近年來，“暗網”已成為主流。過去，暗網市場的論壇、聊天室、工具等只在網絡犯罪分子和黑客之間流行，主要被捍衛(wèi)網絡空間安全的網絡執(zhí)法人員、安全專業(yè)人員所熟知。

[[326767]]

而今，暗網逐漸廣為人知，不僅在電影和電視節(jié)目中，甚至在迪斯尼動畫片中(《Ralph Breaks the Internet》)都頻繁出現。暗網不僅在安全行業(yè)中炙手可熱，在普羅大眾中也變得名聲大噪。

許多人堅定地認為，監(jiān)測暗網是其安全運營的關鍵部分，安全行業(yè)很樂于助長這一信念。盡管在某些行業(yè)、某些情況下，監(jiān)測暗網確實非常重要，因為情報可以幫助決策者制定消除威脅的戰(zhàn)略，但大多數人沒有意識到(安全行業(yè)不會告訴他們)的是，事實并非這么簡單。

要了解哪些行業(yè)可以真正從暗網監(jiān)測中受益，我們必須首先了解暗網是什么，以及不是什么。

1.暗網是如何工作的

暗網不是由網站所在地定義的。雖然人們普遍認為暗網只存在于TOR網絡上，但許多暗網實際都托管在常規(guī)服務器上，任何人都可以使用正確的URL訪問，就像訪問其他任何網站一樣。此外，盡管大多數人會將暗網定義為無法通過搜索引擎找到的網站，但實際上，如果你知道正確的關鍵字，是可以通過谷歌找到其中的許多網站的。

真正定義暗網的是訪問它的內容和訪客類型。畢竟，如果一個論壇是專門討論金融犯罪，并且充斥著網絡罪犯，那么它的托管地點和是否可以在谷歌上找到它，都無關緊要。內容是決定因素，在大多數情況下，您可以在特定的暗網中找到的一個專門干壞事的區(qū)域。有專門聚焦網絡欺詐的暗網，專門討論特定網絡犯罪(如垃圾郵件或惡意軟件編碼)的暗網，以及專門針對圣戰(zhàn)或戀童癖等其他事物的暗網。

這些站點是網絡威脅潛在行為者相互聯系的平臺，因此它們通常有獨立的小圈子。暗網的網絡犯罪圈子和戀童癖圈子之間幾乎沒有聯系。每一個圈子都有一個特定的目標——對圣戰(zhàn)分子來說，這是發(fā)布和消化激進觀點的渠道;對戀童癖來說，是獲取齷齪素材的渠道。

對于網絡犯罪分子來說，暗網讓他們實施犯罪更加便利。網絡犯罪是技術活，比如說一個簡單的網絡釣魚攻擊，就需要技術基礎和多重因素的配合。暗網能讓犯罪分子迅速找到填補這些空白的伙伴。與其從頭學習如何編寫惡意程序，不如從暗網找一個已經掌握該技術的人并付費購買。金融犯罪分子可以找到已經獲得信用卡數據的人，購買數據，而不是飛到一個個國家去用取款機實際竊取信用卡。暗網的社區(qū)是為了實現這些具體目標而建立的，每個圈子都圍繞特定目標運行。

這就是為什么暗網監(jiān)測只作用于某些行業(yè)的原因。與網絡安全相關的暗網社區(qū)(主要是網絡犯罪社區(qū))，致力于讓其成員賺錢(盡管APT組織也在暗網中查找工具，但他們與這些圈子的聯系非常松散)。這些成員花了很多年來完善和磨練他們的技能，他們專注于能帶來穩(wěn)定收入的事情(比如發(fā)起勒索軟件攻擊或進行欺詐性交易)，而非一次性的項目(比如入侵某個組織)，因為每次入侵面臨的網絡和隨之而來的風險都不一樣。

盡管此類一次性項目在回報足夠大時的確會發(fā)生(他們擁有的數據是有價值的，很容易地轉化為金錢，比如信用卡數據)，但整個社區(qū)的目標是針對某些特定類型的組織，而你的組織很可能不在其中。

2.哪些行業(yè)從暗網監(jiān)測中受益

由于網絡犯罪分子的主要關注點是金融詐騙，因此銀行和信用卡發(fā)行商等金融服務公司可以從監(jiān)測暗網中受益匪淺。這不僅僅是監(jiān)測到與你所在組織相關的暗網交易，還包括學習欺詐者如何進行工作，以便建立有效的反欺詐策略。

另一個在暗網監(jiān)測中受益的是在線服務行業(yè)。例如Facebook、Google、Uber、比特幣兌換商和賭博網站等，他們擁有許多消費者，犯罪分子顯然有動機發(fā)起入侵。大多數其他行業(yè)，如制造業(yè)、B2B服務公司或政府機構，就沒有那么有利可圖。

當然，潛在威脅者自然會試圖利用他們碰到的任何不安全的組織，畢竟送上門的大餐不吃白不吃，在圈子里賣內部數據是有錢賺的。然而，在暗網中發(fā)現這種性質的情報完全憑運氣，是情報供應商無法控制的。

這些組織在暗網上的大多數發(fā)現都是“員工憑證”—在數據泄露事件中獲取的該組織的員工憑證(網絡攻擊者訪問敏感數據的最簡單方法是破壞最終用戶的身份憑證，當今的大多數網絡攻擊都源于憑證收集活動)。盡管監(jiān)測此類憑據可以獲得一些價值，但這仍然不足以成為采購暗網監(jiān)測服務的理由。有些服務僅專注于員工憑證監(jiān)測，這些服務要便宜得多。

由于暗網監(jiān)測對許多公司而言，沒有太多有價值的發(fā)現，但為了體現出服務的價值，威脅情報供應商經常試圖用有關威脅和威脅參與者的通用報告來增加趣味性，但對公司并沒有實際的相關性和意義。

最后來自靈魂的拷問：暗網監(jiān)測服務是否有可能發(fā)現一起重要的數據庫泄露事故?特別是對于一個通常不被網絡罪犯盯上的組織?

理論上答案是肯定的，但問題是，發(fā)生這種情況的可能性有多大，花這么多錢來監(jiān)測暗網值得嗎?這些錢花在對組織更有效的安全解決方案(如網絡資產探測、漏洞掃描等)上是不是回報率更高?