首頁 > 信息安全 > 正文

探尋互聯網隱秘的角落:暗網監控

2020-11-06 10:13:00  來源:虎符智庫

摘要:暗網的匿名性特點已使其成為犯罪份子的理想活動場所。例如,恐怖份子在暗網中招募恐怖組織成員、策劃恐怖襲擊。
關鍵詞: 互聯網 隱秘
  •   暗網是互聯網神秘危險的角落,暗網的匿名性特點已使其成為犯罪份子的理想活動場所。
  •   企業和機構面臨暗網的潛在威脅:新冠疫情大流行促使遠程工作激增,暗網的網絡憑據交易成為熱潮。
  •   暗網監控成防護必要環節:減少攻擊潛在損害、減輕品牌形象損害,同時是合規性的必然要求。
  •   暗網成為威脅情報重要來源:75%的漏洞在被列入國家漏洞數據庫之前就已出現在暗網中。
  •   自建暗網監控能力是一項比較有挑戰的任務,需要掌握網絡犯罪態勢、訪問暗網能力,以及監控暗網源的技術。
 
  1. 前言
 
  暗網的匿名性特點已使其成為犯罪份子的理想活動場所。例如,恐怖份子在暗網中招募恐怖組織成員、策劃恐怖襲擊。同時,暗網也是一個商品或服務的交易市場,如軍火、毒品、色情制品、信用卡號碼、社會保險號碼、被竊取的用戶憑證。盡管如此,許多政府和機構仍在積極地參與暗網的組建和融資。例如,維基解密提供了Tor隱藏服務,告密者可以匿名提交;紐約時報、Facebook和中情局也有自己的Tor隱藏服務;英國廣播公司(BBC)最近也推出了自己的暗網,準備用在實行嚴格網絡審查的國家和地區。
 
  企業和機構正在處于暗網威脅的潛在風險之中。暗網中可以買到信用卡賬號、被盜的用戶憑證、黑客入侵的Netflix帳戶和惡意軟件等危害企業和機構的工具和服務。例如,花500美元購買50000美元美國銀行賬戶的登錄憑證,花500美元購買7張各自余額2500美元預付借記卡,花6美元購買一個Netflix永久高級帳戶,甚至雇傭黑客幫攻擊企業服務器。此外,英國薩里大學Michael McGuires博士在2019年關于《利潤之網》的研究顯示:自2016年以來,暗網中危害企業的黑名單數量增加了20%,并且60%的上市公司面臨著暗網潛在的威脅。
 
  2. 暗網:神秘危險的互聯網角落
 
  暗網是互聯網神秘危險的角落,充滿了爭議、神話和駭事。上世紀90年代,“構建普通用戶無法訪問的秘密網絡”的構想被提出來,為美國特工提供安全且不可追蹤的通信渠道。這個項目快被放棄時,研究人員看到了匿名網絡的潛力:它可以用來收集政治異見者和隱私活動家的特殊言論,并且能夠保證安全通信。
 
  暗網作為互聯網的一部分,處于互聯網的深層,與普通互聯網服務一樣,暗網中也包含眾多網站和服務,但是使用了特殊加密技術刻意隱藏用戶身份信息,通過常規的搜索引擎通常難以訪問,具有通信和交易匿名性的特點。
 
  根據公眾的可訪問性和搜索引擎的覆蓋率的區別,可以將互聯網大致分成公共網絡、深網、暗網三個部分。其中,公共網絡約占互聯網的4%,能夠被搜索引擎索引,任何有權上網的人都可以找到。深網是互聯網的絕大部分,約占互聯網的93%,由不向公眾開放的網站組成,也不被搜索引擎索引。例如,受密碼保護的網站、網上銀行或私人網絡。大多數深層網絡可以通過普通瀏覽器訪問,而暗網需要使用特殊的瀏覽器才能訪問,其規模占互聯網的3%。
 
  3. 暗網的主要犯罪方式
 
  如果正確使用,暗網會具有一定的積極意義。例如,暗網中有許多合法網站,可以被記者和執法人員用來收集匿名舉報或揭秘信息。然而,它更多的是網絡犯罪的代名詞。當前,暗網中存在著22.5萬個左右的網站、論壇等,只有使用像Tor這樣的專業瀏覽器和搜索引擎才能訪問,這些工具為進入暗網的用戶提供完全的匿名性。
 
  暗網的匿名性正在誘發越來越多的網絡犯罪。為了達成不可告人的目的,黑客和欺詐在暗網中提供了許多形式的服務和信息,包括:
 
