近年來(lái)，“暗網(wǎng)”已成為主流。過(guò)去，暗網(wǎng)市場(chǎng)的論壇、聊天室、工具等只在網(wǎng)絡(luò)犯罪分子和黑客之間流行，主要被捍衛(wèi)網(wǎng)絡(luò)空間安全的網(wǎng)絡(luò)執(zhí)法人員、安全專業(yè)人員所熟知。

[[326767]]

而今，暗網(wǎng)逐漸廣為人知，不僅在電影和電視節(jié)目中，甚至在迪斯尼動(dòng)畫片中(《Ralph Breaks the Internet》)都頻繁出現(xiàn)。暗網(wǎng)不僅在安全行業(yè)中炙手可熱，在普羅大眾中也變得名聲大噪。

許多人堅(jiān)定地認(rèn)為，監(jiān)測(cè)暗網(wǎng)是其安全運(yùn)營(yíng)的關(guān)鍵部分，安全行業(yè)很樂(lè)于助長(zhǎng)這一信念。盡管在某些行業(yè)、某些情況下，監(jiān)測(cè)暗網(wǎng)確實(shí)非常重要，因?yàn)榍閳?bào)可以幫助決策者制定消除威脅的戰(zhàn)略，但大多數(shù)人沒(méi)有意識(shí)到(安全行業(yè)不會(huì)告訴他們)的是，事實(shí)并非這么簡(jiǎn)單。

要了解哪些行業(yè)可以真正從暗網(wǎng)監(jiān)測(cè)中受益，我們必須首先了解暗網(wǎng)是什么，以及不是什么。

1.暗網(wǎng)是如何工作的

暗網(wǎng)不是由網(wǎng)站所在地定義的。雖然人們普遍認(rèn)為暗網(wǎng)只存在于TOR網(wǎng)絡(luò)上，但許多暗網(wǎng)實(shí)際都托管在常規(guī)服務(wù)器上，任何人都可以使用正確的URL訪問(wèn)，就像訪問(wèn)其他任何網(wǎng)站一樣。此外，盡管大多數(shù)人會(huì)將暗網(wǎng)定義為無(wú)法通過(guò)搜索引擎找到的網(wǎng)站，但實(shí)際上，如果你知道正確的關(guān)鍵字，是可以通過(guò)谷歌找到其中的許多網(wǎng)站的。

真正定義暗網(wǎng)的是訪問(wèn)它的內(nèi)容和訪客類型。畢竟，如果一個(gè)論壇是專門討論金融犯罪，并且充斥著網(wǎng)絡(luò)罪犯，那么它的托管地點(diǎn)和是否可以在谷歌上找到它，都無(wú)關(guān)緊要。內(nèi)容是決定因素，在大多數(shù)情況下，您可以在特定的暗網(wǎng)中找到的一個(gè)專門干壞事的區(qū)域。有專門聚焦網(wǎng)絡(luò)欺詐的暗網(wǎng)，專門討論特定網(wǎng)絡(luò)犯罪(如垃圾郵件或惡意軟件編碼)的暗網(wǎng)，以及專門針對(duì)圣戰(zhàn)或戀童癖等其他事物的暗網(wǎng)。

這些站點(diǎn)是網(wǎng)絡(luò)威脅潛在行為者相互聯(lián)系的平臺(tái)，因此它們通常有獨(dú)立的小圈子。暗網(wǎng)的網(wǎng)絡(luò)犯罪圈子和戀童癖圈子之間幾乎沒(méi)有聯(lián)系。每一個(gè)圈子都有一個(gè)特定的目標(biāo)——對(duì)圣戰(zhàn)分子來(lái)說(shuō)，這是發(fā)布和消化激進(jìn)觀點(diǎn)的渠道;對(duì)戀童癖來(lái)說(shuō)，是獲取齷齪素材的渠道。

對(duì)于網(wǎng)絡(luò)犯罪分子來(lái)說(shuō)，暗網(wǎng)讓他們實(shí)施犯罪更加便利。網(wǎng)絡(luò)犯罪是技術(shù)活，比如說(shuō)一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)釣魚攻擊，就需要技術(shù)基礎(chǔ)和多重因素的配合。暗網(wǎng)能讓犯罪分子迅速找到填補(bǔ)這些空白的伙伴。與其從頭學(xué)習(xí)如何編寫惡意程序，不如從暗網(wǎng)找一個(gè)已經(jīng)掌握該技術(shù)的人并付費(fèi)購(gòu)買。金融犯罪分子可以找到已經(jīng)獲得信用卡數(shù)據(jù)的人，購(gòu)買數(shù)據(jù)，而不是飛到一個(gè)個(gè)國(guó)家去用取款機(jī)實(shí)際竊取信用卡。暗網(wǎng)的社區(qū)是為了實(shí)現(xiàn)這些具體目標(biāo)而建立的，每個(gè)圈子都圍繞特定目標(biāo)運(yùn)行。

