您的數(shù)據(jù)是不是被賣(mài)到了暗網(wǎng)上？

Maria+Korolov+楊勇

監(jiān)控暗網(wǎng)，看看您的數(shù)據(jù)是否在被出售——這樣做是有風(fēng)險(xiǎn)的，但會(huì)有解決方案和服務(wù)為您提供幫助。

Sonatype的寶貝是其描述的120多萬(wàn)個(gè)開(kāi)源軟件包的數(shù)據(jù)庫(kù)。位于馬里蘭州的軟件供應(yīng)鏈管理公司Fulton的首席執(zhí)行官Wayne Jackson說(shuō)：“如果丟失了，那就要接受既成事實(shí)。”

為能夠迅速堵上這類漏洞，Sonatype監(jiān)視網(wǎng)絡(luò)，以發(fā)現(xiàn)數(shù)據(jù)被盜和在網(wǎng)絡(luò)上共享的任何跡象，包括對(duì)暗網(wǎng)的監(jiān)控。

互聯(lián)網(wǎng)的陰暗面實(shí)際上并沒(méi)有那么大。媒體報(bào)道常常高估暗網(wǎng)的規(guī)模，把搜索引擎訪問(wèn)不到的所有東西都?xì)w結(jié)為暗網(wǎng)，也包括企業(yè)內(nèi)部網(wǎng)和受密碼保護(hù)的網(wǎng)站，例如在線論壇、銀行網(wǎng)站和電子郵件平臺(tái)等。

據(jù)美國(guó)聯(lián)邦調(diào)查局報(bào)告，全世界只有大約800個(gè)犯罪互聯(lián)網(wǎng)論壇。雖然其影響可能很大，但使用它們的人數(shù)往往沒(méi)那么多。

2015年，PunkSpider網(wǎng)絡(luò)漏洞掃描程序?qū)δ涿W(wǎng)絡(luò)Tor進(jìn)行了掃描，發(fā)現(xiàn)了大約7000個(gè)Tor網(wǎng)站，其中只有2000個(gè)是活動(dòng)的。并非所有這些網(wǎng)站都是由犯罪分子運(yùn)行的。那些生活在專制政權(quán)下的持不同政見(jiàn)者、安全意識(shí)很強(qiáng)的機(jī)構(gòu)和公司，以及非常在乎隱私的個(gè)人也使用TOR、Freenet和不可見(jiàn)互聯(lián)網(wǎng)項(xiàng)目，或者I2P。

對(duì)于有犯罪傾向的暗網(wǎng)站，不是所有這些網(wǎng)站都在企業(yè)InfoSec專家的興趣范圍內(nèi)。位于美國(guó)弗吉尼亞州Reston的ThreatQuotient公司幫助企業(yè)收集和整理來(lái)自內(nèi)部和外部情報(bào)源的數(shù)據(jù)，該公司戰(zhàn)略高級(jí)副總裁Jonathan Couch說(shuō)：“暗網(wǎng)中有很大一部分涉及販賣(mài)人口和毒品交易等犯罪活動(dòng)。我要說(shuō)的是，這已經(jīng)成為網(wǎng)絡(luò)上絕大部分的非法交易，但不會(huì)影響企業(yè)網(wǎng)絡(luò)?！?/p>

探索暗網(wǎng)的出發(fā)點(diǎn)

Reddit DarkNetMarkets超級(jí)列表

DarkNet現(xiàn)狀

暗網(wǎng)市場(chǎng)Deep.Dot.Web列表

Onion subreddit

隱藏的Wiki深度網(wǎng)絡(luò)鏈

Tor隱藏Wiki

另一個(gè)隱藏的Wiki

Grams搜索引擎

Ahmia搜索引擎

2015年，Trend Micro掃描發(fā)現(xiàn)在暗網(wǎng)上大約有8000個(gè)可疑站點(diǎn)，其中有近三分之一與公開(kāi)網(wǎng)絡(luò)上的惡意軟件下載頁(yè)面相連接。只有不到三分之一的是代理回避網(wǎng)站，幫助用戶繞過(guò)學(xué)校、公司或者政府的過(guò)濾，其中四分之一與兒童色情有關(guān)。只有5%與黑客有關(guān)。

德克薩斯州Irving的Trend Micro公司首席網(wǎng)絡(luò)安全官Ed Cabrera說(shuō)，有些論壇已經(jīng)被關(guān)閉了，其他的則變得更加細(xì)分和專業(yè)化。

