• 暗網(wǎng)是互聯(lián)網(wǎng)神秘危險的角落，暗網(wǎng)的匿名性特點已使其成為犯罪份子的理想活動場所。
• 企業(yè)和機構(gòu)面臨暗網(wǎng)的潛在威脅：新冠疫情大流行促使遠(yuǎn)程工作激增，暗網(wǎng)的網(wǎng)絡(luò)憑據(jù)交易成為熱潮。
• 暗網(wǎng)監(jiān)控成防護(hù)必要環(huán)節(jié)：減少攻擊潛在損害、減輕品牌形象損害，同時是合規(guī)性的必然要求。
• 暗網(wǎng)成為威脅情報重要來源：75%的漏洞在被列入國家漏洞數(shù)據(jù)庫之前就已出現(xiàn)在暗網(wǎng)中。
• 自建暗網(wǎng)監(jiān)控能力是一項比較有挑戰(zhàn)的任務(wù)，需要掌握網(wǎng)絡(luò)犯罪態(tài)勢、訪問暗網(wǎng)能力，以及監(jiān)控暗網(wǎng)源的技術(shù)。

[[358797]]

1. 前言

暗網(wǎng)的匿名性特點已使其成為犯罪份子的理想活動場所。例如，恐怖份子在暗網(wǎng)中招募恐怖組織成員、策劃恐怖襲擊。同時，暗網(wǎng)也是一個商品或服務(wù)的交易市場，如軍火、毒品、色情制品、信用卡號碼、社會保險號碼、被竊取的用戶憑證。盡管如此，許多政府和機構(gòu)仍在積極地參與暗網(wǎng)的組建和融資。例如，維基解密提供了Tor隱藏服務(wù)，告密者可以匿名提交;紐約時報、Facebook和中情局也有自己的Tor隱藏服務(wù);英國廣播公司(BBC)最近也推出了自己的暗網(wǎng)，準(zhǔn)備用在實行嚴(yán)格網(wǎng)絡(luò)審查的國家和地區(qū)。

企業(yè)和機構(gòu)正在處于暗網(wǎng)威脅的潛在風(fēng)險之中。暗網(wǎng)中可以買到信用卡賬號、被盜的用戶憑證、黑客入侵的Netflix帳戶和惡意軟件等危害企業(yè)和機構(gòu)的工具和服務(wù)。例如，花500美元購買50000美元美國銀行賬戶的登錄憑證，花500美元購買7張各自余額2500美元預(yù)付借記卡，花6美元購買一個Netflix永久高級帳戶，甚至雇傭黑客幫攻擊企業(yè)服務(wù)器。此外，英國薩里大學(xué)Michael McGuires博士在2019年關(guān)于《利潤之網(wǎng)》的研究顯示：自2016年以來，暗網(wǎng)中危害企業(yè)的黑名單數(shù)量增加了20%，并且60%的上市公司面臨著暗網(wǎng)潛在的威脅。

2. 暗網(wǎng)：神秘危險的互聯(lián)網(wǎng)角落

暗網(wǎng)是互聯(lián)網(wǎng)神秘危險的角落，充滿了爭議、神話和駭事。上世紀(jì)90年代，“構(gòu)建普通用戶無法訪問的秘密網(wǎng)絡(luò)”的構(gòu)想被提出來，為美國特工提供安全且不可追蹤的通信渠道。這個項目快被放棄時，研究人員看到了匿名網(wǎng)絡(luò)的潛力：它可以用來收集政治異見者和隱私活動家的特殊言論，并且能夠保證安全通信。

暗網(wǎng)作為互聯(lián)網(wǎng)的一部分，處于互聯(lián)網(wǎng)的深層，與普通互聯(lián)網(wǎng)服務(wù)一樣，暗網(wǎng)中也包含眾多網(wǎng)站和服務(wù)，但是使用了特殊加密技術(shù)刻意隱藏用戶身份信息，通過常規(guī)的搜索引擎通常難以訪問，具有通信和交易匿名性的特點。

