信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全牛”。

互聯(lián)網(wǎng)技術(shù)自誕生以來，已經(jīng)走過了漫長的發(fā)展道路，并已成為現(xiàn)代企業(yè)組織業(yè)務(wù)開展不可或缺的一部分。目前，大多數(shù)企業(yè)都會(huì)將保護(hù)組織的互聯(lián)網(wǎng)應(yīng)用及其中的數(shù)據(jù)資產(chǎn)作為一項(xiàng)優(yōu)先事項(xiàng)。但是，互聯(lián)網(wǎng)并非都是公開可見的，對(duì)于互聯(lián)網(wǎng)上神秘危險(xiǎn)的角落——暗網(wǎng)，很多企業(yè)都忽視了其中潛在的危害和風(fēng)險(xiǎn)。

統(tǒng)計(jì)數(shù)據(jù)顯示，當(dāng)前在暗網(wǎng)中已經(jīng)存在著接近30萬個(gè)左右的網(wǎng)站、論壇等，只有使用一些特定瀏覽器和搜索引擎才能訪問，這些工具為進(jìn)入暗網(wǎng)的用戶提供了天然的匿名性，使得暗網(wǎng)成為幫助網(wǎng)絡(luò)罪犯逃避執(zhí)法監(jiān)管的“避風(fēng)港”。

隨著暗網(wǎng)應(yīng)用的不斷發(fā)展，越來越多的企業(yè)開始處于暗網(wǎng)威脅的潛在風(fēng)險(xiǎn)之中。對(duì)于企業(yè)組織而言，在暗網(wǎng)上面臨的主要風(fēng)險(xiǎn)包括：

●數(shù)據(jù)泄露和盜竊：網(wǎng)絡(luò)犯罪分子會(huì)以在暗網(wǎng)上暴露的企業(yè)為重點(diǎn)攻擊目標(biāo)，竊取其敏感數(shù)據(jù)，包括客戶信息、財(cái)務(wù)記錄和知識(shí)產(chǎn)權(quán)；

●欺詐活動(dòng)：企業(yè)可能會(huì)在不知覺的情況下，成為暗網(wǎng)詐騙和欺詐活動(dòng)的受害者，導(dǎo)致經(jīng)濟(jì)損失和聲譽(yù)受損；

●品牌偽造：犯罪分子會(huì)利用暗網(wǎng)創(chuàng)建虛假的網(wǎng)站或社交媒體資料來冒充企業(yè)，損害其品牌形象并欺騙客戶；

●非法銷售活動(dòng)：暗網(wǎng)為非法商品和服務(wù)的銷售提供了一個(gè)平臺(tái)，比如毒品、武器以及被非法竊取的企業(yè)數(shù)據(jù)；

●與犯罪網(wǎng)絡(luò)產(chǎn)生關(guān)聯(lián)：任何與暗網(wǎng)產(chǎn)生關(guān)聯(lián)的企業(yè)往往會(huì)在不知不覺中與犯罪網(wǎng)絡(luò)聯(lián)系在一起，從而導(dǎo)致更嚴(yán)重的法律后果和商譽(yù)損失。

在此背景下，企業(yè)應(yīng)該盡快把全面監(jiān)控和了解暗網(wǎng)納入到組織整體的網(wǎng)絡(luò)安全防護(hù)能力建設(shè)中，了解企業(yè)當(dāng)前在暗網(wǎng)上存在的各種威脅，從而消除現(xiàn)有網(wǎng)絡(luò)安全建設(shè)的盲區(qū)。

開展暗網(wǎng)監(jiān)控的必要性

了解暗網(wǎng)威脅對(duì)于企業(yè)主動(dòng)保護(hù)其數(shù)字資產(chǎn)至關(guān)重要?，F(xiàn)代企業(yè)的安全運(yùn)營團(tuán)隊(duì)?wèi)?yīng)該盡快將新一代暗網(wǎng)監(jiān)控能力集成到現(xiàn)有安全系統(tǒng)，這種集成將大大增強(qiáng)組織的整體安全性，并加強(qiáng)了對(duì)來自暗網(wǎng)的潛在威脅的防御。將暗網(wǎng)監(jiān)控能力集成到企業(yè)現(xiàn)有安全系統(tǒng)中的好處具體包括：