在執(zhí)法部門(mén)高調(diào)曝光這些網(wǎng)站之后，很多都加強(qiáng)了自己的安全措施。Cabrera說(shuō)：“要想進(jìn)入論壇，首先要接受審查。”

據(jù)Terbium實(shí)驗(yàn)室報(bào)告，讓企業(yè)網(wǎng)絡(luò)安全專家們感興趣的論壇數(shù)量已經(jīng)從2015年的幾十個(gè)增加到現(xiàn)在的幾百個(gè)，其中很多是非常專業(yè)的。雖然通常把暗網(wǎng)描述成冰山——顯露出來(lái)的一小部分只是公開(kāi)網(wǎng)絡(luò)，安全研究人員感興趣的那部分還在增長(zhǎng)，但其規(guī)模仍然是可控的。

SurfWatch實(shí)驗(yàn)室創(chuàng)始人兼首席架構(gòu)師Jason Polancich說(shuō)，企業(yè)自己能進(jìn)行暗網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)挖掘操作，一天之內(nèi)就會(huì)見(jiàn)到效果。他說(shuō)：“很多企業(yè)自己現(xiàn)有的IT和網(wǎng)絡(luò)安全部門(mén)已經(jīng)擁有開(kāi)始低成本、高回報(bào)暗網(wǎng)智能操作的所有工具。很多大型企業(yè)要么已經(jīng)開(kāi)始了，要么已經(jīng)在進(jìn)行中。”

暗網(wǎng)監(jiān)測(cè)和調(diào)查服務(wù)

然而，據(jù)ThreatQuotient的說(shuō)法，對(duì)于大部分公司而言最好還是讓別人去挖掘。他說(shuō)：“從執(zhí)法和其他角度來(lái)看，在黑網(wǎng)上進(jìn)行交易有很多風(fēng)險(xiǎn)?！?/p>

一個(gè)更安全、更經(jīng)濟(jì)高效的方法是借助SurfWatch、Terbium和Recorded Future等供應(yīng)商，由他們提供監(jiān)測(cè)、索引或者提醒服務(wù)，幫助企業(yè)應(yīng)對(duì)甚至不受暗網(wǎng)威脅。這些威脅可能是有人發(fā)布敏感的公司記錄，討論計(jì)劃好的攻擊，或者出售公司在用軟件中的漏洞。

這些供應(yīng)商開(kāi)發(fā)的專門(mén)工具幫助他們收集這些數(shù)據(jù)，并把操作者隱藏到犯罪分子群體中。此外，供應(yīng)商由于為大量的客戶提供服務(wù)，因此對(duì)所發(fā)生的事情有更全面的了解。

據(jù)SurfWatch首席安全戰(zhàn)略官Adam Meyer，像他們這樣的公司在過(guò)去兩年里已經(jīng)提高了挖掘暗網(wǎng)的能力，能跟上形式的變化。他說(shuō)：“商店開(kāi)門(mén)關(guān)門(mén)，網(wǎng)站改變其網(wǎng)址，執(zhí)法部門(mén)介入，網(wǎng)站散伙。這是一個(gè)流動(dòng)的環(huán)境?！庇袝r(shí)，網(wǎng)站關(guān)閉是為了擺脫他們的客戶。

和犯罪分子做生意是一件冒險(xiǎn)的事。一些暗網(wǎng)市場(chǎng)將自己定位為可信的經(jīng)紀(jì)人，提供代管賬戶以保證交付和付款。Meyer說(shuō)：“他們的用戶越多，他們?cè)诖芊矫鎾甑腻X(qián)就越多。在某些時(shí)候，操作員看看銀行賬戶，然后說(shuō)，‘我們可以拿錢(qián)跑路。盜賊沒(méi)有榮譽(yù)可言?！?/p>

與此同時(shí)，操作員會(huì)去架設(shè)新網(wǎng)站，或者有競(jìng)爭(zhēng)對(duì)手進(jìn)入，填補(bǔ)留下的空白。他說(shuō)：“如果一個(gè)有1000名用戶的市場(chǎng)突然關(guān)閉，那么這些用戶一定會(huì)去其他地方。我們以人工的方式從新市場(chǎng)收集一段時(shí)間，看看是否有動(dòng)力。如果有動(dòng)力，并開(kāi)始增長(zhǎng)，我們將應(yīng)用自動(dòng)收集，開(kāi)始自動(dòng)挖掘。一旦這樣做了10、15、100次，您就開(kāi)始從自動(dòng)化的角度、流量的角度來(lái)了解什么是可行的，并且會(huì)變得更高效?！?/p>

