網(wǎng)絡(luò)罪犯鐘愛(ài)暗網(wǎng),因?yàn)樵谀抢餆o(wú)法追蹤他們或識(shí)別他們的身份。
了解你的敵人——知道他想干什么,他能干什么,他會(huì)對(duì)你造成怎樣的傷害的最佳方法,就是監(jiān)視他。
據(jù)一些網(wǎng)絡(luò)犯罪專家所說(shuō),更簡(jiǎn)單高效地做到這一點(diǎn)的方法之一,就是出沒(méi)于壞人干壞事的地方——暗網(wǎng)。
在Dark Reading的一篇近期文章中,SurfWatch實(shí)驗(yàn)室創(chuàng)始人兼首席架構(gòu)師杰森·波蘭希奇斷言道:“絕大多數(shù)公司手頭都已擁有依托其已有IT和網(wǎng)絡(luò)安全團(tuán)隊(duì)開(kāi)展低成本高回報(bào)的暗網(wǎng)情報(bào)活動(dòng)的工具。”
這種數(shù)據(jù)挖掘活動(dòng),他寫(xiě)道,可以在一天之內(nèi)投入運(yùn)行。
IT圈子里都知道,暗網(wǎng)是一個(gè)興旺的網(wǎng)絡(luò)犯罪市場(chǎng),可以提供多種漏洞利用代碼、黑客雇傭服務(wù)、被盜個(gè)人數(shù)據(jù)和知識(shí)產(chǎn)權(quán)、垃圾郵件和網(wǎng)絡(luò)釣魚(yú)活動(dòng)、內(nèi)部威脅雇傭和其他更多黑暗服務(wù)。
得益于其隨機(jī)性、匿名性和加密性,暗網(wǎng)也是犯罪分子從事不法活動(dòng)的一個(gè)相對(duì)安全的地方。
但僅僅因?yàn)殡y于追蹤單個(gè)罪犯并不意味著就不可能監(jiān)視他們的行為。波蘭希奇寫(xiě)道,暗網(wǎng)就是那個(gè)“找出可能已經(jīng)被盜或被用來(lái)危害你的數(shù)據(jù),改善你的整體安全態(tài)勢(shì)來(lái)堵住漏洞”的地方。
真的這么容易嗎?
KNOS計(jì)劃共同創(chuàng)始人兼惡意軟件專家凱文·邁克李維認(rèn)為,“容易”這個(gè)詞并不確切。但“可能”肯定是可以的。
他說(shuō)道:“大多數(shù)管理人員都會(huì)覺(jué)得干這事兒是‘浪費(fèi)時(shí)間’而不愿去做,但這樣真的很有效。”
凱文·邁克李維,KNOS計(jì)劃共同創(chuàng)始人
他說(shuō)這就是他前一份工作所做的事情之一——“跟到壞人的老巢,這樣就能先一步在他們發(fā)功之前弄清他們?cè)谥\劃什么。但這又是料敵先機(jī)中最為耗費(fèi)時(shí)間的部分之一。”
企業(yè)安全初創(chuàng)公司ThreatStream首席研究員尼古拉斯·阿爾布萊特同意這種觀點(diǎn)。“很多人都覺(jué)得這些網(wǎng)絡(luò)迷霧重重,但靠著簡(jiǎn)單的指南,任何人都能在看完一集《機(jī)器人先生》的時(shí)間內(nèi)學(xué)會(huì)在這些網(wǎng)絡(luò)里沖浪。”
“監(jiān)視中最困難的部分是真正學(xué)會(huì)去看哪兒。這些晦暗網(wǎng)絡(luò)中的很多站點(diǎn)都會(huì)周期性地更換地址或者下線。但是,一旦識(shí)別出一小撮此類(lèi)網(wǎng)站,它們通常都會(huì)指引你找到別的。”
在勞動(dòng)密集且不是總能產(chǎn)出有用情報(bào)上,他也與邁克李維觀點(diǎn)一致。在“漫漫”長(zhǎng)日里,“你可能看不到任何價(jià)值。”他說(shuō),“而且,這一活動(dòng)要求分析員總在電腦前。部署‘工具’去干這活兒沒(méi)有效果。爬蟲(chóng)機(jī)器人會(huì)被檢測(cè)到,而且通常會(huì)被清除。”
弓峰敏,安全公司Cyphort共同創(chuàng)始人兼首席戰(zhàn)略官
其他人則對(duì)普通IT部門(mén)從事有效暗網(wǎng)監(jiān)視心存疑慮,即使已經(jīng)撥了這份預(yù)算。“收集原始信息本身不是平常瑣事。”Cyphort公司共同創(chuàng)始人兼首席戰(zhàn)略官弓峰敏博士說(shuō):“從原始數(shù)據(jù)中提煉出威脅情報(bào)也沒(méi)那么簡(jiǎn)單。因此,盡管做這件事有好處,普通IT部門(mén)卻不能有效為之。”
這是因?yàn)椋胀↖T員工沒(méi)有這份專業(yè)技能,“而且想加快速度也是不容易的。”這需要對(duì)威脅和數(shù)據(jù)挖掘的深入理解,門(mén)檻可不低。
弗雷德·托切特,電子郵件和網(wǎng)頁(yè)安全公司AppRiver安全分析師。他就不那么猶豫,但他表示,分析得越深入,對(duì)專業(yè)技能的要求就越高。
