對暗網(wǎng)的監(jiān)視需要有多緊密?這取決于企業(yè)自身的安全能力與風(fēng)險容忍度。
近幾個月�����,很多文章都在討論深網(wǎng)和暗網(wǎng)���。必須指出的是����,這兩者之間有極大不同���。深網(wǎng)通常指的是搜索引擎沒有索引的網(wǎng)站���,而暗網(wǎng),則主要由需借助Tor之類軟件���,或不可見互聯(lián)網(wǎng)項目(I2P)��,才訪問得到的站點(diǎn)組成���。
本文主要討論的是暗網(wǎng),也就是新聞媒體描繪為互聯(lián)網(wǎng)藏污納垢之地的所在——任何愛惜羽毛的瀏覽器都不會去訪問�。
雖然很多暗網(wǎng)網(wǎng)站專職買賣各種非法物品,比如毒品���、武器甚至人體器官�����,我們?nèi)孕枵J(rèn)識到���,也有出于正面或法律原因而使用暗網(wǎng)的情況�����。比如說���,強(qiáng)權(quán)政治體制下的活動家,就常要使用暗網(wǎng)來進(jìn)行安全匿名通信�。暗網(wǎng)也被當(dāng)做推動和保護(hù)言論自由的理想平臺,尤其是對那些因表達(dá)自己觀點(diǎn)而面臨壓迫和殘害的人而言���。
然而�����,盡管存在某些積極用例,暗網(wǎng)還是更常用于邪惡的目的����。比如說,如果數(shù)據(jù)泄露中有信息被盜���,那幾乎可以肯定���,這些信息必將在暗網(wǎng)上售賣�。此類信息的交換——可能包含客戶的個人信息�����、信用卡資料����,甚至公司機(jī)密數(shù)據(jù),正快速成為網(wǎng)絡(luò)罪犯的一大商機(jī)��。
因此�,企業(yè)和安全研究人員有必要關(guān)注暗網(wǎng)情況,及時獲悉有無與自身直接相關(guān)的信息在暗網(wǎng)上交易或討論�����。這方面�,速度是關(guān)鍵,因為被盜憑證可快速倒手并用于盜取賬戶���。然而����,達(dá)到此類檢測所需的暗網(wǎng)交易可見性,卻是說起來容易做起來難��。
獲得暗網(wǎng)可見性的挑戰(zhàn)
與深網(wǎng)類似�,暗網(wǎng)也不能被搜索引擎爬取并索引,所以相關(guān)數(shù)據(jù)的查找�,并非執(zhí)行一條搜索引擎查詢指令那么簡單。暗網(wǎng)用戶必須手動識別具有相關(guān)信息的暗網(wǎng)節(jié)點(diǎn)����。
感興趣的節(jié)點(diǎn)被發(fā)現(xiàn)后,下一步就是訪問節(jié)點(diǎn)���。這又是一道障礙�����,因為站點(diǎn)往往不開放��,需要用戶登錄才可以看到內(nèi)容,且登錄不像主流網(wǎng)站那么簡單���。為獲得會員資格�����,你必須通過相當(dāng)徹底的審核過程����,而這往往需要經(jīng)由該網(wǎng)站現(xiàn)有可信老會員的引薦。
后��,語言障礙也會成為另一個大挑戰(zhàn)�。暗網(wǎng)節(jié)點(diǎn)運(yùn)營者使用的語言種類很多,如果他們采用的不是你熟悉的語言����,溝通就會成為問題。
即便你成功跨越了上述深溝淺壑�����,暗網(wǎng)節(jié)點(diǎn)運(yùn)營者也可能出于自身的考慮�,而隨時撤回你的訪問權(quán)。比如說�����,他們可能會封禁疑為司法部門派來監(jiān)視他們活動的用戶�。
收集暗網(wǎng)數(shù)據(jù)
一旦獲得暗網(wǎng)節(jié)點(diǎn)訪問權(quán),下一步就是獲得其上數(shù)據(jù)了。這一步與傳統(tǒng)威脅情報收集過程類似����,都綜合了人的因素和技術(shù)因素。針對企業(yè)的大多數(shù)攻擊��,通常都涉及賬戶或身份盜竊���,這也是受歡迎也有用的信息類型���,就是用戶憑證或個人可識別信息(PII)。暗網(wǎng)上監(jiān)視并收集此類數(shù)據(jù)的典型步驟如下:
1. 解析
往往有大量數(shù)據(jù)需要被初步解析�。這一步可用技術(shù)加以自動化,但仍需輔以人工驗證��。
2. 標(biāo)準(zhǔn)化
解析之后�,數(shù)據(jù)應(yīng)被標(biāo)準(zhǔn)化,以便在后續(xù)過程中能方便地存儲和查詢�����。這也是刪除重復(fù)數(shù)據(jù)和不相關(guān)數(shù)據(jù)的好時機(jī)���。
3. 驗證
數(shù)據(jù)標(biāo)準(zhǔn)化和去重過后,來一輪驗證過程以確保準(zhǔn)確性是很明智的做法。
4. 精煉和豐富
到了這一步�,數(shù)據(jù)已經(jīng)基本可用了——盡管很多公司會選擇進(jìn)一步精煉并豐富數(shù)據(jù),添加可使數(shù)據(jù)與自家公司和風(fēng)險概況更為相關(guān)的上下文信息���。
企業(yè)如何保護(hù)自身
盡管暗網(wǎng)本身或許不對企業(yè)造成威脅�����,但其上被盜企業(yè)數(shù)據(jù)買賣的增多��,也意味著企業(yè)越來越有必要找到辦法對暗網(wǎng)予以監(jiān)視了�。
對暗網(wǎng)的監(jiān)視需要有多緊密?這取決于各家公司自身能力與風(fēng)險胃納����。不過,所有企業(yè)都必須遵循同樣的基本安全原則和佳實踐:了解自身典型對手是誰����,對手的動機(jī)是什么,哪種類型的數(shù)據(jù)是對手感興趣的�。
由于監(jiān)視和收集暗網(wǎng)數(shù)據(jù)耗時耗力,將這項工作外包給專業(yè)公司就顯得很明智了��,這些公司可在任何雇員或客戶數(shù)據(jù)被交易時發(fā)出警報��。
然而,與其他威脅監(jiān)視類似��,僅僅獲得對威脅態(tài)勢的情況性了解���,并不是解決方案�。企業(yè)還需有充分的事件響應(yīng)與恢復(fù)控制措施及規(guī)程����,以便能在憑證被盜時可以及時恰當(dāng)?shù)赜枰皂憫?yīng),小化攻擊造成的影響�����。
服務(wù)熱線:18609840880 (微信同步)
郵箱:8001@newtwowin.com