●早期威脅檢測(cè)：暗網(wǎng)監(jiān)控允許企業(yè)及早發(fā)現(xiàn)漏洞和數(shù)據(jù)泄露。通過持續(xù)監(jiān)控暗網(wǎng)，企業(yè)可以確定他們的敏感信息，如登錄憑據(jù)或客戶數(shù)據(jù)是否已被泄露。這種早期發(fā)現(xiàn)使組織能夠立即采取行動(dòng)，防止進(jìn)一步的損害。

●防范網(wǎng)絡(luò)攻擊：通過整合暗網(wǎng)監(jiān)控，企業(yè)可以確定其組織是否成為了攻擊目標(biāo)，或者其數(shù)據(jù)是否在暗網(wǎng)上被出售。這種主動(dòng)的方法使組織能夠加強(qiáng)防御并保護(hù)其資產(chǎn)免受潛在的網(wǎng)絡(luò)攻擊。

●保護(hù)聲譽(yù)損害：如果敏感信息或客戶數(shù)據(jù)在暗網(wǎng)上泄露，可能會(huì)對(duì)企業(yè)聲譽(yù)造成嚴(yán)重后果。通過監(jiān)控暗網(wǎng)，組織可以快速識(shí)別和應(yīng)對(duì)任何潛在威脅，從而最大限度地減少聲譽(yù)損害并維護(hù)客戶信任。

●遵從數(shù)據(jù)保護(hù)法規(guī)：許多行業(yè)都有嚴(yán)格的數(shù)據(jù)保護(hù)法規(guī)，企業(yè)必須遵守這些法規(guī)。集成暗網(wǎng)監(jiān)控可以幫助組織滿足這些遵從性要求。通過積極監(jiān)控暗網(wǎng)，企業(yè)可以識(shí)別并減輕任何可能導(dǎo)致不遵守?cái)?shù)據(jù)保護(hù)法規(guī)的違規(guī)或泄漏。

●增強(qiáng)事件響應(yīng)：暗網(wǎng)監(jiān)控為企業(yè)提供實(shí)時(shí)警報(bào)，使他們能夠迅速響應(yīng)潛在的威脅。這種集成使組織能夠制定有效的事件響應(yīng)計(jì)劃，從而迅速降低風(fēng)險(xiǎn)，并將任何安全事件的影響降至最低。

●安全系統(tǒng)優(yōu)化：將暗網(wǎng)監(jiān)控集成到現(xiàn)有的安全系統(tǒng)中，確保全面的威脅檢測(cè)方法。它補(bǔ)充了其他安全措施，加強(qiáng)了組織的整體安全態(tài)勢(shì)。

將暗網(wǎng)監(jiān)控整合到現(xiàn)有安全系統(tǒng)中，可以為企業(yè)現(xiàn)有安全措施提供有價(jià)值的增強(qiáng)作用。通過整合暗網(wǎng)監(jiān)控工具和服務(wù)，企業(yè)可以主動(dòng)識(shí)別暗網(wǎng)上存在的潛在威脅和漏洞，保持領(lǐng)先于網(wǎng)絡(luò)犯罪分子，并采取必要的措施降低風(fēng)險(xiǎn)。

暗網(wǎng)監(jiān)控的關(guān)鍵要素

為了有效地監(jiān)控暗網(wǎng)，組織需要考慮諸多關(guān)鍵因素，這包括主動(dòng)監(jiān)視、可操作的情報(bào)、內(nèi)部協(xié)作和持續(xù)改進(jìn)等，其中：

