希望領(lǐng)先于數(shù)據(jù)泄露的企業(yè)可以從暗網(wǎng)監(jiān)控工具中獲取諸多收益，例如掃描個人身份信息，甚至響應(yīng)攻擊。下述列舉了10款此類工具。

每個首席信息官（CIO）都不希望自己公司的數(shù)據(jù)最終落入暗網(wǎng)這種地方。一般來說，暗網(wǎng)包括那些沒有被谷歌這樣的流行搜索引擎索引的網(wǎng)站，也包括那些通常通過網(wǎng)絡(luò)攻擊獲得數(shù)據(jù)的地下黑市。獲取這些網(wǎng)站中數(shù)據(jù)提供的運營情報對于防范網(wǎng)絡(luò)犯罪分子至關(guān)重要，這些網(wǎng)絡(luò)犯罪分子會利用泄露的賬戶進行攻擊、實施欺詐，或使用魚叉式網(wǎng)絡(luò)釣魚或品牌欺騙進行活動。暗網(wǎng)也是犯罪集團的行動、戰(zhàn)術(shù)和意圖的情報來源。監(jiān)控暗網(wǎng)泄露數(shù)據(jù)的工具可用于這些目的。

誰需要暗網(wǎng)監(jiān)控工具？

由于暗網(wǎng)網(wǎng)站通常只有受邀者（invite-only）才能進入，因此要想進入暗網(wǎng)，通常需要偽裝成惡意用戶或市場上想竊取身份或公司數(shù)據(jù)的人進行滲透。這就要求個人或服務(wù)機構(gòu)具備相關(guān)技能，不僅能夠識別這些網(wǎng)站，還能獲取與保護企業(yè)身份或數(shù)據(jù)相關(guān)的數(shù)據(jù)。

大多數(shù)企業(yè)不需要直接進行暗網(wǎng)研究，相反地，他們可以利用監(jiān)控工具來掃描暗網(wǎng)。此外，像擴展檢測和響應(yīng)（XDR）等工具或托管檢測和響應(yīng)（MDR）等服務(wù)，通常也會從暗網(wǎng)收集數(shù)據(jù)，以識別受感染的帳戶、評估風險并為威脅分析提供上下文。

一些行業(yè)，尤其是政府、金融機構(gòu)、某些知名IT安全企業(yè)以及其他一些關(guān)鍵行業(yè)，可能需要更多地、更直接地獲取只能從暗網(wǎng)上得到的情報。在許多情況下，這些公司尋找的不僅僅是泄露的憑據(jù)或公司數(shù)據(jù)。相反地，他們需要有關(guān)威脅參與者、不斷發(fā)展的攻擊載體或漏洞的情報。

另一方面，零售或制藥等其他業(yè)務(wù)部門更容易受到非傳統(tǒng)攻擊的影響，比如虛假域名或網(wǎng)絡(luò)釣魚攻擊等形式的品牌欺騙。針對這種情況，數(shù)字足跡監(jiān)測無疑是一個特別有價值的工具，而這類工具中通常會包含暗網(wǎng)組件。此外，下架服務(wù)是越過數(shù)字足跡監(jiān)控的自然步驟。一般來說，單個企業(yè)不會與互聯(lián)網(wǎng)服務(wù)提供商、云托管平臺，甚至執(zhí)法部門建立必要的聯(lián)系，從而自行實施下架。數(shù)字風險保護服務(wù)（DRPS）很好地填補了這一空白，它提供基于服務(wù)的解決方案，通過監(jiān)控（互聯(lián)網(wǎng)、表層網(wǎng)和暗網(wǎng)）和更實際的方法（如網(wǎng)站下架服務(wù)）來保護組織的品牌。

