想了解網絡犯罪?到暗網去吧
網絡罪犯鐘愛暗網,因為在那里無法追蹤他們或識別他們的身份。
了解你的敵人——知道他想干什么,他能干什么,他會對你造成怎樣的傷害的最佳方法,就是監視他。
據一些網絡犯罪專家所說,更簡單高效地做到這一點的方法之一,就是出沒于壞人干壞事的地方——暗網。
在Dark Reading的一篇近期文章中,SurfWatch實驗室創始人兼首席架構師杰森·波蘭希奇斷言道:“絕大多數公司手頭都已擁有依托其已有IT和網絡安全團隊開展低成本高回報的暗網情報活動的工具。”
這種數據挖掘活動,他寫道,可以在一天之內投入運行。
IT圈子里都知道,暗網是一個興旺的網絡犯罪市場,可以提供多種漏洞利用代碼、黑客雇傭服務、被盜個人數據和知識產權、垃圾郵件和網絡釣魚活動、內部威脅雇傭和其他更多黑暗服務。
得益于其隨機性、匿名性和加密性,暗網也是犯罪分子從事不法活動的一個相對安全的地方。
但僅僅因為難于追蹤單個罪犯并不意味著就不可能監視他們的行為。波蘭希奇寫道,暗網就是那個“找出可能已經被盜或被用來危害你的數據,改善你的整體安全態勢來堵住漏洞”的地方。
真的這么容易嗎?
KNOS計劃共同創始人兼惡意軟件專家凱文·邁克李維認為,“容易”這個詞并不確切。但“可能”肯定是可以的。
他說道:“大多數管理人員都會覺得干這事兒是‘浪費時間’而不愿去做,但這樣真的很有效。”
凱文·邁克李維,KNOS計劃共同創始人
他說這就是他前一份工作所做的事情之一——“跟到壞人的老巢,這樣就能先一步在他們發功之前弄清他們在謀劃什么。但這又是料敵先機中最為耗費時間的部分之一。”
企業安全初創公司ThreatStream首席研究員尼古拉斯·阿爾布萊特同意這種觀點。“很多人都覺得這些網絡迷霧重重,但靠著簡單的指南,任何人都能在看完一集《機器人先生》的時間內學會在這些網絡里沖浪。”
“監視中最困難的部分是真正學會去看哪兒。這些晦暗網絡中的很多站點都會周期性地更換地址或者下線。但是,一旦識別出一小撮此類網站,它們通常都會指引你找到別的。”
在勞動密集且不是總能產出有用情報上,他也與邁克李維觀點一致。在“漫漫”長日里,“你可能看不到任何價值。”他說,“而且,這一活動要求分析員總在電腦前。部署‘工具’去干這活兒沒有效果。爬蟲機器人會被檢測到,而且通常會被清除。”
弓峰敏,安全公司Cyphort共同創始人兼首席戰略官
其他人則對普通IT部門從事有效暗網監視心存疑慮,即使已經撥了這份預算。“收集原始信息本身不是平常瑣事。”Cyphort公司共同創始人兼首席戰略官弓峰敏博士說:“從原始數據中提煉出威脅情報也沒那么簡單。因此,盡管做這件事有好處,普通IT部門卻不能有效為之。”
這是因為,普通IT員工沒有這份專業技能,“而且想加快速度也是不容易的。”這需要對威脅和數據挖掘的深入理解,門檻可不低。
弗雷德·托切特,電子郵件和網頁安全公司AppRiver安全分析師。他就不那么猶豫,但他表示,分析得越深入,對專業技能的要求就越高。
“最初的高水平研究應該可以被任何熟知Tor(洋蔥頭路由器)實現技術的研究團隊輕易執行下來。一旦對Tor的實現機制和使用方法有了基本的了解,暗網就幾乎任你傲游了,盡管比普通互聯網要慢上許多。”
弗雷德·托切特,電子郵件和網頁安全公司AppRiver安全分析師
“而一旦研究越過被動范疇,進入到試圖找尋甚至購入樣本,事情就會變得花費高昂了。”他說,“基于具體的商家,有時候會有免費的樣本供應,但并不總是這樣。至此,同樣的工具和專業技能便會成為分析樣本的必需品了。”
無論覺得容易或困難,大多數專家都認為,企業為獲取威脅情報而監視暗網尚未成為主流。“我注意到技術研究員和開發者將之作為安全威脅監視的補充方式提出,但作為企業自身采取的行動還不太常見。”弓峰敏說。
不過,隨著更多的工具讓在暗網沖浪更方便,這種狀況有望發生改變。
胡阿·努爾米在Tor博客上寫道,他自2010年起便致力于開發Ahmia——一個Tor隱藏服務站點的開源搜索引擎。
還有埃里克·米肖,網絡和物理安全專業公司Rift Recon首席執行官,同時也是上周才成立的主推“暗網谷歌”搜索引擎的DarkSum共同創始人兼首席執行官。
米肖與弓峰敏觀點一致,財富100開外的大多數公司都不能對暗網進行有效監視。但他表示,采用像DarkSum這樣對暗網進行索引的搜索引擎,就能做到。“我們令暗網監視輕而易舉。”他說道。
邁克李維說他已經做到了這一點。“真正需要做的,就是部署幾臺機器根據感興趣的關鍵字列表爬取Tor網絡數據,然后順其自然。”
“一旦結果被送入來源與內容數據庫,人工分析師就可以啟動Tor瀏覽器來檢查爬蟲爬取的數據了。關鍵字越多,結果越龐雜,你用于翻找數據的人手越多,大海撈到針的機會也就越大。”
當然,暗網索引也不是靜態的。如邁克李維指出的,Tor網絡上的站點“常常幾小時或幾天就換一次地址,因此你得反復爬取以搜尋那些感興趣的網站,因為他們很可能在你上次爬取過后又換了地址。”
米肖同意此觀點,但也表示,跟上地址的變化是有可能的。盡管不愿談及他的公司所用的技術,“我們真的干得漂亮”,他說。
值不值得花費時間和金錢進行暗網監視也是論戰的一個議題。弓峰敏主張,盡管作為一個安全‘層級’很有用,卻不是那么容易可以做好的。“這需要高級基礎設施和技術技巧,而這兩者都不是能夠輕易部署的。企業IT部門獨立完成這事兒并不是特別至關重要或者承擔得起的。”
而且他還認為,“任何東西都不能代替對你自身網絡和資產的直接監視。”
但米肖稱,隨著暗網監視越來越簡單和便宜,它將成為安全操作中的必備一環。“企業被嚇到了,因為他們知道,如果他們不積極主動,他們將對數據泄露負責。”
“如果你僅僅是被動防御,等待你的將是糟糕的一天。”
原文地址:http://www.aqniu.com/neo-points/9609.html
