遠離還是監(jiān)視?企業(yè)應該怎樣對待暗網

責任編輯:editor005

作者:nana

2017-11-13 14:44:20

摘自:安全牛

本文主要討論的是暗網,也就是新聞媒體描繪為互聯(lián)網藏污納垢之地的所在——任何愛惜羽毛的瀏覽器都不會去訪問。即便你成功跨越了上述深溝淺壑,暗網節(jié)點運營者也可能出于自身的考慮,而隨時撤回你的訪問權。

對暗網的監(jiān)視需要有多緊密?這取決于企業(yè)自身的安全能力與風險容忍度。

最近幾個月,很多文章都在討論深網暗網。必須指出的是,這兩者之間有極大不同。深網通常指的是搜索引擎沒有索引的網站,而暗網,則主要由需借助Tor之類軟件,或不可見互聯(lián)網項目(I2P),才訪問得到的站點組成。

本文主要討論的是暗網,也就是新聞媒體描繪為互聯(lián)網藏污納垢之地的所在——任何愛惜羽毛的瀏覽器都不會去訪問。

雖然很多暗網網站專職買賣各種非法物品,比如毒品、武器甚至人體器官,我們仍需認識到,也有出于正面或法律原因而使用暗網的情況。比如說,強權政治體制下的活動家,就常要使用暗網來進行安全匿名通信。暗網也被當做推動和保護言論自由的理想平臺,尤其是對那些因表達自己觀點而面臨壓迫和殘害的人而言。

然而,盡管存在某些積極用例,暗網還是更常用于邪惡的目的。比如說,如果數(shù)據(jù)泄露中有信息被盜,那幾乎可以肯定,這些信息必將在暗網上售賣。此類信息的交換——可能包含客戶的個人信息、信用卡資料,甚至公司機密數(shù)據(jù),正快速成為網絡罪犯的一大商機。

因此,企業(yè)和安全研究人員有必要關注暗網情況,及時獲悉有無與自身直接相關的信息在暗網上交易或討論。這方面,速度是關鍵,因為被盜憑證可快速倒手并用于盜取賬戶。然而,達到此類檢測所需的暗網交易可見性,卻是說起來容易做起來難。

獲得暗網可見性的挑戰(zhàn)

與深網類似,暗網也不能被搜索引擎爬取并索引,所以相關數(shù)據(jù)的查找,并非執(zhí)行一條搜索引擎查詢指令那么簡單。暗網用戶必須手動識別具有相關信息的暗網節(jié)點。

感興趣的節(jié)點被發(fā)現(xiàn)后,下一步就是訪問節(jié)點。這又是一道障礙,因為站點往往不開放,需要用戶登錄才可以看到內容,且登錄不像主流網站那么簡單。為獲得會員資格,你必須通過相當徹底的審核過程,而這往往需要經由該網站現(xiàn)有可信老會員的引薦。

最后,語言障礙也會成為另一個大挑戰(zhàn)。暗網節(jié)點運營者使用的語言種類很多,如果他們采用的不是你熟悉的語言,溝通就會成為問題。

即便你成功跨越了上述深溝淺壑,暗網節(jié)點運營者也可能出于自身的考慮,而隨時撤回你的訪問權。比如說,他們可能會封禁疑為司法部門派來監(jiān)視他們活動的用戶。

收集暗網數(shù)據(jù)

一旦獲得暗網節(jié)點訪問權,下一步就是獲得其上數(shù)據(jù)了。這一步與傳統(tǒng)威脅情報收集過程類似,都綜合了人的因素和技術因素。針對企業(yè)的大多數(shù)攻擊,通常都涉及賬戶或身份盜竊,這也是最受歡迎也最有用的信息類型,就是用戶憑證或個人可識別信息(PII)。暗網上監(jiān)視并收集此類數(shù)據(jù)的典型步驟如下:

1. 解析

往往有大量數(shù)據(jù)需要被初步解析。這一步可用技術加以自動化,但仍需輔以人工驗證。

2. 標準化

解析之后,數(shù)據(jù)應被標準化,以便在后續(xù)過程中能方便地存儲和查詢。這也是刪除重復數(shù)據(jù)和不相關數(shù)據(jù)的好時機。

3. 驗證

數(shù)據(jù)標準化和去重過后,來一輪驗證過程以確保準確性是很明智的做法。

4. 精煉和豐富

到了這一步,數(shù)據(jù)已經基本可用了——盡管很多公司會選擇進一步精煉并豐富數(shù)據(jù),添加可使數(shù)據(jù)與自家公司和風險概況更為相關的上下文信息。

企業(yè)如何保護自身

盡管暗網本身或許不對企業(yè)造成威脅,但其上被盜企業(yè)數(shù)據(jù)買賣的增多,也意味著企業(yè)越來越有必要找到辦法對暗網予以監(jiān)視了。

對暗網的監(jiān)視需要有多緊密?這取決于各家公司自身能力與風險胃納。不過,所有企業(yè)都必須遵循同樣的基本安全原則和最佳實踐:了解自身典型對手是誰,對手的動機是什么,哪種類型的數(shù)據(jù)是對手感興趣的。

由于監(jiān)視和收集暗網數(shù)據(jù)耗時耗力,將這項工作外包給專業(yè)公司就顯得很明智了,這些公司可在任何雇員或客戶數(shù)據(jù)被交易時發(fā)出警報。

然而,與其他威脅監(jiān)視類似,僅僅獲得對威脅態(tài)勢的情況性了解,并不是解決方案。企業(yè)還需有充分的事件響應與恢復控制措施及規(guī)程,以便能在憑證被盜時可以及時恰當?shù)赜枰皂憫?,最小化攻擊造成的影響?/strong>

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號