近年来,“暗网”已成为主流。过去,暗网市场的论坛、聊天室、工具等只在网络犯罪分子和黑客之间流行,主要被捍卫网络空间安全的网络执法人员、安全专业人员所熟知。
而今,暗网逐渐广为人知,不仅在电影和电视节目中,甚至在迪斯尼动画片中(《Ralph Breaks the Internet》)都频繁出现。暗网不仅在安全行业中炙手可热,在普罗大众中也变得名声大噪。
许多人坚定地认为,监测暗网是其安全运营的关键部分,安全行业很乐于助长这一信念。尽管在某些行业、某些情况下,监测暗网确实非常重要,因为情报可以帮助决策者制定消除威胁的战略,但大多数人没有意识到(安全行业不会告诉他们)的是,事实并非这么简单。
要了解哪些行业可以真正从暗网监测中受益,我们必须首先了解暗网是什么,以及不是什么。
1.暗网是如何工作的
暗网不是由网站所在地定义的。虽然人们普遍认为暗网只存在于TOR网络上,但许多暗网实际都托管在常规服务器上,任何人都可以使用正确的URL访问,就像访问其他任何网站一样。此外,尽管大多数人会将暗网定义为无法通过搜索引擎找到的网站,但实际上,如果你知道正确的关键字,是可以通过谷歌找到其中的许多网站的。
真正定义暗网的是访问它的内容和访客类型。毕竟,如果一个论坛是专门讨论金融犯罪,并且充斥着网络罪犯,那么它的托管地点和是否可以在谷歌上找到它,都无关紧要。内容是决定因素,在大多数情况下,您可以在特定的暗网中找到的一个专门干坏事的区域。有专门聚焦网络欺诈的暗网,专门讨论特定网络犯罪(如垃圾邮件或恶意软件编码)的暗网,以及专门针对圣战或恋童癖等其他事物的暗网。
这些站点是网络威胁潜在行为者相互联系的平台,因此它们通常有独立的小圈子。暗网的网络犯罪圈子和恋童癖圈子之间几乎没有联系。每一个圈子都有一个特定的目标——对圣战分子来说,这是发布和消化激进观点的渠道;对恋童癖来说,是获取龌龊素材的渠道。
对于网络犯罪分子来说,暗网让他们实施犯罪更加便利。网络犯罪是技术活,比如说一个简单的网络钓鱼攻击,就需要技术基础和多重因素的配合。暗网能让犯罪分子迅速找到填补这些空白的伙伴。与其从头学习如何编写恶意程序,不如从暗网找一个已经掌握该技术的人并付费购买。金融犯罪分子可以找到已经获得信用卡数据的人,购买数据,而不是飞到一个个国家去用取款机实际窃取信用卡。暗网的社区是为了实现这些具体目标而建立的,每个圈子都围绕特定目标运行。
这就是为什么暗网监测只作用于某些行业的原因。与网络安全相关的暗网社区(主要是网络犯罪社区),致力于让其成员赚钱(尽管APT组织也在暗网中查找工具,但他们与这些圈子的联系非常松散)。这些成员花了很多年来完善和磨练他们的技能,他们专注于能带来稳定收入的事情(比如发起勒索软件攻击或进行欺诈性交易),而非一次性的项目(比如入侵某个组织),因为每次入侵面临的网络和随之而来的风险都不一样。
尽管此类一次性项目在回报足够大时的确会发生(他们拥有的数据是有价值的,很容易地转化为金钱,比如信用卡数据),但整个社区的目标是针对某些特定类型的组织,而你的组织很可能不在其中。
2.哪些行业从暗网监测中受益
由于网络犯罪分子的主要关注点是金融诈骗,因此银行和信用卡发行商等金融服务公司可以从监测暗网中受益匪浅。这不仅仅是监测到与你所在组织相关的暗网交易,还包括学习欺诈者如何进行工作,以便建立有效的反欺诈策略。
另一个在暗网监测中受益的是在线服务行业。例如Facebook、Google、Uber、比特币兑换商和赌博网站等,他们拥有许多消费者,犯罪分子显然有动机发起入侵。大多数其他行业,如制造业、B2B服务公司或政府机构,就没有那么有利可图。
当然,潜在威胁者自然会试图利用他们碰到的任何不安全的组织,毕竟送上门的大餐不吃白不吃,在圈子里卖内部数据是有钱赚的。然而,在暗网中发现这种性质的情报完全凭运气,是情报供应商无法控制的。
这些组织在暗网上的大多数发现都是“员工凭证”—在数据泄露事件中获取的该组织的员工凭证(网络攻击者访问敏感数据的最简单方法是破坏最终用户的身份凭证,当今的大多数网络攻击都源于凭证收集活动)。尽管监测此类凭据可以获得一些价值,但这仍然不足以成为采购暗网监测服务的理由。有些服务仅专注于员工凭证监测,这些服务要便宜得多。
由于暗网监测对许多公司而言,没有太多有价值的发现,但为了体现出服务的价值,威胁情报供应商经常试图用有关威胁和威胁参与者的通用报告来增加趣味性,但对公司并没有实际的相关性和意义。
最后来自灵魂的拷问:暗网监测服务是否有可能发现一起重要的数据库泄露事故?特别是对于一个通常不被网络罪犯盯上的组织?
理论上答案是肯定的,但问题是,发生这种情况的可能性有多大,花这么多钱来监测暗网值得吗?这些钱花在对组织更有效的安全解决方案(如网络资产探测、漏洞扫描等)上是不是回报率更高?