為什么暗網(wǎng)監(jiān)測不是必需的？

近年來，“暗網(wǎng)”已成為主流。過去，暗網(wǎng)市場的論壇、聊天室、工具等只在網(wǎng)絡(luò)犯罪分子和黑客之間流行，主要被捍衛(wèi)網(wǎng)絡(luò)空間安全的網(wǎng)絡(luò)執(zhí)法人員、安全專業(yè)人員所熟知。

而今，暗網(wǎng)逐漸廣為人知，不僅在電影和電視節(jié)目中，甚至在迪斯尼動畫片中（《Ralph Breaks the Internet》）都頻繁出現(xiàn)。暗網(wǎng)不僅在安全行業(yè)炙手可熱，在普羅大眾中也名聲大噪起來。

許多人堅(jiān)定地認(rèn)為，監(jiān)測暗網(wǎng)是其安全運(yùn)營的關(guān)鍵部分，安全行業(yè)很樂于助長這一信念。盡管在某些行業(yè)、某些情況下，監(jiān)測暗網(wǎng)確實(shí)非常重要，因?yàn)榍閳罂梢詭椭鷽Q策者制定消除威脅的戰(zhàn)略，但大多數(shù)人沒有意識到（安全行業(yè)不會告訴他們）的是，事實(shí)并非這么簡單。

要了解哪些行業(yè)可以真正從暗網(wǎng)監(jiān)測中受益，我們必須首先了解暗網(wǎng)是什么，以及不是什么。

暗網(wǎng)是如何工作的

暗網(wǎng)不是由網(wǎng)站所在地定義的。雖然人們普遍認(rèn)為暗網(wǎng)只存在于TOR網(wǎng)絡(luò)上，但許多暗網(wǎng)實(shí)際都托管在常規(guī)服務(wù)器上，任何人都可以使用正確的URL訪問，就像訪問其他任何網(wǎng)站一樣。此外，盡管大多數(shù)人會將暗網(wǎng)定義為無法通過搜索引擎找到的網(wǎng)站，但實(shí)際上，如果你知道正確的關(guān)鍵字，是可以通過谷歌找到其中的許多網(wǎng)站的。

真正定義暗網(wǎng)的是訪問它的內(nèi)容和訪客類型。畢竟，如果一個論壇是專門討論金融犯罪，并且充斥著網(wǎng)絡(luò)罪犯，那么它的托管地點(diǎn)和是否可以在谷歌上找到它，都無關(guān)緊要。內(nèi)容是決定因素，在大多數(shù)情況下，您可以在特定的暗網(wǎng)中找到的一個專門干壞事的區(qū)域。有專門聚焦網(wǎng)絡(luò)欺詐的暗網(wǎng)，專門討論特定網(wǎng)絡(luò)犯罪（如垃圾郵件或惡意軟件編碼）的暗網(wǎng)，以及專門針對圣戰(zhàn)或戀童癖等其他事物的暗網(wǎng)。

這些站點(diǎn)是網(wǎng)絡(luò)威脅潛在行為者相互聯(lián)系的平臺，因此它們通常有獨(dú)立的小圈子。暗網(wǎng)的網(wǎng)絡(luò)犯罪圈子和戀童癖圈子之間幾乎沒有聯(lián)系。每一個圈子都有一個特定的目標(biāo)——對圣戰(zhàn)分子來說，這是發(fā)布和消化激進(jìn)觀點(diǎn)的渠道；對戀童癖來說，是獲取齷齪素材的渠道。

對于網(wǎng)絡(luò)犯罪分子來說，暗網(wǎng)讓他們實(shí)施犯罪更加便利。網(wǎng)絡(luò)犯罪是技術(shù)活，比如說一個簡單的網(wǎng)絡(luò)釣魚攻擊，就需要技術(shù)基礎(chǔ)和多重因素的配合。暗網(wǎng)能讓犯罪分子迅速找到填補(bǔ)這些空白的伙伴。與其從頭學(xué)習(xí)如何編寫惡意程序，不如從暗網(wǎng)找一個已經(jīng)掌握該技術(shù)的人并付費(fèi)購買。金融犯罪分子可以找到已經(jīng)獲得信用卡數(shù)據(jù)的人，購買數(shù)據(jù)，而不是飛到一個個國家去用取款機(jī)實(shí)際竊取信用卡。暗網(wǎng)的社區(qū)是為了實(shí)現(xiàn)這些具體目標(biāo)而建立的，每個圈子都圍繞特定目標(biāo)運(yùn)行。