這就是為什么暗網(wǎng)監(jiān)測(cè)只作用于某些行業(yè)的原因。與網(wǎng)絡(luò)安全相關(guān)的暗網(wǎng)社區(qū)(主要是網(wǎng)絡(luò)犯罪社區(qū))，致力于讓其成員賺錢(盡管APT組織也在暗網(wǎng)中查找工具，但他們與這些圈子的聯(lián)系非常松散)。這些成員花了很多年來(lái)完善和磨練他們的技能，他們專注于能帶來(lái)穩(wěn)定收入的事情(比如發(fā)起勒索軟件攻擊或進(jìn)行欺詐性交易)，而非一次性的項(xiàng)目(比如入侵某個(gè)組織)，因?yàn)槊看稳肭置媾R的網(wǎng)絡(luò)和隨之而來(lái)的風(fēng)險(xiǎn)都不一樣。

盡管此類一次性項(xiàng)目在回報(bào)足夠大時(shí)的確會(huì)發(fā)生(他們擁有的數(shù)據(jù)是有價(jià)值的，很容易地轉(zhuǎn)化為金錢，比如信用卡數(shù)據(jù))，但整個(gè)社區(qū)的目標(biāo)是針對(duì)某些特定類型的組織，而你的組織很可能不在其中。

2.哪些行業(yè)從暗網(wǎng)監(jiān)測(cè)中受益

由于網(wǎng)絡(luò)犯罪分子的主要關(guān)注點(diǎn)是金融詐騙，因此銀行和信用卡發(fā)行商等金融服務(wù)公司可以從監(jiān)測(cè)暗網(wǎng)中受益匪淺。這不僅僅是監(jiān)測(cè)到與你所在組織相關(guān)的暗網(wǎng)交易，還包括學(xué)習(xí)欺詐者如何進(jìn)行工作，以便建立有效的反欺詐策略。

另一個(gè)在暗網(wǎng)監(jiān)測(cè)中受益的是在線服務(wù)行業(yè)。例如Facebook、Google、Uber、比特幣兌換商和賭博網(wǎng)站等，他們擁有許多消費(fèi)者，犯罪分子顯然有動(dòng)機(jī)發(fā)起入侵。大多數(shù)其他行業(yè)，如制造業(yè)、B2B服務(wù)公司或政府機(jī)構(gòu)，就沒(méi)有那么有利可圖。

當(dāng)然，潛在威脅者自然會(huì)試圖利用他們碰到的任何不安全的組織，畢竟送上門的大餐不吃白不吃，在圈子里賣內(nèi)部數(shù)據(jù)是有錢賺的。然而，在暗網(wǎng)中發(fā)現(xiàn)這種性質(zhì)的情報(bào)完全憑運(yùn)氣，是情報(bào)供應(yīng)商無(wú)法控制的。

這些組織在暗網(wǎng)上的大多數(shù)發(fā)現(xiàn)都是“員工憑證”—在數(shù)據(jù)泄露事件中獲取的該組織的員工憑證(網(wǎng)絡(luò)攻擊者訪問(wèn)敏感數(shù)據(jù)的最簡(jiǎn)單方法是破壞最終用戶的身份憑證，當(dāng)今的大多數(shù)網(wǎng)絡(luò)攻擊都源于憑證收集活動(dòng))。盡管監(jiān)測(cè)此類憑據(jù)可以獲得一些價(jià)值，但這仍然不足以成為采購(gòu)暗網(wǎng)監(jiān)測(cè)服務(wù)的理由。有些服務(wù)僅專注于員工憑證監(jiān)測(cè)，這些服務(wù)要便宜得多。

由于暗網(wǎng)監(jiān)測(cè)對(duì)許多公司而言，沒(méi)有太多有價(jià)值的發(fā)現(xiàn)，但為了體現(xiàn)出服務(wù)的價(jià)值，威脅情報(bào)供應(yīng)商經(jīng)常試圖用有關(guān)威脅和威脅參與者的通用報(bào)告來(lái)增加趣味性，但對(duì)公司并沒(méi)有實(shí)際的相關(guān)性和意義。

最后來(lái)自靈魂的拷問(wèn)：暗網(wǎng)監(jiān)測(cè)服務(wù)是否有可能發(fā)現(xiàn)一起重要的數(shù)據(jù)庫(kù)泄露事故?特別是對(duì)于一個(gè)通常不被網(wǎng)絡(luò)罪犯盯上的組織?

理論上答案是肯定的，但問(wèn)題是，發(fā)生這種情況的可能性有多大，花這么多錢來(lái)監(jiān)測(cè)暗網(wǎng)值得嗎?這些錢花在對(duì)組織更有效的安全解決方案(如網(wǎng)絡(luò)資產(chǎn)探測(cè)、漏洞掃描等)上是不是回報(bào)率更高?