسیم می‌شود: پلتفرم‌های تجاری آماده و راه‌حل‌های قابل تنظیم خودکار. هر دو گزینه را بررسی می‌کنیم.

پلتفرم‌های تجاری تهدید اطلاعات

این خدمات قبلاً با منابع دارک‌نت یکپارچه شده و داشبوردهای آماده‌ای برای نظارت بر تهدیدات ارائه می‌دهند. آنها از زیرساخت پروکسی خود برای جمع‌آوری داده‌ها استفاده می‌کنند و فقط نتایج را از طریق رابط وب یا API به شما ارائه می‌دهند.

• Recorded Future — یکی از بزرگترین پلتفرم‌های تهدید اطلاعات، میلیون‌ها منبع از جمله فروم‌های دارک‌نت و کانال‌های تلگرام را ایندکس می‌کند
• Flashpoint — تخصص در نظارت بر جوامع جنایی و بازارها
• Digital Shadows (Searchlight Cyber) — تمرکز بر حفاظت از برند و نظارت بر نشت داده‌ها
• Kela — پلتفرمی با تمرکز بر نظارت بر اطلاعات حساب‌های به خطر افتاده
• DarkOwl — یکی از بزرگترین ایندکس‌های محتوای دارک‌نت با دسترسی API

نظارت خودکار از طریق پروکسی

شرکت‌هایی که تیم‌های امنیتی خود را دارند، اغلب راه‌حل‌های هیبریدی می‌سازند: از پلتفرم‌های تجاری برای نظارت پایه استفاده می‌کنند و آنها را با ابزارهای خود برای وظایف خاص تکمیل می‌کنند. در اینجا پروکسی‌ها به عنصر مرکزی زیرساخت تبدیل می‌شوند.

استک معمولی برای نظارت خودکار شامل:

• مرورگر Tor / پروکسی Tor — برای دسترسی مستقیم به منابع .onion
• پروکسی‌پول با چرخش — برای جمع‌آوری داده‌های ناشناس از وب سطحی (ایندکس‌کننده‌ها، جمع‌آورنده‌ها)
• Maltego — ابزاری برای تجسم روابط بین داده‌ها و موجودیت‌ها
• Shodan / Censys — جستجوی منابع آسیب‌پذیر شرکتی در دسترس عمومی
• Have I Been Pwned API — بررسی آدرس‌های ایمیل در پایگاه‌های نشت شناخته شده
• Elasticsearch + Kibana — ذخیره و تجسم داده‌های جمع‌آوری شده

چگونه نظارت را تنظیم کنیم: الگوریتم گام به گام

ساخت یک سیستم نظارت بر دارک‌نت فرآیندی است که می‌توان آن را به چند مرحله خاص تقسیم کرد. در زیر یک الگوریتم عملی برای تیم امنیت شرکتی آورده شده است.

گام 1. «دارایی‌های دیجیتال» برای نظارت را تعیین کنید

فهرستی از آنچه که باید در دارک‌نت جستجو کنید تهیه کنید. اینها کلمات کلیدی شما برای سیستم نظارت هستند:

• دامنه‌های ایمیل شرکتی: @company.ru، @company.com
• نام شرکت و واریاسیون‌های نوشتاری (از جمله ترانسلiteration)
• محدوده‌های آدرس IP شبکه شرکتی
• دامنه‌های وب‌سایت‌های شرکتی و سیستم‌های داخلی
• نام‌های مدیران ارشد و کارکنان کلیدی
• نام‌های سیستم‌ها و محصولات داخلی
• شماره‌های کارت‌های شرکتی (کدهای BIN برای بانک‌ها)

گام 2. زیرساخت پروکسی را تنظیم کنید

برای نظارت، توصیه می‌شود از پروکسی‌های رزیندنتی با چرخش IP استفاده کنید. تنظیمات استاندارد است: داده‌های اتصال (host، port، نام کاربری، رمز عبور) را دریافت کنید، نوع پروتکل SOCKS5 یا HTTP را در تنظیمات ابزار نظارت خود مشخص کنید. برای کار با شبکه Tor، پروکسی به عنوان یک لایه میانی قبل از کلاینت Tor تنظیم می‌شود.

مهم است که چرخش را به گونه‌ای تنظیم کنید که هر جلسه جدید نظارت از یک آدرس IP جدید استفاده کند. بیشتر ارائه‌دهندگان پروکسی رزیندنتی از چرخش خودکار از طریق یک endpoint خاص پشتیبانی می‌کنند — این کار را از نیاز به تغییر دستی IP رها می‌کند.

گام 3. منابع برای نظارت را تعیین کنید

همه منابع به یک اندازه ارزشمند نیستند. آنها را بر اساس مرتبط بودن برای صنعت خود اولویت‌بندی کنید:

گام 4. سیستم هشدارها را تنظیم کنید

نظارت بدون سیستم اطلاع‌رسانی بی‌فایده است. هشدارهای خودکار را هنگام شناسایی کلمات کلیدی از لیست خود تنظیم کنید. بیشتر پلتفرم‌های تجاری دارای هشدارهای داخلی از طریق ایمیل، Slack یا تلگرام هستند. برای راه‌حل‌های خودکار می‌توانید از ادغام‌های webhook با پیام‌رسان‌های شرکتی استفاده کنید.

هشدارها را بر اساس شدت تقسیم کنید: شناسایی رمزهای عبور شرکتی — اطلاع‌رسانی فوری به CISO و مدیر IT، ذکر نام شرکت در فروم — خلاصه روزانه برای تحلیل‌گر امنیتی.

