Klient: bank komercyjny / zespoły bezpieczeństwa (SOC, Blue Team)
Obszar: cyberbezpieczeństwo – monitoring Dark Web i identyfikacja wycieków danych
Integracja: wdrożenie monitoringu opartego o słowa kluczowe + analiza ekspercka PREBYTES SIRT
Rezultat: zwiększenie widoczności zagrożeń spoza organizacji i możliwość reakcji przed wystąpieniem incydentu
Bank posiadał rozwinięte mechanizmy ochrony swoich systemów oraz dojrzałe procesy reagowania na incydenty. Jednocześnie brakowało mu widoczności tego, co dzieje się z danymi powiązanymi z organizacją poza jej infrastrukturą. W praktyce oznaczało to, że potencjalne zagrożenia mogły powstawać i rozwijać się w przestrzeni zewnętrznej, bez możliwości ich wcześniejszej identyfikacji.
W ramach wdrożonej usługi Dark Web Investigation realizowanej przez PREBYTES SIRT (Security Incident Response Team), już na wczesnym etapie jej korzystania – zidentyfikowano bazę danych opublikowaną na forum cyberprzestępczym, zawierającą loginy, hasła oraz informacje o serwisach, z których dane pochodziły. Wśród rekordów znajdowały się adresy e-mail w domenie banku, powiązane z różnymi usługami, takimi jak cta.pl, gateway.hbogo.pl, gandalf.com.pl czy krakow-biblioteka.sowa.pl.
Istotne było to, że dane nie pochodziły z jednego incydentu, lecz z wielu niezależnych wycieków – co wskazywało na szeroką ekspozycję pracowników poza organizacją.
Kluczowe pytanie nie brzmiało „czy doszło do wycieku?”, lecz „czy i jak te dane mogą zostać wykorzystane przeciwko naszej organizacji?”.
Wdrożona usługa Dark Web Investigation opierała się na zestawie słów kluczowych powiązanych z bankiem – przede wszystkim domenach e-mail pracowników oraz innych identyfikatorach organizacyjnych.
Monitoring obejmował m.in. sieci TOR, Freenet i I2P, fora przestępcze oraz czarne rynki. W praktyce oznaczało to ciągłe przeszukiwanie dużej liczby źródeł w poszukiwaniu danych powiązanych z organizacją.
Po wykryciu takich informacji identyfikowane jest ich źródło oraz zakres – w szczególności to, jakiego typu dane zostały ujawnione i z jakimi usługami są powiązane. Bank otrzymuje informacje, które pozwalają jego zespołom bezpieczeństwa ocenić, czy dane mogą zostać wykorzystane w praktyce – np. w próbach logowania, kampaniach phishingowych lub działaniach socjotechnicznych.
Kluczową wartością usługi jest właśnie dostarczenie wczesnego sygnału o ekspozycji danych poza organizacją.
Na tej podstawie bank może samodzielnie nadać zgłoszeniu odpowiedni priorytet, zweryfikować potencjalnie zagrożone konta oraz podjąć decyzję o dalszych działaniach, takich jak reset haseł, dodatkowa weryfikacja dostępu czy działania edukacyjne wobec użytkowników.
Najważniejszą zmianą było uzyskanie przez bank realnej widoczności tego, jak dane powiązane z jego pracownikami funkcjonują poza organizacją.
Zidentyfikowane wycieki przestały być traktowane jako odizolowane incydenty, a zaczęły być analizowane jako potencjalne punkty wyjścia do dalszych działań. Zmieniło się podejście – z reaktywnego (po incydencie) na proaktywne (przed jego wystąpieniem).
Warto podkreślić, że zakres monitoringu nie ogranicza się wyłącznie do adresów e-mail pracowników. Usługa obejmuje również identyfikację danych powiązanych z organizacją w szerszym kontekście – w tym informacji dotyczących klientów, dostawców oraz wzmianek o samej instytucji.
Dzięki temu możliwe jest wykrywanie nie tylko pojedynczych wycieków, ale także szerszych zależności i potencjalnych wektorów ataku, które mogą mieć wpływ na bezpieczeństwo całego ekosystemu organizacji.
Czy dane Twoich pracowników są już na sprzedaż? Zweryfikuj swoją ekspozycję w Dark Web: https://www.prebytes.com/pl/rozwiazania/dark-web-investigation