1、主動(dòng)監(jiān)控對(duì)于發(fā)現(xiàn)暗網(wǎng)上的潛在威脅至關(guān)重要。它包括主動(dòng)搜索與組織、其員工和其資產(chǎn)相關(guān)的信息。通過保持領(lǐng)先地位，組織可以在潛在風(fēng)險(xiǎn)升級(jí)之前識(shí)別和處理潛在風(fēng)險(xiǎn)；

2、可操作的情報(bào)是有效的暗網(wǎng)監(jiān)控的一個(gè)基本要素。它包括收集和分析相關(guān)信息，以了解潛在威脅的性質(zhì)和嚴(yán)重程度。這種情報(bào)使組織能夠采取明智的行動(dòng)來降低風(fēng)險(xiǎn)并保護(hù)其資產(chǎn)；

3、在監(jiān)控暗網(wǎng)時(shí)，內(nèi)部協(xié)作同樣至關(guān)重要。它需要與內(nèi)部利益相關(guān)者（如IT和安全團(tuán)隊(duì)）以及外部合作伙伴（如執(zhí)法機(jī)構(gòu)和威脅情報(bào)提供商）密切合作。通過共享信息和資源，組織可以有效地提高檢測(cè)和響應(yīng)暗網(wǎng)威脅的能力；

4、持續(xù)改進(jìn)是有效監(jiān)測(cè)暗網(wǎng)的另一個(gè)關(guān)鍵要素。暗網(wǎng)不斷發(fā)展，新的威脅不斷出現(xiàn)。因此，組織必須不斷評(píng)估他們的監(jiān)控策略，更新他們的工具和技術(shù)，并調(diào)整他們的流程，以保持領(lǐng)先于不斷變化的威脅環(huán)境。

暗網(wǎng)監(jiān)控的常用工具

為了實(shí)現(xiàn)暗網(wǎng)監(jiān)控，組織需要利用一系列工具和技術(shù)來檢測(cè)和響應(yīng)潛在的威脅。這些解決方案使企業(yè)能夠主動(dòng)識(shí)別受損的憑據(jù)、泄露的數(shù)據(jù)和暗網(wǎng)上發(fā)生的非法活動(dòng)。以下是實(shí)現(xiàn)有效暗網(wǎng)監(jiān)控的5種常用工具和技術(shù)：

●暗網(wǎng)搜索引擎：專業(yè)搜索引擎使企業(yè)能夠掃描暗網(wǎng)中任何提及其組織、員工或敏感信息的內(nèi)容。這些搜索引擎提供了對(duì)潛在威脅和漏洞的有價(jià)值見解。

●威脅情報(bào)平臺(tái)：這些平臺(tái)從各種來源（包括暗網(wǎng)）收集和分析數(shù)據(jù)，以識(shí)別潛在的威脅和漏洞。通過監(jiān)控暗網(wǎng)，企業(yè)可以隨時(shí)了解新出現(xiàn)的風(fēng)險(xiǎn)，并采取積極的措施來減輕風(fēng)險(xiǎn)。

●憑據(jù)監(jiān)控服務(wù)：這些服務(wù)監(jiān)控暗網(wǎng)中與組織相關(guān)的任何受損憑據(jù)。通過及早檢測(cè)受損憑證，企業(yè)可以立即采取行動(dòng)，防止未經(jīng)授權(quán)的訪問和潛在的數(shù)據(jù)泄露。

●開源情報(bào)（OSINT）工具：OSINT工具從公開可用的來源（包括暗網(wǎng)）收集信息，以幫助企業(yè)識(shí)別潛在的風(fēng)險(xiǎn)和威脅。這些工具為了解在暗網(wǎng)上操作的威脅行為者的活動(dòng)和意圖提供了有價(jià)值的見解。

●網(wǎng)絡(luò)安全自動(dòng)化和編排平臺(tái)：這些平臺(tái)通過自動(dòng)化任務(wù)和與其他安全工具集成來簡化監(jiān)控和響應(yīng)過程。通過自動(dòng)化日常任務(wù)，組織可以將資源集中在分析和響應(yīng)真正的威脅上。

