暗网是互联网神秘危险的角落,暗网的匿名性特点已使其成为犯罪份子的理想活动场所。
企业和机构面临暗网的潜在威胁:新冠疫情大流行促使远程工作激增,暗网的网络凭据交易成为热潮。
暗网监控成防护必要环节:减少攻击潜在损害、减轻品牌形象损害,同时是合规性的必然要求。
暗网成为威胁情报重要来源:75%的漏洞在被列入国家漏洞数据库之前就已出现在暗网中。
自建暗网监控能力是一项比较有挑战的任务,需要掌握网络犯罪态势、访问暗网能力,以及监控暗网源的技术。
1. 前言
暗网的匿名性特点已使其成为犯罪份子的理想活动场所。例如,恐怖份子在暗网中招募恐怖组织成员、策划恐怖袭击。同时,暗网也是一个商品或服务的交易市场,如军火、毒品、色情制品、信用卡号码、社会保险号码、被窃取的用户凭证。尽管如此,许多政府和机构仍在积极地参与暗网的组建和融资。例如,维基解密提供了Tor隐藏服务,告密者可以匿名提交;纽约时报、Facebook和中情局也有自己的Tor隐藏服务;英国广播公司(BBC)最近也推出了自己的暗网,准备用在实行严格网络审查的国家和地区。
企业和机构正在处于暗网威胁的潜在风险之中。暗网中可以买到信用卡账号、被盗的用户凭证、黑客入侵的Netflix帐户和恶意软件等危害企业和机构的工具和服务。例如,花500美元购买50000美元美国银行账户的登录凭证,花500美元购买7张各自余额2500美元预付借记卡,花6美元购买一个Netflix永久高级帐户,甚至雇佣黑客帮攻击企业服务器。此外,英国萨里大学Michael McGuires博士在2019年关于《利润之网》的研究显示:自2016年以来,暗网中危害企业的黑名单数量增加了20%,并且60%的上市公司面临着暗网潜在的威胁。
2. 暗网:神秘危险的互联网角落
暗网是互联网神秘危险的角落,充满了争议、神话和骇事。上世纪90年代,“构建普通用户无法访问的秘密网络”的构想被提出来,为美国特工提供安全且不可追踪的通信渠道。这个项目快被放弃时,研究人员看到了匿名网络的潜力:它可以用来收集政治异见者和隐私活动家的特殊言论,并且能够保证安全通信。
暗网作为互联网的一部分,处于互联网的深层,与普通互联网服务一样,暗网中也包含众多网站和服务,但是使用了特殊加密技术刻意隐藏用户身份信息,通过常规的搜索引擎通常难以访问,具有通信和交易匿名性的特点。
根据公众的可访问性和搜索引擎的覆盖率的区别,可以将互联网大致分成公共网络、深网、暗网三个部分。其中,公共网络约占互联网的4%,能够被搜索引擎索引,任何有权上网的人都可以找到。深网是互联网的绝大部分,约占互联网的93%,由不向公众开放的网站组成,也不被搜索引擎索引。例如,受密码保护的网站、网上银行或私人网络。大多数深层网络可以通过普通浏览器访问,而暗网需要使用特殊的浏览器才能访问,其规模占互联网的3%。
3. 暗网的主要犯罪方式
如果正确使用,暗网会具有一定的积极意义。例如,暗网中有许多合法网站,可以被记者和执法人员用来收集匿名举报或揭秘信息。然而,它更多的是网络犯罪的代名词。当前,暗网中存在着22.5万个左右的网站、论坛等,只有使用像Tor这样的专业浏览器和搜索引擎才能访问,这些工具为进入暗网的用户提供完全的匿名性。
暗网的匿名性正在诱发越来越多的网络犯罪。为了达成不可告人的目的,黑客和欺诈在暗网中提供了许多形式的服务和信息,包括:
1)攻击工具:用来针对目标实施具体的网络攻击,以达到破坏目标信息系统机密性、完整性或者可用性的目的。例如,用来进行网络钓鱼的工具,或者勒索软件即服务(Ransomware-as-a-Service,RaaS)。
2)聊天室和论坛:用于针对攻击目标的情报交换、黑客技术培训等活动。