“最初的高水平研究應(yīng)該可以被任何熟知Tor(洋蔥頭路由器)實(shí)現(xiàn)技術(shù)的研究團(tuán)隊(duì)輕易執(zhí)行下來(lái)。一旦對(duì)Tor的實(shí)現(xiàn)機(jī)制和使用方法有了基本的了解,暗網(wǎng)就幾乎任你傲游了,盡管比普通互聯(lián)網(wǎng)要慢上許多。”
弗雷德·托切特,電子郵件和網(wǎng)頁(yè)安全公司AppRiver安全分析師
“而一旦研究越過(guò)被動(dòng)范疇,進(jìn)入到試圖找尋甚至購(gòu)入樣本,事情就會(huì)變得花費(fèi)高昂了。”他說(shuō),“基于具體的商家,有時(shí)候會(huì)有免費(fèi)的樣本供應(yīng),但并不總是這樣。至此,同樣的工具和專業(yè)技能便會(huì)成為分析樣本的必需品了。”
無(wú)論覺(jué)得容易或困難,大多數(shù)專家都認(rèn)為,企業(yè)為獲取威脅情報(bào)而監(jiān)視暗網(wǎng)尚未成為主流。“我注意到技術(shù)研究員和開(kāi)發(fā)者將之作為安全威脅監(jiān)視的補(bǔ)充方式提出,但作為企業(yè)自身采取的行動(dòng)還不太常見(jiàn)。”弓峰敏說(shuō)。
不過(guò),隨著更多的工具讓在暗網(wǎng)沖浪更方便,這種狀況有望發(fā)生改變。
胡阿·努爾米在Tor博客上寫(xiě)道,他自2010年起便致力于開(kāi)發(fā)Ahmia——一個(gè)Tor隱藏服務(wù)站點(diǎn)的開(kāi)源搜索引擎。
還有埃里克·米肖,網(wǎng)絡(luò)和物理安全專業(yè)公司Rift Recon首席執(zhí)行官,同時(shí)也是上周才成立的主推“暗網(wǎng)谷歌”搜索引擎的DarkSum共同創(chuàng)始人兼首席執(zhí)行官。
米肖與弓峰敏觀點(diǎn)一致,財(cái)富100開(kāi)外的大多數(shù)公司都不能對(duì)暗網(wǎng)進(jìn)行有效監(jiān)視。但他表示,采用像DarkSum這樣對(duì)暗網(wǎng)進(jìn)行索引的搜索引擎,就能做到。“我們令暗網(wǎng)監(jiān)視輕而易舉。”他說(shuō)道。
邁克李維說(shuō)他已經(jīng)做到了這一點(diǎn)。“真正需要做的,就是部署幾臺(tái)機(jī)器根據(jù)感興趣的關(guān)鍵字列表爬取Tor網(wǎng)絡(luò)數(shù)據(jù),然后順其自然。”
“一旦結(jié)果被送入來(lái)源與內(nèi)容數(shù)據(jù)庫(kù),人工分析師就可以啟動(dòng)Tor瀏覽器來(lái)檢查爬蟲(chóng)爬取的數(shù)據(jù)了。關(guān)鍵字越多,結(jié)果越龐雜,你用于翻找數(shù)據(jù)的人手越多,大海撈到針的機(jī)會(huì)也就越大。”
當(dāng)然,暗網(wǎng)索引也不是靜態(tài)的。如邁克李維指出的,Tor網(wǎng)絡(luò)上的站點(diǎn)“常常幾小時(shí)或幾天就換一次地址,因此你得反復(fù)爬取以搜尋那些感興趣的網(wǎng)站,因?yàn)樗麄兒芸赡茉谀闵洗闻廊∵^(guò)后又換了地址。”
米肖同意此觀點(diǎn),但也表示,跟上地址的變化是有可能的。盡管不愿談及他的公司所用的技術(shù),“我們真的干得漂亮”,他說(shuō)。
值不值得花費(fèi)時(shí)間和金錢(qián)進(jìn)行暗網(wǎng)監(jiān)視也是論戰(zhàn)的一個(gè)議題。弓峰敏主張,盡管作為一個(gè)安全‘層級(jí)’很有用,卻不是那么容易可以做好的。“這需要高級(jí)基礎(chǔ)設(shè)施和技術(shù)技巧,而這兩者都不是能夠輕易部署的。企業(yè)IT部門(mén)獨(dú)立完成這事兒并不是特別至關(guān)重要或者承擔(dān)得起的。”
而且他還認(rèn)為,“任何東西都不能代替對(duì)你自身網(wǎng)絡(luò)和資產(chǎn)的直接監(jiān)視。”
但米肖稱,隨著暗網(wǎng)監(jiān)視越來(lái)越簡(jiǎn)單和便宜,它將成為安全操作中的必備一環(huán)。“企業(yè)被嚇到了,因?yàn)樗麄冎溃绻麄儾环e極主動(dòng),他們將對(duì)數(shù)據(jù)泄露負(fù)責(zé)。”
“如果你僅僅是被動(dòng)防御,等待你的將是糟糕的一天。”
原文地址:http://www.aqniu.com/neo-points/9609.html
京公網(wǎng)安備 11010502049343號(hào)