對(duì)暗網(wǎng)的監(jiān)視需要有多緊密？這取決于企業(yè)自身的安全能力與風(fēng)險(xiǎn)容忍度。

最近幾個(gè)月，很多文章都在討論深網(wǎng)和暗網(wǎng)。必須指出的是，這兩者之間有極大不同。深網(wǎng)通常指的是搜索引擎沒(méi)有索引的網(wǎng)站，而暗網(wǎng)，則主要由需借助Tor之類軟件，或不可見(jiàn)互聯(lián)網(wǎng)項(xiàng)目(I2P)，才訪問(wèn)得到的站點(diǎn)組成。

本文主要討論的是暗網(wǎng)，也就是新聞媒體描繪為互聯(lián)網(wǎng)藏污納垢之地的所在——任何愛(ài)惜羽毛的瀏覽器都不會(huì)去訪問(wèn)。

雖然很多暗網(wǎng)網(wǎng)站專職買賣各種非法物品，比如毒品、武器甚至人體器官，我們?nèi)孕枵J(rèn)識(shí)到，也有出于正面或法律原因而使用暗網(wǎng)的情況。比如說(shuō)，強(qiáng)權(quán)政治體制下的活動(dòng)家，就常要使用暗網(wǎng)來(lái)進(jìn)行安全匿名通信。暗網(wǎng)也被當(dāng)做推動(dòng)和保護(hù)言論自由的理想平臺(tái)，尤其是對(duì)那些因表達(dá)自己觀點(diǎn)而面臨壓迫和殘害的人而言。

然而，盡管存在某些積極用例，暗網(wǎng)還是更常用于邪惡的目的。比如說(shuō)，如果數(shù)據(jù)泄露中有信息被盜，那幾乎可以肯定，這些信息必將在暗網(wǎng)上售賣。此類信息的交換——可能包含客戶的個(gè)人信息、信用卡資料，甚至公司機(jī)密數(shù)據(jù)，正快速成為網(wǎng)絡(luò)罪犯的一大商機(jī)。

因此，企業(yè)和安全研究人員有必要關(guān)注暗網(wǎng)情況，及時(shí)獲悉有無(wú)與自身直接相關(guān)的信息在暗網(wǎng)上交易或討論。這方面，速度是關(guān)鍵，因?yàn)楸槐I憑證可快速倒手并用于盜取賬戶。然而，達(dá)到此類檢測(cè)所需的暗網(wǎng)交易可見(jiàn)性，卻是說(shuō)起來(lái)容易做起來(lái)難。

獲得暗網(wǎng)可見(jiàn)性的挑戰(zhàn)

與深網(wǎng)類似，暗網(wǎng)也不能被搜索引擎爬取并索引，所以相關(guān)數(shù)據(jù)的查找，并非執(zhí)行一條搜索引擎查詢指令那么簡(jiǎn)單。暗網(wǎng)用戶必須手動(dòng)識(shí)別具有相關(guān)信息的暗網(wǎng)節(jié)點(diǎn)。

感興趣的節(jié)點(diǎn)被發(fā)現(xiàn)后，下一步就是訪問(wèn)節(jié)點(diǎn)。這又是一道障礙，因?yàn)檎军c(diǎn)往往不開(kāi)放，需要用戶登錄才可以看到內(nèi)容，且登錄不像主流網(wǎng)站那么簡(jiǎn)單。為獲得會(huì)員資格，你必須通過(guò)相當(dāng)徹底的審核過(guò)程，而這往往需要經(jīng)由該網(wǎng)站現(xiàn)有可信老會(huì)員的引薦。

最后，語(yǔ)言障礙也會(huì)成為另一個(gè)大挑戰(zhàn)。暗網(wǎng)節(jié)點(diǎn)運(yùn)營(yíng)者使用的語(yǔ)言種類很多，如果他們采用的不是你熟悉的語(yǔ)言，溝通就會(huì)成為問(wèn)題。

即便你成功跨越了上述深溝淺壑，暗網(wǎng)節(jié)點(diǎn)運(yùn)營(yíng)者也可能出于自身的考慮，而隨時(shí)撤回你的訪問(wèn)權(quán)。比如說(shuō)，他們可能會(huì)封禁疑為司法部門(mén)派來(lái)監(jiān)視他們活動(dòng)的用戶。

收集暗網(wǎng)數(shù)據(jù)

一旦獲得暗網(wǎng)節(jié)點(diǎn)訪問(wèn)權(quán)，下一步就是獲得其上數(shù)據(jù)了。這一步與傳統(tǒng)威脅情報(bào)收集過(guò)程類似，都綜合了人的因素和技術(shù)因素。針對(duì)企業(yè)的大多數(shù)攻擊，通常都涉及賬戶或身份盜竊，這也是最受歡迎也最有用的信息類型，就是用戶憑證或個(gè)人可識(shí)別信息(PII)。暗網(wǎng)上監(jiān)視并收集此類數(shù)據(jù)的典型步驟如下：

1. 解析

往往有大量數(shù)據(jù)需要被初步解析。這一步可用技術(shù)加以自動(dòng)化，但仍需輔以人工驗(yàn)證。

2. 標(biāo)準(zhǔn)化

解析之后，數(shù)據(jù)應(yīng)被標(biāo)準(zhǔn)化，以便在后續(xù)過(guò)程中能方便地存儲(chǔ)和查詢。這也是刪除重復(fù)數(shù)據(jù)和不相關(guān)數(shù)據(jù)的好時(shí)機(jī)。

3. 驗(yàn)證

數(shù)據(jù)標(biāo)準(zhǔn)化和去重過(guò)后，來(lái)一輪驗(yàn)證過(guò)程以確保準(zhǔn)確性是很明智的做法。

4. 精煉和豐富

到了這一步，數(shù)據(jù)已經(jīng)基本可用了——盡管很多公司會(huì)選擇進(jìn)一步精煉并豐富數(shù)據(jù)，添加可使數(shù)據(jù)與自家公司和風(fēng)險(xiǎn)概況更為相關(guān)的上下文信息。

企業(yè)如何保護(hù)自身

盡管暗網(wǎng)本身或許不對(duì)企業(yè)造成威脅，但其上被盜企業(yè)數(shù)據(jù)買賣的增多，也意味著企業(yè)越來(lái)越有必要找到辦法對(duì)暗網(wǎng)予以監(jiān)視了。

對(duì)暗網(wǎng)的監(jiān)視需要有多緊密？這取決于各家公司自身能力與風(fēng)險(xiǎn)胃納。不過(guò)，所有企業(yè)都必須遵循同樣的基本安全原則和最佳實(shí)踐：了解自身典型對(duì)手是誰(shuí)，對(duì)手的動(dòng)機(jī)是什么，哪種類型的數(shù)據(jù)是對(duì)手感興趣的。

由于監(jiān)視和收集暗網(wǎng)數(shù)據(jù)耗時(shí)耗力，將這項(xiàng)工作外包給專業(yè)公司就顯得很明智了，這些公司可在任何雇員或客戶數(shù)據(jù)被交易時(shí)發(fā)出警報(bào)。

然而，與其他威脅監(jiān)視類似，僅僅獲得對(duì)威脅態(tài)勢(shì)的情況性了解，并不是解決方案。企業(yè)還需有充分的事件響應(yīng)與恢復(fù)控制措施及規(guī)程，以便能在憑證被盜時(shí)可以及時(shí)恰當(dāng)?shù)赜枰皂憫?yīng)，最小化攻擊造成的影響。