對暗網的監視需要有多緊密?這取決于企業自身的安全能力與風險容忍度。

[[209985]]

最近幾個月，很多文章都在討論深網和暗網。必須指出的是，這兩者之間有極大不同。深網通常指的是搜索引擎沒有索引的網站，而暗網，則主要由需借助Tor之類軟件，或不可見互聯網項目(I2P)，才訪問得到的站點組成。

本文主要討論的是暗網，也就是新聞媒體描繪為互聯網藏污納垢之地的所在——任何愛惜羽毛的瀏覽器都不會去訪問。

雖然很多暗網網站專職買賣各種非法物品，比如毒品、武器甚至人體器官，我們仍需認識到，也有出于正面或法律原因而使用暗網的情況。比如說，強權政治體制下的活動家，就常要使用暗網來進行安全匿名通信。暗網也被當做推動和保護言論自由的理想平臺，尤其是對那些因表達自己觀點而面臨壓迫和殘害的人而言。

然而，盡管存在某些積極用例，暗網還是更常用于邪惡的目的。比如說，如果數據泄露中有信息被盜，那幾乎可以肯定，這些信息必將在暗網上售賣。此類信息的交換——可能包含客戶的個人信息、信用卡資料，甚至公司機密數據，正快速成為網絡罪犯的一大商機。

因此，企業和安全研究人員有必要關注暗網情況，及時獲悉有無與自身直接相關的信息在暗網上交易或討論。這方面，速度是關鍵，因為被盜憑證可快速倒手并用于盜取賬戶。然而，達到此類檢測所需的暗網交易可見性，卻是說起來容易做起來難。

獲得暗網可見性的挑戰

與深網類似，暗網也不能被搜索引擎爬取并索引，所以相關數據的查找，并非執行一條搜索引擎查詢指令那么簡單。暗網用戶必須手動識別具有相關信息的暗網節點。

感興趣的節點被發現后，下一步就是訪問節點。這又是一道障礙，因為站點往往不開放，需要用戶登錄才可以看到內容，且登錄不像主流網站那么簡單。為獲得會員資格，你必須通過相當徹底的審核過程，而這往往需要經由該網站現有可信老會員的引薦。

最后，語言障礙也會成為另一個大挑戰。暗網節點運營者使用的語言種類很多，如果他們采用的不是你熟悉的語言，溝通就會成為問題。

即便你成功跨越了上述深溝淺壑，暗網節點運營者也可能出于自身的考慮，而隨時撤回你的訪問權。比如說，他們可能會封禁疑為司法部門派來監視他們活動的用戶。

收集暗網數據

一旦獲得暗網節點訪問權，下一步就是獲得其上數據了。這一步與傳統威脅情報收集過程類似，都綜合了人的因素和技術因素。針對企業的大多數攻擊，通常都涉及賬戶或身份盜竊，這也是最受歡迎也最有用的信息類型，就是用戶憑證或個人可識別信息(PII)。暗網上監視并收集此類數據的典型步驟如下：

1. 解析

往往有大量數據需要被初步解析。這一步可用技術加以自動化，但仍需輔以人工驗證。

2. 標準化

解析之后，數據應被標準化，以便在后續過程中能方便地存儲和查詢。這也是刪除重復數據和不相關數據的好時機。

3. 驗證

數據標準化和去重過后，來一輪驗證過程以確保準確性是很明智的做法。

4. 精煉和豐富

到了這一步，數據已經基本可用了——盡管很多公司會選擇進一步精煉并豐富數據，添加可使數據與自家公司和風險概況更為相關的上下文信息。

企業如何保護自身

盡管暗網本身或許不對企業造成威脅，但其上被盜企業數據買賣的增多，也意味著企業越來越有必要找到辦法對暗網予以監視了。

對暗網的監視需要有多緊密?這取決于各家公司自身能力與風險胃納。不過，所有企業都必須遵循同樣的基本安全原則和最佳實踐：了解自身典型對手是誰，對手的動機是什么，哪種類型的數據是對手感興趣的。

由于監視和收集暗網數據耗時耗力，將這項工作外包給專業公司就顯得很明智了，這些公司可在任何雇員或客戶數據被交易時發出警報。

然而，與其他威脅監視類似，僅僅獲得對威脅態勢的情況性了解，并不是解決方案。企業還需有充分的事件響應與恢復控制措施及規程，以便能在憑證被盜時可以及時恰當地予以響應，最小化攻擊造成的影響。