3)黑客雇佣:为那些不愿意自己学习网络黑客技术又想针对目标实施攻击的人提供了新的可能。
4)敏感数据出售:敏感数据包括个人信息数据或者公司的IP、源代码、公司信息和数字证书等数据,能够用于电信诈骗、网络诈骗等不法活动中。
4. 网络凭据交易成暗网热潮
新冠疫情的大流行促使远程工作激增,削弱了企业和机构的网络安全态势。攻击者已迅速适应新冠疫情的“新常态”,正在修改自己的攻击方式以从变化的环境中获利。暗网的企业网络凭据交易成为热潮。
网络安全公司Positive Technologies调查暗网市场发现,与企业网络登录凭证等相关信息的交易正在蓬勃发展。2019年第四季度,暗网市场企业网络凭证数据的交易数量开始有所上升,出售的数量就相当于2018年全年的总和。2020年第一季度,许多公司开始切换到远程办公的模式,暗网市场中销售企业网络登录的帖子数量比上一季度猛增了69%。2020年第一季度的升级表明,攻击者现在正专注于这种特殊的方法。值得注意的是,暗网出售的网络访问凭据还涉及政府实体、医疗机构、市政当局、住房协会等其他社会组织。
图1:暗网中讨论企业网络访问的趋势
这种热潮的主要原因在于,黑客自己进行非法网络访问会面临被发现的风险,且所获收益具有不确定性。黑客通过暗网出售“采矿权”则可以获得确定性的收益,且不会直接承担非法网络访问的风险。例如,“闪亮猎人”黑客组织参与了多起数据泄露事件,包括泄露Homechef、Minted和Styleshare等11家不同公司的7320万条用户记录。安全研究人员认为,该组织也是Tokopedia数据泄露事件的幕后黑手,泄露了9100万用户记录,并在黑客论坛上以5000美元的价格出售。
为了支持大规模的用户凭据数据交易,攻击者在实施攻击时的通常做法是设置专门数据库。将窃取的大量的用户凭据数据存储起来。这些数据库支持勒索软件攻击即服务(Ransomware Attacks as-a-service),能够帮助其他人从成功的入侵和数据泄露中获利。
首席安全官及其团队正在努力应对来自外部威胁参与者的攻击,但可能忽略了暗网上大规模的凭证窃取是如何发生的。这种凭证窃取可能是因为疏忽大意的IT团队错误配置了面向外部的数据库,导致其成为企业网络凭证泄露的数据源。从泄密的后果来看,数据是被直接被窃取还是通过未加保护的查找路径被获取,并没有区别。
5. 暗网监控成为安全防护的必要环节
人们或许会认为,暗网是企业面临的数字威胁的主要来源,但与流行的观点相反,暗网并不是企业数字威胁的主要来源。公共网络上出现的数字威胁远比暗网中的要多。尽管如此,暗网监控仍然具有现实意义,暗网主要是网络攻击的交流、协作和攻击工具查找的场所,包括论坛和聊天室、电子邮件和消息应用程序、博客和wikis以及对等文件共享网络。
5.1 暗网监控为企业机构提供保护
首先,暗网监控能够减少企业和机构的潜在损害。一旦有人窃取了企业和机构的员工凭证,特别是那些能够访问敏感数据的员工凭证,企业和机构将面临重大风险。暗网监控允许企业和机构对发现的任何被窃凭据发出预警,使IT或安全团队能够及时更改凭据密码,并查找使用被窃凭据破坏受控网络的迹象,这可有助于企业和机构在攻击发生之前采取阻断措施或者在攻击过程中控制损失。
其次,暗网监控减轻品牌形象损害。如果发生了泄露行为,企业和机构必须在了解相关情况之后尽快与客户沟通,否则可能会损害你的品牌形象。暗网监控服务可以有助于深入了解数据泄露事件的内容和原因,并向客户做出解释。在客户数据或凭证被盗的情况下,可以提出建议和相应的应对措施,如冻结客户的信用或更改个人密码。