  攻擊工具:用來針對目標實施具體的網絡攻擊,以達到破壞目標信息系統機密性、完整性或者可用性的目的。例如,用來進行網絡釣魚的工具,或者勒索軟件即服務(Ransomware-as-a-Service,RaaS)。
 
  聊天室和論壇:用于針對攻擊目標的情報交換、黑客技術培訓等活動。
 
  黑客雇傭:為那些不愿意自己學習網絡黑客技術又想針對目標實施攻擊的人提供了新的可能。
 
  敏感數據出售:敏感數據包括個人信息數據或者公司的IP、源代碼、公司信息和數字證書等數據,能夠用于電信詐騙、網絡詐騙等不法活動中。
 
  4. 網絡憑據交易成暗網熱潮
 
  新冠疫情的大流行促使遠程工作激增,削弱了企業和機構的網絡安全態勢。攻擊者已迅速適應新冠疫情的“新常態”,正在修改自己的攻擊方式以從變化的環境中獲利。暗網的企業網絡憑據交易成為熱潮。
 
  網絡安全公司Positive Technologies調查暗網市場發現,與企業網絡登錄憑證等相關信息的交易正在蓬勃發展。2019年第四季度,暗網市場企業網絡憑證數據的交易數量開始有所上升,出售的數量就相當于2018年全年的總和。2020年第一季度,許多公司開始切換到遠程辦公的模式,暗網市場中銷售企業網絡登錄的帖子數量比上一季度猛增了69%。2020年第一季度的升級表明,攻擊者現在正專注于這種特殊的方法。值得注意的是,暗網出售的網絡訪問憑據還涉及政府實體、醫療機構、市政當局、住房協會等其他社會組織。
 
  這種熱潮的主要原因在于,黑客自己進行非法網絡訪問會面臨被發現的風險,且所獲收益具有不確定性。黑客通過暗網出售“采礦權”則可以獲得確定性的收益,且不會直接承擔非法網絡訪問的風險。例如,“閃亮獵人”黑客組織參與了多起數據泄露事件,包括泄露Homechef、Minted和Styleshare等11家不同公司的7320萬條用戶記錄。安全研究人員認為,該組織也是Tokopedia數據泄露事件的幕后黑手,泄露了9100萬用戶記錄,并在黑客論壇上以5000美元的價格出售。
 
  為了支持大規模的用戶憑據數據交易,攻擊者在實施攻擊時的通常做法是設置專門數據庫。將竊取的大量的用戶憑據數據存儲起來。這些數據庫支持勒索軟件攻擊即服務(Ransomware Attacks as-a-service),能夠幫助其他人從成功的入侵和數據泄露中獲利。
 
  首席安全官及其團隊正在努力應對來自外部威脅參與者的攻擊,但可能忽略了暗網上大規模的憑證竊取是如何發生的。這種憑證竊取可能是因為疏忽大意的IT團隊錯誤配置了面向外部的數據庫,導致其成為企業網絡憑證泄露的數據源。從泄密的后果來看,數據是被直接被竊取還是通過未加保護的查找路徑被獲取,并沒有區別。
 
  5. 暗網監控成為安全防護的必要環節
 
  人們或許會認為,暗網是企業面臨的數字威脅的主要來源,但與流行的觀點相反,暗網并不是企業數字威脅的主要來源。公共網絡上出現的數字威脅遠比暗網中的要多。盡管如此,暗網監控仍然具有現實意義,暗網主要是網絡攻擊的交流、協作和攻擊工具查找的場所,包括論壇和聊天室、電子郵件和消息應用程序、博客和wikis以及對等文件共享網絡。
 
  (1) 暗網監控為企業機構提供保護
 
  首先,暗網監控能夠減少企業和機構的潛在損害。一旦有人竊取了企業和機構的員工憑證,特別是那些能夠訪問敏感數據的員工憑證,企業和機構將面臨重大風險。暗網監控允許企業和機構對發現的任何被竊憑據發出預警,使IT或安全團隊能夠及時更改憑據密碼,并查找使用被竊憑據破壞受控網絡的跡象,這可有助于企業和機構在攻擊發生之前采取阻斷措施或者在攻擊過程中控制損失。
 
  其次,暗網監控減輕品牌形象損害。如果發生了泄露行為,企業和機構必須在了解相關情況之后盡快與客戶溝通,否則可能會損害你的品牌形象。暗網監控服務可以有助于深入了解數據泄露事件的內容和原因,并向客戶做出解釋。在客戶數據或憑證被盜的情況下,可以提出建議和相應的應對措施,如凍結客戶的信用或更改個人密碼。
 