SurfWatch也花了兩年的時(shí)間進(jìn)行開(kāi)發(fā)，使用自然語(yǔ)言處理等工具找出最感興趣的信息，并將其提供給客戶。他說(shuō)：“例如，如果有某種憑證轉(zhuǎn)儲(chǔ)，您立即會(huì)看到有人索要副本，他們會(huì)利用它開(kāi)始攻擊公司——您可以看到這種對(duì)話?cǎi)R上就發(fā)生了?！?/p>

這一領(lǐng)域的另一家供應(yīng)商Terbium實(shí)驗(yàn)室提供搜索服務(wù)——Matchlight，支持企業(yè)客戶通過(guò)指紋來(lái)搜索專有信息。首席執(zhí)行官Danny Rogers說(shuō)：“這是一種盲搜索技術(shù)。我們賦予客戶以自動(dòng)方式搜索索引的能力，而不用向我們透露他們?cè)谒阉魇裁础！?/p>

Matchlight核心功能支持企業(yè)針對(duì)要監(jiān)控的數(shù)據(jù)設(shè)立警報(bào)，例如客戶名單和商業(yè)秘密等。他說(shuō)：“他們?cè)皆绨l(fā)現(xiàn)數(shù)據(jù)被泄露，就能更快的做出反應(yīng)，受到的破壞就越少?！?/p>

例如，如果掃描顯示數(shù)據(jù)分布在合法而且守法的站點(diǎn)上，那么企業(yè)可以申請(qǐng)?jiān)L問(wèn)數(shù)據(jù)。如果數(shù)據(jù)是信用卡號(hào)碼，那么在犯罪分子盜刷之前應(yīng)盡快消掉這些數(shù)據(jù)。如果一家公司已經(jīng)意識(shí)到有漏洞，他們可以找到并關(guān)閉它，以防止產(chǎn)生更多的損害。

一個(gè)使用Matchlight的客戶是Sonatype，利用服務(wù)來(lái)監(jiān)視其開(kāi)源軟件數(shù)據(jù)庫(kù)的任何異常跡象。Sonatype的Jackson說(shuō)：“我們最重要的資產(chǎn)是描述開(kāi)源代碼屬性的元數(shù)據(jù)?！彼f(shuō)，在Terbium的幫助下，以私有、完全自動(dòng)的方式幾分鐘內(nèi)就能發(fā)現(xiàn)一個(gè)漏洞。

另一家供應(yīng)商是位于馬薩諸塞州薩默維爾的Recorded Future公司，可以根據(jù)企業(yè)部署的硬件和軟件來(lái)創(chuàng)建指紋，然后在暗網(wǎng)上搜索從這些系統(tǒng)中發(fā)現(xiàn)的新漏洞——還可以尋找公司及其員工、IP地址或者電子郵件地址相關(guān)的信息。

然而，要找到這些信息越來(lái)越困難了，因?yàn)榉缸锓肿訒?huì)非常聰明的去掩蓋他們的行蹤。Recorded Future公司的高級(jí)采集總監(jiān)Andrei Barysevich說(shuō)：“他們都很清楚，幾乎所有大公司都以某種方式或者與不同的供應(yīng)商合作，在暗網(wǎng)上搜索這類數(shù)據(jù)。我們很少看到公開(kāi)宣傳的數(shù)據(jù)是真正有價(jià)值的?！?/p>

相反，犯罪分子進(jìn)行一對(duì)一的交易，建立了由可信伙伴組成的圈子。他說(shuō)，“此時(shí)就可以把人安插進(jìn)去。我們那些深深滲透到這些群體中的分析師和代理們從賣(mài)家那里直接得到消息，知道哪些信息可以出售?！?/p>

Maria Korolov——特約撰稿人，過(guò)去20年一直涉足新興技術(shù)和新興市場(chǎng)。

原文網(wǎng)址：

http：//www.csoonline.com/article/3205924/data-breach/is-your-data-being-sold-on-the-dark-web.html