Maria+Korolov+楊勇

監(jiān)控暗網(wǎng)，看看您的數(shù)據(jù)是否在被出售——這樣做是有風(fēng)險的，但會有解決方案和服務(wù)為您提供幫助。

Sonatype的寶貝是其描述的120多萬個開源軟件包的數(shù)據(jù)庫。位于馬里蘭州的軟件供應(yīng)鏈管理公司Fulton的首席執(zhí)行官Wayne Jackson說：“如果丟失了，那就要接受既成事實(shí)?！?/p>

為能夠迅速堵上這類漏洞，Sonatype監(jiān)視網(wǎng)絡(luò)，以發(fā)現(xiàn)數(shù)據(jù)被盜和在網(wǎng)絡(luò)上共享的任何跡象，包括對暗網(wǎng)的監(jiān)控。

互聯(lián)網(wǎng)的陰暗面實(shí)際上并沒有那么大。媒體報道常常高估暗網(wǎng)的規(guī)模，把搜索引擎訪問不到的所有東西都?xì)w結(jié)為暗網(wǎng)，也包括企業(yè)內(nèi)部網(wǎng)和受密碼保護(hù)的網(wǎng)站，例如在線論壇、銀行網(wǎng)站和電子郵件平臺等。

據(jù)美國聯(lián)邦調(diào)查局報告，全世界只有大約800個犯罪互聯(lián)網(wǎng)論壇。雖然其影響可能很大，但使用它們的人數(shù)往往沒那么多。

2015年，PunkSpider網(wǎng)絡(luò)漏洞掃描程序?qū)δ涿W(wǎng)絡(luò)Tor進(jìn)行了掃描，發(fā)現(xiàn)了大約7000個Tor網(wǎng)站，其中只有2000個是活動的。并非所有這些網(wǎng)站都是由犯罪分子運(yùn)行的。那些生活在專制政權(quán)下的持不同政見者、安全意識很強(qiáng)的機(jī)構(gòu)和公司，以及非常在乎隱私的個人也使用TOR、Freenet和不可見互聯(lián)網(wǎng)項目，或者I2P。

對于有犯罪傾向的暗網(wǎng)站，不是所有這些網(wǎng)站都在企業(yè)InfoSec專家的興趣范圍內(nèi)。位于美國弗吉尼亞州Reston的ThreatQuotient公司幫助企業(yè)收集和整理來自內(nèi)部和外部情報源的數(shù)據(jù)，該公司戰(zhàn)略高級副總裁Jonathan Couch說：“暗網(wǎng)中有很大一部分涉及販賣人口和毒品交易等犯罪活動。我要說的是，這已經(jīng)成為網(wǎng)絡(luò)上絕大部分的非法交易，但不會影響企業(yè)網(wǎng)絡(luò)。”

探索暗網(wǎng)的出發(fā)點(diǎn)

Reddit DarkNetMarkets超級列表

DarkNet現(xiàn)狀

暗網(wǎng)市場Deep.Dot.Web列表

Onion subreddit

隱藏的Wiki深度網(wǎng)絡(luò)鏈

Tor隱藏Wiki

另一個隱藏的Wiki

Grams搜索引擎

Ahmia搜索引擎

2015年，Trend Micro掃描發(fā)現(xiàn)在暗網(wǎng)上大約有8000個可疑站點(diǎn)，其中有近三分之一與公開網(wǎng)絡(luò)上的惡意軟件下載頁面相連接。只有不到三分之一的是代理回避網(wǎng)站，幫助用戶繞過學(xué)校、公司或者政府的過濾，其中四分之一與兒童色情有關(guān)。只有5%與黑客有關(guān)。

德克薩斯州Irving的Trend Micro公司首席網(wǎng)絡(luò)安全官Ed Cabrera說，有些論壇已經(jīng)被關(guān)閉了，其他的則變得更加細(xì)分和專業(yè)化。

在執(zhí)法部門高調(diào)曝光這些網(wǎng)站之后，很多都加強(qiáng)了自己的安全措施。Cabrera說：“要想進(jìn)入論壇，首先要接受審查?！?/p>

據(jù)Terbium實(shí)驗(yàn)室報告，讓企業(yè)網(wǎng)絡(luò)安全專家們感興趣的論壇數(shù)量已經(jīng)從2015年的幾十個增加到現(xiàn)在的幾百個，其中很多是非常專業(yè)的。雖然通常把暗網(wǎng)描述成冰山——顯露出來的一小部分只是公開網(wǎng)絡(luò)，安全研究人員感興趣的那部分還在增長，但其規(guī)模仍然是可控的。

SurfWatch實(shí)驗(yàn)室創(chuàng)始人兼首席架構(gòu)師Jason Polancich說，企業(yè)自己能進(jìn)行暗網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)挖掘操作，一天之內(nèi)就會見到效果。他說：“很多企業(yè)自己現(xiàn)有的IT和網(wǎng)絡(luò)安全部門已經(jīng)擁有開始低成本、高回報暗網(wǎng)智能操作的所有工具。很多大型企業(yè)要么已經(jīng)開始了，要么已經(jīng)在進(jìn)行中?！?/p>

暗網(wǎng)監(jiān)測和調(diào)查服務(wù)

然而，據(jù)ThreatQuotient的說法，對于大部分公司而言最好還是讓別人去挖掘。他說：“從執(zhí)法和其他角度來看，在黑網(wǎng)上進(jìn)行交易有很多風(fēng)險?！?/p>