暗網(wǎng)監(jiān)控的策略編制

為了有效地保護(hù)自身的數(shù)字資產(chǎn)和敏感信息，企業(yè)必須制定一個(gè)全面的戰(zhàn)略來監(jiān)控暗網(wǎng)，主要包括以下步驟：

1.明確目標(biāo)：企業(yè)需要清楚地了解希望通過暗網(wǎng)監(jiān)控實(shí)現(xiàn)的目標(biāo)。這可能包括檢測(cè)被盜憑據(jù)、識(shí)別潛在威脅或監(jiān)控品牌聲譽(yù)。明確的目標(biāo)將有利于指導(dǎo)接下來的暗網(wǎng)監(jiān)測(cè)工作。

2.確定相關(guān)資源：要確定暗網(wǎng)上哪些資源與組織最相關(guān)。這可能包括論壇、市場(chǎng)、社交媒體平臺(tái)或發(fā)生非法活動(dòng)的其他渠道。通過關(guān)注這些來源，企業(yè)可以更好地識(shí)別潛在的風(fēng)險(xiǎn)和漏洞。

3.選擇正確的工具：選擇與企業(yè)暗網(wǎng)監(jiān)控目標(biāo)一致的技術(shù)工具和服務(wù)。市場(chǎng)上有各種各樣的暗網(wǎng)監(jiān)控解決方案，從自動(dòng)化平臺(tái)到托管服務(wù)，企業(yè)應(yīng)該選擇最適合組織需求和能力的工具。

4.建立監(jiān)控頻率：確定企業(yè)監(jiān)控暗網(wǎng)潛在威脅的頻率。根據(jù)企業(yè)所在的行業(yè)和風(fēng)險(xiǎn)概況，可以選擇每天、每周或每月進(jìn)行監(jiān)控。定期監(jiān)測(cè)對(duì)于保持前瞻性和識(shí)別新出現(xiàn)的風(fēng)險(xiǎn)至關(guān)重要。

5.建立響應(yīng)協(xié)議：為響應(yīng)任何已識(shí)別的威脅或破壞制定明確的協(xié)議。這應(yīng)該包括報(bào)告事件、進(jìn)行調(diào)查和減輕潛在損害的步驟。通過制定良好定義的響應(yīng)計(jì)劃，企業(yè)可以將任何安全事件的影響降至最低。

開展暗網(wǎng)監(jiān)控的常見問題解答

1

如何確保暗網(wǎng)監(jiān)控?cái)?shù)據(jù)的準(zhǔn)確性和可靠性？

為確保從暗網(wǎng)監(jiān)控中獲得的信息準(zhǔn)確可靠，企業(yè)應(yīng)遵循以下最佳實(shí)踐：

●使用信譽(yù)良好的暗網(wǎng)智能工具和服務(wù)：選擇在行業(yè)中有良好記錄的知名且值得信賴的提供商。這些工具和服務(wù)應(yīng)該有先進(jìn)的算法和技術(shù)來有效地收集和分析來自暗網(wǎng)的數(shù)據(jù)。

●實(shí)施穩(wěn)健的驗(yàn)證流程：對(duì)暗網(wǎng)數(shù)據(jù)進(jìn)行驗(yàn)證同樣至關(guān)重要。企業(yè)應(yīng)與其他可靠來源交叉引用數(shù)據(jù)，以確保其準(zhǔn)確性。這可以包括與執(zhí)法機(jī)構(gòu)、網(wǎng)絡(luò)安全專家或行業(yè)內(nèi)的其他可靠來源核實(shí)。

