近年来,“暗网”成为主流。过去,暗网市场的论坛、聊天室和工具只在网络犯罪分子和黑客中流行,主要为网络执法人员和捍卫网络空间安全的安全专业人员所熟知。如今,暗网逐渐为人所熟知,不仅在电影和电视剧中,甚至在迪士尼动画片中(《Ralph Breaks the Internet》)。暗网不仅在安全行业大行其道,在普通民众中也广为人知。许多人坚信监控暗网是他们安全运营的重要组成部分,安全行业乐于宣传这一信念。虽然监控暗网在某些行业确实非常重要,但在某些情况下,由于情报可以帮助决策者制定消除威胁的策略,大多数人没有意识到(安全行业也不会告诉他们)的是,它不是那么简单。要了解哪些行业可以真正受益于暗网监控,我们必须首先了解什么是暗网,什么不是暗网。1.暗网是如何运作的暗网不是由网站所在的位置来定义的。虽然人们普遍认为暗网仅存在于TOR网络上,但大部分暗网实际上托管在常规服务器上,任何人都可以使用正确的URL访问这些服务器,就像任何其他网站一样。此外,虽然大多数人会将暗网定义为无法通过搜索引擎找到的网站,但如果您知道正确的关键字,实际上可以通过Google找到其中许多网站。真正定义暗网的是访问它的访问者的内容和类型。毕竟,如果一个论坛专门讨论金融犯罪并且充斥着网络犯罪分子,那么它的托管地点或您是否可以在Google上找到它都无关紧要。内容是决定性因素,在大多数情况下,内容是您可以在特定暗网中找到的暗网专用区域。有专门用于在线欺诈的暗网,专门用于垃圾邮件或恶意软件编码等特定在线犯罪的暗网,以及专门用于圣战或恋童癖等其他事物的暗网。这些站点是网络威胁的潜在参与者相互联系的平台,因此它们通常有独立的小集团。暗网的网络罪犯和恋童癖圈子之间几乎没有联系。每个圈子都有一个特定的目的——对于圣战分子来说,是发表和消化激进观点的渠道;对于恋童癖者来说,这是传播令人讨厌的材料的渠道。对于网络罪犯来说,暗网更容易实施犯罪。网络犯罪是一项技术活动。比如一个简单的钓鱼攻击,需要技术基础和多方因素的配合。暗网让犯罪分子能够快速找到填补这些漏洞的合作伙伴。与其从头开始学习如何编写恶意程序,不如在暗网上找到已经具备相关技能的人并为此付费。金融罪犯不是从一个国家飞到另一个国家使用自动取款机实际窃取信用卡,而是可以找到已经拥有信用卡数据的人并购买数据。暗网上的社区就是为了实现这些特定的目标而形成的,每个圈子都围绕着一个特定的目标运作。这就是暗网监控只用于某些行业的原因。与网络安全相关的暗网社区(主要是网络犯罪社区),致力于为其成员赚钱(虽然APT组织也在暗网中找到工具,但他们与这些圈子的联系非常松散)。这些成员花了数年时间完善和磨练自己的技能,他们专注于能带来稳定收入的事情(比如运行勒索软件攻击或进行欺诈性交易),而不是一次性项目(比如入侵组织),因为每次入侵面临不同的网络和随之而来的风险。虽然当回报足够大时(他们拥有的数据很有价值并且很容易转换成金钱,比如信用卡数据),这样的一次性项目确实会发生,但整个社区都在针对某些类型的组织,而您的组织可能不在其中他们。2.哪些行业受益于暗网监控由于网络犯罪分子的主要目标是金融欺诈,银行和信用卡发行商等金融服务公司可以从暗网监控中获益匪浅。这不仅仅是检测与您的组织相关的暗网交易,还涉及了解欺诈者的工作方式以制定有效的反欺诈策略。另一个受益于暗网监控的行业是在线服务行业。例如,Facebook、谷歌、优步、比特币兑换商和博彩网站等,拥有众多消费者,犯罪分子显然有发动攻击的动机。大多数其他行业,例如制造业、B2B服务公司或政府机构,都没有那么有利可图。当然,潜在的威胁行为者自然会尝试利用他们遇到的任何不安全组织。毕竟送上门的大餐不是免费的,在圈内卖内部数据也是有钱可赚的。然而,在暗网上找到这种性质的情报纯属运气,超出了情报供应商的控制范围。这些组织的大多数暗网发现都是“员工凭证”——该组织在数据泄露中获得的员工凭证(网络攻击者访问敏感数据的最简单方法是破坏最终用户的身份凭证,而当今大多数网络攻击源自来自凭据收集活动)。虽然通过监控此类凭据可以获得一些价值,但这仍然不是购买暗网监控服务的理由。有些服务只专注于员工凭证监控,而且这些服务要便宜得多。由于暗网监控不会为许多公司带来很多有价值的发现,威胁情报供应商通常会尝试使用有关威胁和威胁参与者的通用报告来增加趣味性,但对公司来说用处不大。没有实际的相关性和意义。来自灵魂的最后一个问题:暗网监控服务是否有可能检测到重大数据库泄露?特别是对于一个通常不会成为网络犯罪分子目标的组织?理论上答案是肯定的,但问题是,这会发生吗?花这么多钱监控暗网值得吗?花钱购买对组织更有效的安全解决方案(如网络资产检测、漏洞扫描等)是否值得?