10大暗網(wǎng)監(jiān)控工具

以下是一些最流行的暗網(wǎng)監(jiān)控工具：

Brandefense

Brandefense是一種人工智能（AI）驅(qū)動的數(shù)字風險保護（DRPS）解決方案，可以掃描表層網(wǎng)/明網(wǎng)（surface web）和暗網(wǎng)，收集攻擊方法或數(shù)據(jù)泄露的詳細信息，將這些數(shù)據(jù)關(guān)聯(lián)起來并將其情境化，然后在事件與用戶品牌相關(guān)時提供警報。如果有必要，Brandefense還可以協(xié)助打擊威脅行為者，使組織的安全態(tài)勢領(lǐng)先于攻擊，而不是被動地等待響應(yīng)攻擊。

高級管理人員（或VIP）的安全是Brandefense的另一個重點領(lǐng)域，因為這些人通常不僅是公司品牌的一部分，而且經(jīng)常淪為攻擊目標。他們的姓名和電子郵件也經(jīng)常被用于針對員工或客戶的魚叉式網(wǎng)絡(luò)釣魚攻擊。

CTM360 CyberBlindspot和ThreatCover

CTM360提供了兩種不同的解決方案來監(jiān)控暗網(wǎng)，以保護組織免受新威脅影響。其中，CyberBlindspot專注于與公司資產(chǎn)有關(guān)的情報，擴展了入侵指標（IOC）的概念，以盡可能早地暴露并警告攻擊指標，允許組織更主動地識別網(wǎng)絡(luò)威脅。

ThreatCover則為安全分析師提供了深入研究威脅情報源的工具，為事件響應(yīng)團隊提供優(yōu)化的數(shù)據(jù)質(zhì)量和上下文信息。CTM360還可以通過其Takedown++服務(wù)在全球范圍內(nèi)提供下架服務(wù)。

IBM X-Force Exchange

IBM X-Force Exchange主要是一個數(shù)據(jù)共享平臺和社區(qū)，它將威脅和情報饋送到一個交互式、可搜索的數(shù)據(jù)庫中，該數(shù)據(jù)庫還可以通過API和自動警報集成到組織現(xiàn)有的安全堆棧中。IBM提供的許多工具都是免費的，甚至不需要注冊，但建議在使用IBM X-Force Exchange時最好進行注冊，以便通過保存與相關(guān)域名和品牌有關(guān)的搜索和跟蹤提要來定制門戶。API訪問、高級分析和高級威脅情報報告服務(wù)需要訂閱。

IntSights威脅情報平臺

IntSights威脅情報平臺（現(xiàn)屬Rapid7家族的一部分）提供了全面的外部威脅情報和IoC監(jiān)控。它能挖掘暗網(wǎng)的威脅情報，如戰(zhàn)術(shù)、技術(shù)和程序（TTP）、威脅行為者以及惡意軟件變種。這些情報可以幫助安全專業(yè)人員跟上不斷發(fā)展的攻擊方法，提供調(diào)整防御措施和培訓(xùn)用戶最佳實踐的手段。此外，IntSights的產(chǎn)品還提供了一個窗口，可以查看暗網(wǎng)上引用公司品牌或域名的活躍對話，讓組織有機會主動應(yīng)對威脅，而不是被動等待攻擊開始。

惡意軟件信息共享平臺-MISP

惡意軟件信息共享平臺（MISP）是一個基于共享威脅情報數(shù)據(jù)理念的開源平臺。MISP提供可以安裝在用戶數(shù)據(jù)中心或各種云平臺上的開源軟件，并利用開源協(xié)議和數(shù)據(jù)格式在MISP用戶之間實現(xiàn)信息共享或?qū)⑶閳蠹傻礁鞣N信息安全工具中。事實上，對MISP集成的支持經(jīng)常是解決方案的一大賣點。雖然MISP威脅流的管理方式與商業(yè)工具不同，但它是組織建立內(nèi)部暗網(wǎng)監(jiān)控解決方案的一種低成本選擇。

