暗网是互联网神秘而危险的角落。暗网的匿名性使其成为犯罪分子活动的理想场所。企业和机构面临来自暗网的潜在威胁:COVID-19大流行刺激了远程工作的激增,暗网凭证交易成为热潮。暗网监控已经成为保护的必要部分:减少攻击的潜在危害,减少对品牌形象的损害,是合规的必然要求。暗网已成为威胁情报的重要来源:75%的漏洞在被纳入国家漏洞库之前就出现在暗网上。自建暗网监控能力是一项比较具有挑战性的工作。它需要掌握网络犯罪情况、访问暗网的能力以及监控暗网源的技术。一、前言暗网的匿名性使其成为不法分子的理想活动场所。例如,恐怖分子招募恐怖组织成员,在暗网上策划恐怖袭击。同时,暗网也是商品或服务的市场,例如军火、毒品、色情、信用卡号、社会保险号、被盗用户凭证。尽管如此,许多政府和机构仍然积极参与暗网的组建和融资。例如,维基解密提供了举报人可以匿名提交的Tor隐藏服务;纽约时报、Facebook和中央情报局也有自己的Tor隐藏服务;审查的国家和地区。企业和机构可能面临暗网威胁的风险。信用卡号、被盗的用户凭据、被黑的Netflix帐户和恶意软件都可以在暗网上获得,以购买可能损害企业和机构的工具和服务。例如,花500美元购买5万美元的美国银行账户登录凭证,花500美元购买7张余额为2500美元的预付借记卡,6美元购买Netflix永久高级账户,甚至雇佣一帮黑客进行攻击公司服务器。此外,英国萨里大学MichaelMcGuires博士在2019年对《利润之网》进行的一项研究表明,自2016年以来,危害企业的暗网黑名单数量增加了20%,60个%的上市公司面临潜在的暗网威胁。威胁。2.暗网:互联网神秘而危险的一角暗网是互联网神秘而危险的一角,充满了争议、神话和恐怖。1990年代,提出“建立普通用户无法进入的秘密网络”的想法,为美国特工提供安全、不可追踪的通信渠道。当该项目即将被放弃时,研究人员看到了匿名网络的潜力:它可用于收集持不同政见者和隐私活动家的特殊言论,并确保安全通信。暗网作为互联网的一部分,处于互联网的深层。与普通的互联网服务一样,暗网也包含很多网站和服务,但使用特殊的加密技术刻意隐藏用户身份信息。通常很难通过传统的搜索引擎访问。通信和交易的匿名性特征。根据公众的可访问性和搜索引擎的覆盖范围的不同,互联网大致可以分为三个部分:公共网络、深层网络和暗网。其中,公共网络约占互联网的4%,可以被搜索引擎收录,任何能上网的人都可以找到。深层网络是互联网的绝大部分,约占互联网的93%,由不向公众开放且未被搜索引擎索引的网站组成。例如,受密码保护的网站、网上银行或专用网络。大部分深网可以通过普通浏览器访问,而暗网则需要专门的浏览器才能访问,其规模占互联网的3%。3、正确使用暗网的主要犯罪手段,对暗网具有一定的积极意义。例如,暗网上有许多合法网站可供记者和执法人员用来收集匿名提示或描述性信息。但是,它更像是网络犯罪的同义词。目前,暗网上约有22.5万个网站和论坛,只能通过专业浏览器和Tor等搜索引擎访问。这些工具为进入暗网的用户提供完全匿名。暗网的匿名性正在诱发越来越多的网络犯罪。为了达到不可告人的目的,黑客和诈骗者在暗网上提供多种形式的服务和信息,包括:攻击工具:用于对目标进行特定的网络攻击,以破坏目标信息系统的机密性和完整性或可用性目的。例如,用于网络钓鱼的工具或勒索软件即服务(RaaS)。聊天室和论坛:用于攻击目标的信息交流、黑客技术培训等活动。