最近几个月,很多文章都在讨论深网和暗网。必须指出的是,这两者之间有极大不同。深网通常指的是搜索引擎没有索引的网站,而暗网,则主要由需借助Tor之类软件,或不可见互联网项目(I2P),才访问得到的站点组成。
本文主要讨论的是暗网,也就是新闻媒体描绘为互联网藏污纳垢之地的所在——任何爱惜羽毛的浏览器都不会去访问。
虽然很多暗网网站专职买卖各种非法物品,比如毒品、武器甚至人体器官,我们仍需认识到,也有出于正面或法律原因而使用暗网的情况。比如说,强权政治体制下的活动家,就常要使用暗网来进行安全匿名通信。暗网也被当做推动和保护言论自由的理想平台,尤其是对那些因表达自己观点而面临压迫和残害的人而言。
然而,尽管存在某些积极用例,暗网还是更常用于邪恶的目的。比如说,如果数据泄露中有信息被盗,那几乎可以肯定,这些信息必将在暗网上售卖。此类信息的交换——可能包含客户的个人信息、信用卡资料,甚至公司机密数据,正快速成为网络罪犯的一大商机。
因此,企业和安全研究人员有必要关注暗网情况,及时获悉有无与自身直接相关的信息在暗网上交易或讨论。这方面,速度是关键,因为被盗凭证可快速倒手并用于盗取账户。然而,达到此类检测所需的暗网交易可见性,却是说起来容易做起来难。
获得暗网可见性的挑战
与深网类似,暗网也不能被搜索引擎爬取并索引,所以相关数据的查找,并非执行一条搜索引擎查询指令那么简单。暗网用户必须手动识别具有相关信息的暗网节点。
感兴趣的节点被发现后,下一步就是访问节点。这又是一道障碍,因为站点往往不开放,需要用户登录才可以看到内容,且登录不像主流网站那么简单。为获得会员资格,你必须通过相当彻底的审核过程,而这往往需要经由该网站现有可信老会员的引荐。
最后,语言障碍也会成为另一个大挑战。暗网节点运营者使用的语言种类很多,如果他们采用的不是你熟悉的语言,沟通就会成为问题。
即便你成功跨越了上述深沟浅壑,暗网节点运营者也可能出于自身的考虑,而随时撤回你的访问权。比如说,他们可能会封禁疑为司法部门派来监视他们活动的用户。
收集暗网数据
一旦获得暗网节点访问权,下一步就是获得其上数据了。这一步与传统威胁情报收集过程类似,都综合了人的因素和技术因素。针对企业的大多数攻击,通常都涉及账户或身份盗窃,这也是最受欢迎也最有用的信息类型,就是用户凭证或个人可识别信息(PII)。暗网上监视并收集此类数据的典型步骤如下:
1. 解析
往往有大量数据需要被初步解析。这一步可用技术加以自动化,但仍需辅以人工验证。
2. 标准化
解析之后,数据应被标准化,以便在后续过程中能方便地存储和查询。这也是删除重复数据和不相关数据的好时机。
3. 验证
数据标准化和去重过后,来一轮验证过程以确保准确性是很明智的做法。
4. 精炼和丰富
到了这一步,数据已经基本可用了——尽管很多公司会选择进一步精炼并丰富数据,添加可使数据与自家公司和风险概况更为相关的上下文信息。
企业如何保护自身
尽管暗网本身或许不对企业造成威胁,但其上被盗企业数据买卖的增多,也意味着企业越来越有必要找到办法对暗网予以监视了。
对暗网的监视需要有多紧密?这取决于各家公司自身能力与风险胃纳。不过,所有企业都必须遵循同样的基本安全原则和最佳实践:了解自身典型对手是谁,对手的动机是什么,哪种类型的数据是对手感兴趣的。
由于监视和收集暗网数据耗时耗力,将这项工作外包给专业公司就显得很明智了,这些公司可在任何雇员或客户数据被交易时发出警报。
然而,与其他威胁监视类似,仅仅获得对威胁态势的情况性了解,并不是解决方案。企业还需有充分的事件响应与恢复控制措施及规程,以便能在凭证被盗时可以及时恰当地予以响应,最小化攻击造成的影响。