根據(jù)公眾的可訪問性和搜索引擎的覆蓋率的區(qū)別，可以將互聯(lián)網(wǎng)大致分成公共網(wǎng)絡(luò)、深網(wǎng)、暗網(wǎng)三個部分。其中，公共網(wǎng)絡(luò)約占互聯(lián)網(wǎng)的4%，能夠被搜索引擎索引，任何有權(quán)上網(wǎng)的人都可以找到。深網(wǎng)是互聯(lián)網(wǎng)的絕大部分，約占互聯(lián)網(wǎng)的93%，由不向公眾開放的網(wǎng)站組成，也不被搜索引擎索引。例如，受密碼保護(hù)的網(wǎng)站、網(wǎng)上銀行或私人網(wǎng)絡(luò)。大多數(shù)深層網(wǎng)絡(luò)可以通過普通瀏覽器訪問，而暗網(wǎng)需要使用特殊的瀏覽器才能訪問，其規(guī)模占互聯(lián)網(wǎng)的3%。

3. 暗網(wǎng)的主要犯罪方式

如果正確使用，暗網(wǎng)會具有一定的積極意義。例如，暗網(wǎng)中有許多合法網(wǎng)站，可以被記者和執(zhí)法人員用來收集匿名舉報或揭秘信息。然而，它更多的是網(wǎng)絡(luò)犯罪的代名詞。當(dāng)前，暗網(wǎng)中存在著22.5萬個左右的網(wǎng)站、論壇等，只有使用像Tor這樣的專業(yè)瀏覽器和搜索引擎才能訪問，這些工具為進(jìn)入暗網(wǎng)的用戶提供完全的匿名性。

暗網(wǎng)的匿名性正在誘發(fā)越來越多的網(wǎng)絡(luò)犯罪。為了達(dá)成不可告人的目的，黑客和欺詐在暗網(wǎng)中提供了許多形式的服務(wù)和信息，包括：

• 攻擊工具：用來針對目標(biāo)實施具體的網(wǎng)絡(luò)攻擊，以達(dá)到破壞目標(biāo)信息系統(tǒng)機密性、完整性或者可用性的目的。例如，用來進(jìn)行網(wǎng)絡(luò)釣魚的工具，或者勒索軟件即服務(wù)(Ransomware-as-a-Service，RaaS)。
• 聊天室和論壇：用于針對攻擊目標(biāo)的情報交換、黑客技術(shù)培訓(xùn)等活動。
• 黑客雇傭：為那些不愿意自己學(xué)習(xí)網(wǎng)絡(luò)黑客技術(shù)又想針對目標(biāo)實施攻擊的人提供了新的可能。
• 敏感數(shù)據(jù)出售：敏感數(shù)據(jù)包括個人信息數(shù)據(jù)或者公司的IP、源代碼、公司信息和數(shù)字證書等數(shù)據(jù)，能夠用于電信詐騙、網(wǎng)絡(luò)詐騙等不法活動中。

4. 網(wǎng)絡(luò)憑據(jù)交易成暗網(wǎng)熱潮

新冠疫情的大流行促使遠(yuǎn)程工作激增，削弱了企業(yè)和機構(gòu)的網(wǎng)絡(luò)安全態(tài)勢。攻擊者已迅速適應(yīng)新冠疫情的“新常態(tài)”，正在修改自己的攻擊方式以從變化的環(huán)境中獲利。暗網(wǎng)的企業(yè)網(wǎng)絡(luò)憑據(jù)交易成為熱潮。