最后,暗网监控是合规性的必然要求。根据通用数据保护条例(GDPR)等许多法律,企业和机构在数据泄露后有强制报告要求。如果不在适当的时间内报告,可能会导致灾难性后果和巨额罚款。暗网监控不仅有助于更快地开始调查,而且还可以向审计人员展示保护内部凭证和客户数据而采取的有力措施,以及发现潜在违规行为的能力。
5.2暗网监控是威胁情报重要来源
暗网习惯地视为各类罪犯的庇护所,但却为开展网络攻击和数据泄露防护、检测和预测的企业和机构提供了机会。企业与机构不能对暗网上的网站或市场采取措施,但在其中发现的信息可以用于应对公共网络上的网络攻击、网络钓鱼活动和被窃网络凭据。利用暗网的威胁情报,安全专家可以定期从公共网络上“删除”这些网站和帐户。
网络安全公司Recorded Future对美国国家漏洞数据库中的漏洞进行了研究,发现其中75%的漏洞在被列入国家漏洞数据库之前就已经出现在暗网中,漏洞从首次出现到发布到漏洞库之间的平均间隔为7天,25%的漏洞至少间隔50天,10%的漏洞超过170天,这使得攻击者具有了信息不对称的优势。因此,暗网监控能够用于及时的威胁情报的收集。
首先,暗网监控有助于网络安全团队及时发现信息系统漏洞。一旦基于凭证利用的泄露得到预警,网络安全团队就可以查找安全措施失败的地方了。如果发现攻击者利用未修补的漏洞,然后使用受损的凭据访问内部资源,则可以修补漏洞以阻止第二次攻击波。对于发现的供应商漏洞,可以用进行供应商风险评估和尽职调查。
其次,暗网监控有助于网络安全团队及时确定攻击手段。暗网是许多攻击者学习网络攻击和购买漏洞工具包的地方。暗网监控能够调查和理解黑客的方法和思维方式,对于网络安全专业人员制定应对策略至关重要。
6. 企业如何构建暗网监控能力
自建暗网监控能力是一项比较有挑战的任务,需要掌握网络犯罪态势、访问暗网能力,以及监控暗网源的技术。暗网监控能力构建主要包括自建和外包两种方式,需要经过识别暗网源、过滤暗网源和监控暗网源等三个阶段。
识别暗网源是为了罗列所有可能需要监控的暗网站点。这需要安全人员事先储备暗网的相关知识,然后根据知识查找Tor和I2P中潜在的站点、IRC和Telegram等聊天渠道或犯罪论坛的站点以及不限于暗网的复制站点。识别暗网站源可以利用现有的技术。例如,OnionScan可以帮助研究人员或调查人员识别和跟踪所有的暗网站点。Digital Shadows提供了7天的免费访问权限来检索暗网资源。
过滤暗网源是为了去掉对业务没有直接威胁的不相关来源。对于剩下的暗网源,需要根据安全团队的威胁模型,去找到具体的资产伪冒品或者泄露的网络凭证。这可能需要大量的人力,或着尝试采用自动化的技术。此外,为了确定价值更高的黑客论坛,网络安全团队可能需要额外的专业知识,确定访问位置并展开调查,以找到泄露的数据。有些暗网网站甚至需要谍报技术才能进入,这可能涉及到IP、网络邮件服务的白名单或者黑名单以及其他要求。
专家发现,暗网监控具有跟踪威胁、识别泄露凭证和发现欺诈的三个重要应用场景。通过专注于这三个场景,有助于让暗网监控更省时、更切合实际需要。
值得注意的是,要完成所有这些工作可能需要大量的努力、专业知识、时间和金钱。但是,只要有合适的人员和技术组合,这并不是一个缓慢而昂贵的过程。企业和机构可以采用数据泄漏防护(DLP)服务,确保敏感数据不会丢失、误用或被未经授权的用户访问。然后,配备合适的人员,企业和机构就可以以相对适中的成本防范网络攻击和数据泄露。
最后,对于那些只想专注于业务的企业来说,在内部构建和维护暗网监控是一项重大挑战,他们可以求助于拥有专业知识和暗网监控能力的外部安全公司。
关于作者
安未然,中科院信工所助理研究员、虎符智库特约作者,主要研究方向为计算机系统安全、安全大数据分析。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。