گام 5. رویه واکنش را ایجاد کنید

شناسایی تهدید فقط آغاز کار است. از قبل مشخص کنید که تیم در هر نوع یافته چه کاری انجام می‌دهد: چه کسی اطلاع‌رسانی می‌کند، در چه زمانی باید واکنش نشان دهد، چه اقداماتی انجام می‌شود. بدون یک برنامه واضح برای واکنش، حتی دقیق‌ترین سیستم نظارت نیز نتیجه‌ای نخواهد داشت.

اشتباهات رایج و چگونگی جلوگیری از آنها

حتی تیم‌های امنیتی با تجربه نیز در تنظیم نظارت بر دارک‌نت اشتباهات رایجی مرتکب می‌شوند. آگاهی از این اشتباهات به جلوگیری از آنها از همان ابتدا کمک می‌کند.

اشتباه 1: نظارت بدون پروکسی یا با یک IP ثابت

این بزرگترین اشتباه است. استفاده از IP شرکتی یا یک پروکسی واحد برای نظارت، فعالیت شما را فاش می‌کند و آن را قابل پیش‌بینی می‌سازد. مهاجمان در فروم‌ها الگوها را مشاهده می‌کنند: یک IP به طور منظم موضوعات مربوط به یک شرکت خاص را مرور می‌کند. راه‌حل — یک مجموعه پروکسی رزیندنتی با چرخش خودکار، جایی که هر درخواست از یک آدرس جدید می‌آید.

اشتباه 2: نظارت فقط بر دارک‌نت و نادیده گرفتن تلگرام

در سال‌های 2023–2024، بخش قابل توجهی از تجارت داده‌های دزدیده شده از دارک‌نت کلاسیک به تلگرام منتقل شده است. بسیاری از گروه‌های هکری کانال‌های باز یا نیمه‌باز دارند که در آن آگهی‌های فروش داده‌ها را منتشر می‌کنند. نادیده گرفتن تلگرام به معنای از دست دادن بخش قابل توجهی از تهدیدات است.

اشتباه 3: واکنش فقط به واقعیت نشت، نه به نشانه‌های آن

نظارت حرفه‌ای باید نه تنها نشت‌ها بلکه پیش‌زمینه‌های آنها را شناسایی کند: بحث درباره آسیب‌پذیری‌ها در سیستم‌های شما، جستجوی افراد داخلی، آگهی‌های خرید دسترسی به زیرساخت شما. نظارت را بر روی طیف وسیعی از شاخص‌ها تنظیم کنید، نه فقط بر ذکر مستقیم داده‌ها.

اشتباه 4: عدم تأیید یافته‌ها

سیستم‌های خودکار باعث تولید هشدارهای کاذب می‌شوند. اگر نام شرکت شما «آلفا» باشد، سیستم هزاران ذکر نام نامربوط را پیدا می‌کند. بدون یک رویه تأیید دستی توسط تحلیل‌گر، تیم در هشدارهای کاذب غرق می‌شود و تهدیدات واقعی را از دست می‌دهد. یک سیستم دو سطحی بسازید: غربالگری اولیه خودکار + تأیید دستی یافته‌های اولویت‌دار.

اشتباه 5: نقض امنیت عملیاتی در تأیید

زمانی که تحلیل‌گر هشدار درباره داده‌های پیدا شده دریافت می‌کند و به طور شخصی به بررسی لینک می‌رود — او باید این کار را از طریق پروکسی انجام دهد، نه به طور مستقیم از کامپیوتر شرکتی. رفتن به لینک‌ها از دارک‌نت بدون حفاظت می‌تواند IP شرکتی را فاش کند و حتی منجر به بارگذاری بدافزار شود. تمام بررسی‌ها باید فقط از طریق یک محیط ایزوله با پروکسی انجام شود.

نتیجه‌گیری

نظارت بر دارک‌نت دیگر یک کار عجیب و غریب نیست و به یک عمل استاندارد در امنیت سایبری شرکتی تبدیل شده است. شرکت‌هایی که سیستم شناسایی زودهنگام تهدیدات را ایجاد می‌کنند، یک مزیت حیاتی به دست می‌آورند: زمان برای واکنش قبل از اینکه داده‌های دزدیده شده علیه آنها یا مشتریانشان استفاده شود.

زیرساخت پروکسی اساس نظارت ایمن است. بدون آن، هر فعالیت در دارک‌نت سازمان شما را فاش می‌کند و نظارت را غیرمؤثر می‌سازد. یک مجموعه پروکسی به درستی تنظیم شده با چرخش، ناشناس بودن را تأمین می‌کند، ترافیک ارگانیک را شبیه‌سازی می‌کند و به تیم امنیتی اجازه می‌دهد به طور نامحسوس کار کند.

نکات کلیدی مقاله: از پروکسی‌های رزیندنتی برای نظارت بر فروم‌ها استفاده کنید، پروکسی‌های موبایل را برای کانال‌های تلگرام انتخاب کنید، چرخش IP خودکار را تنظیم کنید، یک لیست واضح از دارایی‌های دیجیتال برای جستجو ایجاد کنید و حتماً رویه واکنش به یافته‌ها را بنویسید.

اگر قصد دارید یک سیستم نظارت بر تهدیدات برای شرکت خود بسازید، توصیه می‌کنیم با پروکسی‌های رزیندنتی با چرخش شروع کنید — آنها حداکثر ناشناس بودن را در کار با منابع دارک‌نت و حداقل خطر شناسایی فعالیت نظارتی شما فراهم می‌کنند. برای وظایف نظارت بر کانال‌های تلگرام گروه‌های هکری، بهترین انتخاب پروکسی‌های موبایل با آدرس‌های واقعی 4G/5G خواهد بود.