網(wǎng)絡(luò)安全公司Positive Technologies調(diào)查暗網(wǎng)市場發(fā)現(xiàn)，與企業(yè)網(wǎng)絡(luò)登錄憑證等相關(guān)信息的交易正在蓬勃發(fā)展。2019年第四季度，暗網(wǎng)市場企業(yè)網(wǎng)絡(luò)憑證數(shù)據(jù)的交易數(shù)量開始有所上升，出售的數(shù)量就相當(dāng)于2018年全年的總和。2020年第一季度，許多公司開始切換到遠(yuǎn)程辦公的模式，暗網(wǎng)市場中銷售企業(yè)網(wǎng)絡(luò)登錄的帖子數(shù)量比上一季度猛增了69%。2020年第一季度的升級表明，攻擊者現(xiàn)在正專注于這種特殊的方法。值得注意的是，暗網(wǎng)出售的網(wǎng)絡(luò)訪問憑據(jù)還涉及政府實體、醫(yī)療機構(gòu)、市政當(dāng)局、住房協(xié)會等其他社會組織。

圖1：暗網(wǎng)中討論企業(yè)網(wǎng)絡(luò)訪問的趨勢

這種熱潮的主要原因在于，黑客自己進(jìn)行非法網(wǎng)絡(luò)訪問會面臨被發(fā)現(xiàn)的風(fēng)險，且所獲收益具有不確定性。黑客通過暗網(wǎng)出售“采礦權(quán)”則可以獲得確定性的收益，且不會直接承擔(dān)非法網(wǎng)絡(luò)訪問的風(fēng)險。例如，“閃亮獵人”黑客組織參與了多起數(shù)據(jù)泄露事件，包括泄露Homechef、Minted和Styleshare等11家不同公司的7320萬條用戶記錄。安全研究人員認(rèn)為，該組織也是Tokopedia數(shù)據(jù)泄露事件的幕后黑手，泄露了9100萬用戶記錄，并在黑客論壇上以5000美元的價格出售。

為了支持大規(guī)模的用戶憑據(jù)數(shù)據(jù)交易，攻擊者在實施攻擊時的通常做法是設(shè)置專門數(shù)據(jù)庫。將竊取的大量的用戶憑據(jù)數(shù)據(jù)存儲起來。這些數(shù)據(jù)庫支持勒索軟件攻擊即服務(wù)(Ransomware Attacks as-a-service)，能夠幫助其他人從成功的入侵和數(shù)據(jù)泄露中獲利。

首席安全官及其團(tuán)隊正在努力應(yīng)對來自外部威脅參與者的攻擊，但可能忽略了暗網(wǎng)上大規(guī)模的憑證竊取是如何發(fā)生的。這種憑證竊取可能是因為疏忽大意的IT團(tuán)隊錯誤配置了面向外部的數(shù)據(jù)庫，導(dǎo)致其成為企業(yè)網(wǎng)絡(luò)憑證泄露的數(shù)據(jù)源。從泄密的后果來看，數(shù)據(jù)是被直接被竊取還是通過未加保護(hù)的查找路徑被獲取，并沒有區(qū)別。

5. 暗網(wǎng)監(jiān)控成為安全防護(hù)的必要環(huán)節(jié)

人們或許會認(rèn)為，暗網(wǎng)是企業(yè)面臨的數(shù)字威脅的主要來源，但與流行的觀點相反，暗網(wǎng)并不是企業(yè)數(shù)字威脅的主要來源。公共網(wǎng)絡(luò)上出現(xiàn)的數(shù)字威脅遠(yuǎn)比暗網(wǎng)中的要多。盡管如此，暗網(wǎng)監(jiān)控仍然具有現(xiàn)實意義，暗網(wǎng)主要是網(wǎng)絡(luò)攻擊的交流、協(xié)作和攻擊工具查找的場所，包括論壇和聊天室、電子郵件和消息應(yīng)用程序、博客和wikis以及對等文件共享網(wǎng)絡(luò)。

(1) 暗網(wǎng)監(jiān)控為企業(yè)機構(gòu)提供保護(hù)