一個更安全、更經(jīng)濟(jì)高效的方法是借助SurfWatch、Terbium和Recorded Future等供應(yīng)商，由他們提供監(jiān)測、索引或者提醒服務(wù)，幫助企業(yè)應(yīng)對甚至不受暗網(wǎng)威脅。這些威脅可能是有人發(fā)布敏感的公司記錄，討論計劃好的攻擊，或者出售公司在用軟件中的漏洞。

這些供應(yīng)商開發(fā)的專門工具幫助他們收集這些數(shù)據(jù)，并把操作者隱藏到犯罪分子群體中。此外，供應(yīng)商由于為大量的客戶提供服務(wù)，因此對所發(fā)生的事情有更全面的了解。

據(jù)SurfWatch首席安全戰(zhàn)略官Adam Meyer，像他們這樣的公司在過去兩年里已經(jīng)提高了挖掘暗網(wǎng)的能力，能跟上形式的變化。他說：“商店開門關(guān)門，網(wǎng)站改變其網(wǎng)址，執(zhí)法部門介入，網(wǎng)站散伙。這是一個流動的環(huán)境?！庇袝r，網(wǎng)站關(guān)閉是為了擺脫他們的客戶。

和犯罪分子做生意是一件冒險的事。一些暗網(wǎng)市場將自己定位為可信的經(jīng)紀(jì)人，提供代管賬戶以保證交付和付款。Meyer說：“他們的用戶越多，他們在代管方面掙的錢就越多。在某些時候，操作員看看銀行賬戶，然后說，‘我們可以拿錢跑路。盜賊沒有榮譽(yù)可言?！?/p>

與此同時，操作員會去架設(shè)新網(wǎng)站，或者有競爭對手進(jìn)入，填補(bǔ)留下的空白。他說：“如果一個有1000名用戶的市場突然關(guān)閉，那么這些用戶一定會去其他地方。我們以人工的方式從新市場收集一段時間，看看是否有動力。如果有動力，并開始增長，我們將應(yīng)用自動收集，開始自動挖掘。一旦這樣做了10、15、100次，您就開始從自動化的角度、流量的角度來了解什么是可行的，并且會變得更高效?！?/p>

SurfWatch也花了兩年的時間進(jìn)行開發(fā)，使用自然語言處理等工具找出最感興趣的信息，并將其提供給客戶。他說：“例如，如果有某種憑證轉(zhuǎn)儲，您立即會看到有人索要副本，他們會利用它開始攻擊公司——您可以看到這種對話馬上就發(fā)生了。”

這一領(lǐng)域的另一家供應(yīng)商Terbium實(shí)驗(yàn)室提供搜索服務(wù)——Matchlight，支持企業(yè)客戶通過指紋來搜索專有信息。首席執(zhí)行官Danny Rogers說：“這是一種盲搜索技術(shù)。我們賦予客戶以自動方式搜索索引的能力，而不用向我們透露他們在搜索什么。”

Matchlight核心功能支持企業(yè)針對要監(jiān)控的數(shù)據(jù)設(shè)立警報，例如客戶名單和商業(yè)秘密等。他說：“他們越早發(fā)現(xiàn)數(shù)據(jù)被泄露，就能更快的做出反應(yīng)，受到的破壞就越少?！?/p>

例如，如果掃描顯示數(shù)據(jù)分布在合法而且守法的站點(diǎn)上，那么企業(yè)可以申請訪問數(shù)據(jù)。如果數(shù)據(jù)是信用卡號碼，那么在犯罪分子盜刷之前應(yīng)盡快消掉這些數(shù)據(jù)。如果一家公司已經(jīng)意識到有漏洞，他們可以找到并關(guān)閉它，以防止產(chǎn)生更多的損害。

一個使用Matchlight的客戶是Sonatype，利用服務(wù)來監(jiān)視其開源軟件數(shù)據(jù)庫的任何異常跡象。Sonatype的Jackson說：“我們最重要的資產(chǎn)是描述開源代碼屬性的元數(shù)據(jù)?！彼f，在Terbium的幫助下，以私有、完全自動的方式幾分鐘內(nèi)就能發(fā)現(xiàn)一個漏洞。

另一家供應(yīng)商是位于馬薩諸塞州薩默維爾的Recorded Future公司，可以根據(jù)企業(yè)部署的硬件和軟件來創(chuàng)建指紋，然后在暗網(wǎng)上搜索從這些系統(tǒng)中發(fā)現(xiàn)的新漏洞——還可以尋找公司及其員工、IP地址或者電子郵件地址相關(guān)的信息。

然而，要找到這些信息越來越困難了，因?yàn)榉缸锓肿訒浅Ｂ斆鞯娜パ谏w他們的行蹤。Recorded Future公司的高級采集總監(jiān)Andrei Barysevich說：“他們都很清楚，幾乎所有大公司都以某種方式或者與不同的供應(yīng)商合作，在暗網(wǎng)上搜索這類數(shù)據(jù)。我們很少看到公開宣傳的數(shù)據(jù)是真正有價值的?！?/p>

相反，犯罪分子進(jìn)行一對一的交易，建立了由可信伙伴組成的圈子。他說，“此時就可以把人安插進(jìn)去。我們那些深深滲透到這些群體中的分析師和代理們從賣家那里直接得到消息，知道哪些信息可以出售?！?/p>

Maria Korolov——特約撰稿人，過去20年一直涉足新興技術(shù)和新興市場。

原文網(wǎng)址：

http：//www.csoonline.com/article/3205924/data-breach/is-your-data-being-sold-on-the-dark-web.html