HackersforHire:为那些不愿自己学习网络黑客技术但又想攻击目标的人提供了新的可能性。敏感数据买卖:敏感数据包括个人信息数据或公司IP、源代码、公司信息、数字证书等数据,可用于电信诈骗、网络诈骗等不法活动。4.在线凭证交易变成暗网繁荣COVID-19大流行刺激了远程工作的激增,削弱了企业和机构的网络安全态势。攻击者已经迅速适应了COVID-19的“新常态”,并正在修改他们的攻击以从变化的环境中获利。暗网已经成为企业网络凭证交易的热潮。网络安全公司PositiveTechnologies调查了暗网市场,发现与企业网络登录凭证相关的信息交易正??在蓬勃发展。2019年第四季度,暗网市场企业网证数据交易量开始增加,成交量相当于2018年全年总和。2020年第一季度,不少企业开始切换到远程工作模式,在暗网市场上销售企业网络登录的帖子数量比上一季度增长了69%。2020年第一季度的升级表明,攻击者现在正专注于这种特定方法。值得注意的是,暗网出售的入网凭证还涉及政府单位、医疗机构、市政当局、房协等社会组织。图1:暗网企业网络访问的讨论趋势造成这种热潮的主要原因是黑客在进行非法网络访问时面临被发现的风险,获得的收益不确定。黑客可以通过暗网出售“挖矿权”获得一定利益,不会直接承担非法网络访问的风险。例如,ShinyHunter黑客组织卷入了多起数据泄露事件,包括泄露来自11家不同公司的7320万条用户记录,其中包括Homechef、Minted和Styleshare。安全研究人员认为,该组织也是Tokopedia数据泄露事件的幕后黑手,当时有9100万条用户记录被泄露,并在黑客论坛上以5000美元的价格出售。为了支持大规模的用户凭证数据交易,攻击者在进行攻击时通常会设置专用的数据库。存储大量被盗用户凭证数据。这些数据库支持勒索软件攻击即服务,使其他人能够从成功的入侵和数据泄露中获利。首席安全官及其团队正在努力应对来自外部威胁行为者的攻击,但可能忽略了暗网上发生的大规模凭据盗窃事件。这种凭据盗窃可能是由于粗心的IT团队错误配置了面向外部的数据库,使其成为企业网络上凭据泄漏的数据源。就违规后果而言,数据是直接被盗还是通过不受保护的搜索路径获取都没有区别。5、暗网监控成为安全防护的必要环节。人们可能认为暗网是企业数字威胁的主要来源,但与普遍看法相反,暗网并不是企业数字威胁的主要来源。与暗网相比,公共网络上的数字威胁要多得多。尽管如此,暗网监控仍然具有相关性,暗网主要是用于通信、协作和网络攻击攻击工具的场所,包括论坛和聊天室、电子邮件和消息传递应用程序、博客和维基以及点对点文件-共享网络。(一)暗网监控为企事业单位提供保护首先,暗网监控可以减少对企事业单位的潜在危害。如果有人窃取员工凭证,尤其是那些允许访问敏感数据的凭证,企业和组织将面临重大风险。暗网监控允许企业和机构对发现的任何被盗凭据发出预警,使IT或安全团队能够及时更改凭据密码,并寻找使用被盗凭据破坏受控网络的迹象,这可以帮助企业和机构将来。在攻击前采取阻断措施或在攻击中控制损害。其次,暗网监控减轻了品牌形象的损害。一旦发生泄密,商家和机构在了解情况后必须尽快与客户沟通,否则您的品牌形象可能会受损。暗网监控服务可以帮助深入了解数据泄露发生的原因和原因,并向客户解释。在客户数据或凭证被盗的情况下,可以提出建议和相应的应对措施,例如冻结客户的信用或更改个人密码。最后,暗网监控是合规的必要条件。