首先，暗網(wǎng)監(jiān)控能夠減少企業(yè)和機構(gòu)的潛在損害。一旦有人竊取了企業(yè)和機構(gòu)的員工憑證，特別是那些能夠訪問敏感數(shù)據(jù)的員工憑證，企業(yè)和機構(gòu)將面臨重大風(fēng)險。暗網(wǎng)監(jiān)控允許企業(yè)和機構(gòu)對發(fā)現(xiàn)的任何被竊憑據(jù)發(fā)出預(yù)警，使IT或安全團(tuán)隊能夠及時更改憑據(jù)密碼，并查找使用被竊憑據(jù)破壞受控網(wǎng)絡(luò)的跡象，這可有助于企業(yè)和機構(gòu)在攻擊發(fā)生之前采取阻斷措施或者在攻擊過程中控制損失。

其次，暗網(wǎng)監(jiān)控減輕品牌形象損害。如果發(fā)生了泄露行為，企業(yè)和機構(gòu)必須在了解相關(guān)情況之后盡快與客戶溝通，否則可能會損害你的品牌形象。暗網(wǎng)監(jiān)控服務(wù)可以有助于深入了解數(shù)據(jù)泄露事件的內(nèi)容和原因，并向客戶做出解釋。在客戶數(shù)據(jù)或憑證被盜的情況下，可以提出建議和相應(yīng)的應(yīng)對措施，如凍結(jié)客戶的信用或更改個人密碼。

最后，暗網(wǎng)監(jiān)控是合規(guī)性的必然要求。根據(jù)通用數(shù)據(jù)保護(hù)條例(GDPR)等許多法律，企業(yè)和機構(gòu)在數(shù)據(jù)泄露后有強制報告要求。如果不在適當(dāng)?shù)臅r間內(nèi)報告，可能會導(dǎo)致災(zāi)難性后果和巨額罰款。暗網(wǎng)監(jiān)控不僅有助于更快地開始調(diào)查，而且還可以向?qū)徲嬋藛T展示保護(hù)內(nèi)部憑證和客戶數(shù)據(jù)而采取的有力措施，以及發(fā)現(xiàn)潛在違規(guī)行為的能力。

(2) 暗網(wǎng)監(jiān)控是威脅情報重要來源

暗網(wǎng)習(xí)慣地視為各類罪犯的庇護(hù)所，但卻為開展網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露防護(hù)、檢測和預(yù)測的企業(yè)和機構(gòu)提供了機會。企業(yè)與機構(gòu)不能對暗網(wǎng)上的網(wǎng)站或市場采取措施，但在其中發(fā)現(xiàn)的信息可以用于應(yīng)對公共網(wǎng)絡(luò)上的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)釣魚活動和被竊網(wǎng)絡(luò)憑據(jù)。利用暗網(wǎng)的威脅情報，安全專家可以定期從公共網(wǎng)絡(luò)上“刪除”這些網(wǎng)站和帳戶。

網(wǎng)絡(luò)安全公司Recorded Future對美國國家漏洞數(shù)據(jù)庫中的漏洞進(jìn)行了研究，發(fā)現(xiàn)其中75%的漏洞在被列入國家漏洞數(shù)據(jù)庫之前就已經(jīng)出現(xiàn)在暗網(wǎng)中，漏洞從首次出現(xiàn)到發(fā)布到漏洞庫之間的平均間隔為7天，25%的漏洞至少間隔50天，10%的漏洞超過170天，這使得攻擊者具有了信息不對稱的優(yōu)勢。因此，暗網(wǎng)監(jiān)控能夠用于及時的威脅情報的收集。

首先，暗網(wǎng)監(jiān)控有助于網(wǎng)絡(luò)安全團(tuán)隊及時發(fā)現(xiàn)信息系統(tǒng)漏洞。一旦基于憑證利用的泄露得到預(yù)警，網(wǎng)絡(luò)安全團(tuán)隊就可以查找安全措施失敗的地方了。如果發(fā)現(xiàn)攻擊者利用未修補的漏洞，然后使用受損的憑據(jù)訪問內(nèi)部資源，則可以修補漏洞以阻止第二次攻擊波。對于發(fā)現(xiàn)的供應(yīng)商漏洞，可以用進(jìn)行供應(yīng)商風(fēng)險評估和盡職調(diào)查。