這就是為什么暗網(wǎng)監(jiān)測只作用于某些行業(yè)的原因。與網(wǎng)絡(luò)安全相關(guān)的暗網(wǎng)社區(qū)（主要是網(wǎng)絡(luò)犯罪社區(qū)），致力于讓其成員賺錢（盡管APT組織也在暗網(wǎng)中查找工具，但他們與這些圈子的聯(lián)系非常松散）。這些成員花了很多年來完善和磨練他們的技能，他們專注于能帶來穩(wěn)定收入的事情（比如發(fā)起勒索軟件攻擊或進(jìn)行欺詐性交易），而非一次性的項(xiàng)目（比如入侵某個組織），因?yàn)槊看稳肭置媾R的網(wǎng)絡(luò)和隨之而來的風(fēng)險都不一樣。

盡管此類一次性項(xiàng)目在回報足夠大時的確會發(fā)生（他們擁有的數(shù)據(jù)是有價值的，很容易地轉(zhuǎn)化為金錢，比如信用卡數(shù)據(jù)），但整個社區(qū)的目標(biāo)是針對某些特定類型的組織，而你的組織很可能不在其中。

哪些行業(yè)從暗網(wǎng)監(jiān)測中受益

由于網(wǎng)絡(luò)犯罪分子的主要關(guān)注點(diǎn)是金融詐騙，因此銀行和信用卡發(fā)行商等金融服務(wù)公司可以從監(jiān)測暗網(wǎng)中受益匪淺。這不僅僅是監(jiān)測到與你所在組織相關(guān)的暗網(wǎng)交易，還包括學(xué)習(xí)欺詐者如何進(jìn)行工作，以便建立有效的反欺詐策略。

另一個在暗網(wǎng)監(jiān)測中受益的是在線服務(wù)行業(yè)。例如Facebook、Google、Uber、比特幣兌換商和賭博網(wǎng)站等，他們擁有許多消費(fèi)者，犯罪分子顯然有動機(jī)發(fā)起入侵。大多數(shù)其他行業(yè)，如制造業(yè)、B2B服務(wù)公司或政府機(jī)構(gòu)，就沒有那么有利可圖。

當(dāng)然，潛在威脅者自然會試圖利用他們碰到的任何不安全的組織，畢竟送上門的大餐不吃白不吃，在圈子里賣內(nèi)部數(shù)據(jù)是有錢賺的。然而，在暗網(wǎng)中發(fā)現(xiàn)這種性質(zhì)的情報完全憑運(yùn)氣，是情報供應(yīng)商無法控制的。

這些組織在暗網(wǎng)上的大多數(shù)發(fā)現(xiàn)都是“員工憑證”—在數(shù)據(jù)泄露事件中獲取的該組織的員工憑證（網(wǎng)絡(luò)攻擊者訪問敏感數(shù)據(jù)的最簡單方法是破壞最終用戶的身份憑證，當(dāng)今的大多數(shù)網(wǎng)絡(luò)攻擊都源于憑證收集活動）。盡管監(jiān)測此類憑據(jù)可以獲得一些價值，但這仍然不足以成為采購暗網(wǎng)監(jiān)測服務(wù)的理由。有些服務(wù)僅專注于員工憑證監(jiān)測，這些服務(wù)要便宜得多。 

由于暗網(wǎng)監(jiān)測對許多公司而言，沒有太多有價值的發(fā)現(xiàn)，但為了體現(xiàn)出服務(wù)的價值，威脅情報供應(yīng)商經(jīng)常試圖用有關(guān)威脅和威脅參與者的通用報告來增加趣味性，但對公司并沒有實(shí)際的相關(guān)性和意義。

最后來自靈魂的拷問：暗網(wǎng)監(jiān)測服務(wù)是否有可能發(fā)現(xiàn)一起重要的數(shù)據(jù)庫泄露事故？特別是對于一個通常不被網(wǎng)絡(luò)罪犯盯上的組織？

理論上答案是肯定的，但問題是，發(fā)生這種情況的可能性有多大，花這么多錢來監(jiān)測暗網(wǎng)值得嗎？這些錢花在對組織更有效的安全解決方案（如網(wǎng)絡(luò)資產(chǎn)探測、漏洞掃描等）上是不是回報率更高？

本文來源：安數(shù)網(wǎng)絡(luò)，轉(zhuǎn)載請注明出處。

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明