根据《通用数据保护条例》(GDPR)等许多法律,企业和机构在数据泄露后有强制报告要求。未能在规定时间内报告可能会导致灾难性后果和巨额罚款。暗网监控不仅有助于更快地开始调查,而且还可以向审计人员展示保护内部凭据和客户数据的稳健措施,以及发现潜在漏洞的能力。(2)暗网监控是威胁情报的重要来源。暗网传统上被视为各类不法分子的避难所,但它为企业和机构开展网络攻击和数据泄露防护、检测和预测提供了机会。企业和组织无法对暗网上的网站或市场采取行动,但在那里找到的信息可用于应对网络攻击、网络钓鱼活动和公共网络上被盗的网络凭据。使用来自暗网的威胁情报,安全专家可以定期从公共网络中“删除”这些网站和帐户。网络安全公司RecordedFuture对美国国家漏洞数据库中的漏洞进行了研究,发现75%的漏洞在被收录到国家漏洞数据库之前已经出现在暗网上。25%的泄露至少相隔50天,10%的泄露相隔超过170天,这让攻击者可以利用信息不对称优势。因此,可以利用暗网监控,及时收集威胁情报。首先,暗网监控帮助网络安全团队及时发现信息系统漏洞。一旦基于凭据利用的漏洞被警告,网络安全团队就可以寻找安全措施失败的地方。如果发现攻击者正在利用未修补的漏洞,然后使用受损的凭据访问内部资源,则可以修补该漏洞以阻止第二波攻击。针对发现的厂商漏洞,可以进行厂商风险评估和尽职调查。其次,暗网监控有助于网络安全团队及时识别攻击媒介。暗网是许多攻击者了解网络攻击和购买漏洞利用工具包的地方。暗网监控能够调查和了解黑客的方法和思维方式,对于网络安全专业人员制定对策至关重要。六、企业如何构建暗网监控能力构建属于自己的暗网监控能力是一项具有挑战性的工作。它需要掌握网络犯罪情况、访问暗网的能力以及监控暗网源的技术。暗网监控能力建设主要包括自建和外包。需要经过识别暗网源、过滤暗网源、监控暗网源三个阶段。识别暗网来源的目的是列出所有可能需要监控的暗网站点。这就需要安全人员提前储备暗网的相关知识,然后利用这些知识在Tor和I2P中寻找潜在站点,IRC和Telegram等聊天频道,犯罪论坛的站点,复制站点不限于暗网。识别暗网资源可以利用现有技术。例如,OnionScan可以帮助研究人员或调查人员识别和跟踪所有黑暗网站。DigitalShadows提供7天的免费访问权限以检索暗网资源。过滤暗网源的目的是去除不对业务构成直接威胁的不相关源。对于剩余的暗网源,需要根据安全团队的威胁模型,寻找具体的假冒资产或泄露的网络凭证。这可能需要大量的人力,或者尝试使用自动化技术。此外,为了识别更高价值的黑客论坛,网络安全团队可能需要额外的专业知识、识别访问位置并进行调查以查找泄露的数据。一些暗网甚至需要间谍技术才能进入,这可能涉及到IP、网络邮件服务的白名单或黑名单等要求。专家发现,暗网监控具有威胁追踪、泄露凭证识别、欺诈检测三大重要应用场景。通过关注这三种场景,有助于让暗网监控更加省时实用。值得注意的是,完成所有这些工作需要付出大量的努力、专业知识、时间和金钱。但是,通过适当的人员和技术组合,这不是一个缓慢且昂贵的过程。企业和机构可以使用数据丢失防护(DLP)服务来确保敏感数据不会丢失、不被滥用或被未经授权的用户访问。然后,借助合适的员工,企业和机构可以以相对适中的成本防止网络攻击和数据泄露。最后,在内部构建和维护暗网监控对于只想专注于自己业务的企业来说是一项重大挑战,他们可以求助于拥有专业知识和暗网监控能力的外部安全公司。