其次，暗網(wǎng)監(jiān)控有助于網(wǎng)絡(luò)安全團(tuán)隊及時確定攻擊手段。暗網(wǎng)是許多攻擊者學(xué)習(xí)網(wǎng)絡(luò)攻擊和購買漏洞工具包的地方。暗網(wǎng)監(jiān)控能夠調(diào)查和理解黑客的方法和思維方式，對于網(wǎng)絡(luò)安全專業(yè)人員制定應(yīng)對策略至關(guān)重要。

6. 企業(yè)如何構(gòu)建暗網(wǎng)監(jiān)控能力

自建暗網(wǎng)監(jiān)控能力是一項比較有挑戰(zhàn)的任務(wù)，需要掌握網(wǎng)絡(luò)犯罪態(tài)勢、訪問暗網(wǎng)能力，以及監(jiān)控暗網(wǎng)源的技術(shù)。暗網(wǎng)監(jiān)控能力構(gòu)建主要包括自建和外包兩種方式，需要經(jīng)過識別暗網(wǎng)源、過濾暗網(wǎng)源和監(jiān)控暗網(wǎng)源等三個階段。

識別暗網(wǎng)源是為了羅列所有可能需要監(jiān)控的暗網(wǎng)站點。這需要安全人員事先儲備暗網(wǎng)的相關(guān)知識，然后根據(jù)知識查找Tor和I2P中潛在的站點、IRC和Telegram等聊天渠道或犯罪論壇的站點以及不限于暗網(wǎng)的復(fù)制站點。識別暗網(wǎng)站源可以利用現(xiàn)有的技術(shù)。例如，OnionScan可以幫助研究人員或調(diào)查人員識別和跟蹤所有的暗網(wǎng)站點。Digital Shadows提供了7天的免費訪問權(quán)限來檢索暗網(wǎng)資源。

過濾暗網(wǎng)源是為了去掉對業(yè)務(wù)沒有直接威脅的不相關(guān)來源。對于剩下的暗網(wǎng)源，需要根據(jù)安全團(tuán)隊的威脅模型，去找到具體的資產(chǎn)偽冒品或者泄露的網(wǎng)絡(luò)憑證。這可能需要大量的人力，或著嘗試采用自動化的技術(shù)。此外，為了確定價值更高的黑客論壇，網(wǎng)絡(luò)安全團(tuán)隊可能需要額外的專業(yè)知識，確定訪問位置并展開調(diào)查，以找到泄露的數(shù)據(jù)。有些暗網(wǎng)網(wǎng)站甚至需要諜報技術(shù)才能進(jìn)入，這可能涉及到IP、網(wǎng)絡(luò)郵件服務(wù)的白名單或者黑名單以及其他要求。

專家發(fā)現(xiàn)，暗網(wǎng)監(jiān)控具有跟蹤威脅、識別泄露憑證和發(fā)現(xiàn)欺詐的三個重要應(yīng)用場景。通過專注于這三個場景，有助于讓暗網(wǎng)監(jiān)控更省時、更切合實際需要。

值得注意的是，要完成所有這些工作可能需要大量的努力、專業(yè)知識、時間和金錢。但是，只要有合適的人員和技術(shù)組合，這并不是一個緩慢而昂貴的過程。企業(yè)和機構(gòu)可以采用數(shù)據(jù)泄漏防護(hù)(DLP)服務(wù)，確保敏感數(shù)據(jù)不會丟失、誤用或被未經(jīng)授權(quán)的用戶訪問。然后，配備合適的人員，企業(yè)和機構(gòu)就可以以相對適中的成本防范網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露。

最后，對于那些只想專注于業(yè)務(wù)的企業(yè)來說，在內(nèi)部構(gòu)建和維護(hù)暗網(wǎng)監(jiān)控是一項重大挑戰(zhàn)，他們可以求助于擁有專業(yè)知識和暗網(wǎng)監(jiān)控能力的外部安全公司。