  最后,暗網監控是合規性的必然要求。根據通用數據保護條例(GDPR)等許多法律,企業和機構在數據泄露后有強制報告要求。如果不在適當的時間內報告,可能會導致災難性后果和巨額罰款。暗網監控不僅有助于更快地開始調查,而且還可以向審計人員展示保護內部憑證和客戶數據而采取的有力措施,以及發現潛在違規行為的能力。
 
  (2) 暗網監控是威脅情報重要來源
 
  暗網習慣地視為各類罪犯的庇護所,但卻為開展網絡攻擊和數據泄露防護、檢測和預測的企業和機構提供了機會。企業與機構不能對暗網上的網站或市場采取措施,但在其中發現的信息可以用于應對公共網絡上的網絡攻擊、網絡釣魚活動和被竊網絡憑據。利用暗網的威脅情報,安全專家可以定期從公共網絡上“刪除”這些網站和帳戶。
 
  網絡安全公司Recorded Future對美國國家漏洞數據庫中的漏洞進行了研究,發現其中75%的漏洞在被列入國家漏洞數據庫之前就已經出現在暗網中,漏洞從首次出現到發布到漏洞庫之間的平均間隔為7天,25%的漏洞至少間隔50天,10%的漏洞超過170天,這使得攻擊者具有了信息不對稱的優勢。因此,暗網監控能夠用于及時的威脅情報的收集。
 
  首先,暗網監控有助于網絡安全團隊及時發現信息系統漏洞。一旦基于憑證利用的泄露得到預警,網絡安全團隊就可以查找安全措施失敗的地方了。如果發現攻擊者利用未修補的漏洞,然后使用受損的憑據訪問內部資源,則可以修補漏洞以阻止第二次攻擊波。對于發現的供應商漏洞,可以用進行供應商風險評估和盡職調查。
 
  其次,暗網監控有助于網絡安全團隊及時確定攻擊手段。暗網是許多攻擊者學習網絡攻擊和購買漏洞工具包的地方。暗網監控能夠調查和理解黑客的方法和思維方式,對于網絡安全專業人員制定應對策略至關重要。
 
  6. 企業如何構建暗網監控能力
 
  自建暗網監控能力是一項比較有挑戰的任務,需要掌握網絡犯罪態勢、訪問暗網能力,以及監控暗網源的技術。暗網監控能力構建主要包括自建和外包兩種方式,需要經過識別暗網源、過濾暗網源和監控暗網源等三個階段。
 
  識別暗網源是為了羅列所有可能需要監控的暗網站點。這需要安全人員事先儲備暗網的相關知識,然后根據知識查找Tor和I2P中潛在的站點、IRC和Telegram等聊天渠道或犯罪論壇的站點以及不限于暗網的復制站點。識別暗網站源可以利用現有的技術。例如,OnionScan可以幫助研究人員或調查人員識別和跟蹤所有的暗網站點。Digital Shadows提供了7天的免費訪問權限來檢索暗網資源。
 
  過濾暗網源是為了去掉對業務沒有直接威脅的不相關來源。對于剩下的暗網源,需要根據安全團隊的威脅模型,去找到具體的資產偽冒品或者泄露的網絡憑證。這可能需要大量的人力,或著嘗試采用自動化的技術。此外,為了確定價值更高的黑客論壇,網絡安全團隊可能需要額外的專業知識,確定訪問位置并展開調查,以找到泄露的數據。有些暗網網站甚至需要諜報技術才能進入,這可能涉及到IP、網絡郵件服務的白名單或者黑名單以及其他要求。
 
  專家發現,暗網監控具有跟蹤威脅、識別泄露憑證和發現欺詐的三個重要應用場景。通過專注于這三個場景,有助于讓暗網監控更省時、更切合實際需要。
 
  值得注意的是,要完成所有這些工作可能需要大量的努力、專業知識、時間和金錢。但是,只要有合適的人員和技術組合,這并不是一個緩慢而昂貴的過程。企業和機構可以采用數據泄漏防護(DLP)服務,確保敏感數據不會丟失、誤用或被未經授權的用戶訪問。然后,配備合適的人員,企業和機構就可以以相對適中的成本防范網絡攻擊和數據泄露。
 
  最后,對于那些只想專注于業務的企業來說,在內部構建和維護暗網監控是一項重大挑戰,他們可以求助于擁有專業知識和暗網監控能力的外部安全公司。

第三十二屆CIO班招生
法國布雷斯特商學院碩士班招生
北達軟EXIN網絡空間與IT安全基礎認證培訓
北達軟EXIN DevOps Professional認證培訓
責編:zhangwenwen
日本熟妇色在线视频