MandiantDigital Threat Monitoring

Mandiant Digital Threat Monitoring提供了在開放互聯(lián)網(wǎng)或暗網(wǎng)上有關(guān)威脅和泄露憑據(jù)或其他組織機密等情報的可見性。這些情報數(shù)據(jù)得到了通過機器學(xué)習提供的上下文支持，可驅(qū)動相關(guān)地、優(yōu)先級的警報，以推進分類進程。除了品牌監(jiān)控（包括VIP管理層保護）之外，Mandiant Digital Threat Monitoring還提供對上下游企業(yè)的監(jiān)控服務(wù)。通過監(jiān)控這些存在信任關(guān)系的企業(yè)，組織可以進一步保護供應(yīng)鏈，并防止可能繞過現(xiàn)有安全控制的跨域攻擊。

Mandiant還提供數(shù)字威脅監(jiān)控作為其Advantage Threat Intelligence方案的附加模塊，將許多相同的暗網(wǎng)監(jiān)控功能整合到威脅情報產(chǎn)品中。

OpenCTI

OpenCTI是另一個用于收集、管理并與威脅情報數(shù)據(jù)交互的開源工具。OpenCTI由Filigran開發(fā)和擁有，可以作為Docker容器部署，使其與平臺無關(guān)，并提供大量連接到其他安全平臺和軟件工具的連接器，以集成和豐富OpenCTI數(shù)據(jù)流。

OpenCTI的功能集包括針對信息安全團隊的基于角色的訪問控制、基于標準的數(shù)據(jù)模型以及指示發(fā)現(xiàn)來源的屬性數(shù)據(jù)。所有類型的自動化都可以使用OpenCTI for Python客戶端來實現(xiàn)，它公開了帶有輔助函數(shù)的OpenCTI API和一個易于使用的框架，允許用戶基于事件數(shù)據(jù)快速開發(fā)自定義邏輯。

Palo Alto Networks AutoFocus

眾所周知，Palo Alto Networks是網(wǎng)絡(luò)安全領(lǐng)域的主要參與者，而AutoFocus則是Palo Alto Networks投資組合中的一個關(guān)鍵部分。AutoFocus將深入的上下文和洞察力帶到最前沿，使安全分析師能夠?qū)κ录M行分類并確定響應(yīng)工作的優(yōu)先級。Palo Alto Networks不僅從開放互聯(lián)網(wǎng)和暗網(wǎng)上的數(shù)據(jù)存儲庫收集信息，而且還使用其遍布全球的設(shè)備和服務(wù)中的數(shù)據(jù)進行關(guān)聯(lián)和情境化。

Recorded FutureIntelligence Cloud Platform

Recorded Future提供的情報云平臺（Intelligence Cloud Platform）可以持續(xù)監(jiān)控超過300個國家行為者、300萬個已知的犯罪論壇、數(shù)十億個域名以及互聯(lián)網(wǎng)和暗網(wǎng)上的數(shù)億個IP地址。這些龐大的情報數(shù)據(jù)被輸入到分析工具中，以便對數(shù)據(jù)集進行分類和應(yīng)用上下文，最后，將其輸出到專注于企業(yè)品牌、威脅和漏洞、身份和其他幾個領(lǐng)域的模塊中。每個模塊都提供可操作的情報，允許用戶根據(jù)業(yè)務(wù)需求和風險對響應(yīng)進行優(yōu)先級排序，以最大限度地減少響應(yīng)時間，并促進有效的補救措施。

SOCRadar RiskPrime

SOCRadar為安全專業(yè)人員提供了多種服務(wù)和工具，包括各種免費工具，用戶可以使用這些工具免費對域名或IP地址進行手動一次性檢查。要獲得更全面、重復(fù)發(fā)生的監(jiān)控功能則需要訂閱其RiskPrime服務(wù)。RiskPrime提供PII（個人身份信息）監(jiān)控，同時還能跟蹤受損的VIP帳戶，并執(zhí)行聲譽監(jiān)控和網(wǎng)絡(luò)釣魚檢測。此外，通過RiskPrime還可以獲得下架服務(wù)，但除非用戶使用的是企業(yè)級服務(wù)級別，否則會產(chǎn)生額外的成本。