●進(jìn)行徹底的分析和驗(yàn)證：對(duì)獲得的數(shù)據(jù)進(jìn)行分析和驗(yàn)證，以確保其可靠性是必不可少的。這可能包括檢查獲得信息的背景，評(píng)估來源的可信度，以及評(píng)估任何潛在的偏見或不一致。徹底的分析和驗(yàn)證將幫助企業(yè)根據(jù)準(zhǔn)確可靠的信息做出明智的決策。

●了解最新的趨勢(shì)和技術(shù)：暗網(wǎng)不斷發(fā)展，網(wǎng)絡(luò)罪犯正在開發(fā)新的工具和技術(shù)。企業(yè)應(yīng)該跟上最新的趨勢(shì)和技術(shù)，以確保他們有效地監(jiān)控暗網(wǎng)并獲得準(zhǔn)確的信息。這可以包括參加行業(yè)會(huì)議，參加網(wǎng)絡(luò)研討會(huì)，并與網(wǎng)絡(luò)安全專家保持聯(lián)系。

2

開展暗網(wǎng)監(jiān)控對(duì)企業(yè)是否存在法律風(fēng)險(xiǎn)?

在進(jìn)行暗網(wǎng)監(jiān)控時(shí)，企業(yè)必須意識(shí)到潛在的法律影響。為了保護(hù)敏感信息和避免法律違規(guī)的后果，嚴(yán)格遵守?cái)?shù)據(jù)隱私法規(guī)要求至關(guān)重要。在訪問和使用從暗網(wǎng)獲得的信息時(shí)，還應(yīng)考慮道德因素。

企業(yè)需要考慮的一個(gè)重要方面是訪問和監(jiān)控暗網(wǎng)的合法性。雖然監(jiān)控暗網(wǎng)本身并不違法，但從事某些活動(dòng)或獲取某些類型的信息可能是違法的。企業(yè)必須了解并遵守其管轄范圍內(nèi)適用的法律法規(guī)。

另一個(gè)法律問題是個(gè)人資料的收集和使用。企業(yè)必須確保他們?cè)谑占吞幚韨€(gè)人信息時(shí)獲得適當(dāng)?shù)耐夂头梢罁?jù)。他們還應(yīng)采取適當(dāng)措施確保這些數(shù)據(jù)的安全并保護(hù)個(gè)人隱私。

此外，企業(yè)應(yīng)該對(duì)從暗網(wǎng)獲得的信息的來源和準(zhǔn)確性保持謹(jǐn)慎。在將數(shù)據(jù)用于任何目的之前，驗(yàn)證數(shù)據(jù)的真實(shí)性和可靠性非常重要。對(duì)虛假或誤導(dǎo)性信息的依賴可能導(dǎo)致法律問題，例如誹謗或侵犯知識(shí)產(chǎn)權(quán)。

最后，企業(yè)應(yīng)意識(shí)到傳播從暗網(wǎng)獲得的信息可能帶來的法律后果。未經(jīng)適當(dāng)授權(quán)共享敏感或機(jī)密信息可能導(dǎo)致法律訴訟，例如違反合同或侵犯商業(yè)秘密。

3

實(shí)施暗網(wǎng)監(jiān)控的挑戰(zhàn)是什么？

企業(yè)應(yīng)該意識(shí)到，監(jiān)控暗網(wǎng)存在一些技術(shù)上的限制和挑戰(zhàn)，其中包括訪問和瀏覽暗網(wǎng)的困難，暗網(wǎng)平臺(tái)本身的不斷發(fā)展，以及對(duì)熟練專業(yè)人員應(yīng)對(duì)潛在威脅的要求。

由于匿名性和加密措施的存在，訪問和瀏覽暗網(wǎng)時(shí)在技術(shù)上具有一定的挑戰(zhàn)性。它通常需要專門的軟件（比如Tor），以及對(duì)特定暗網(wǎng)URL或市場(chǎng)的了解。

此外，暗網(wǎng)是不斷變化的，網(wǎng)站頻繁出現(xiàn)和消失。這使得難以建立一致的監(jiān)測(cè)系統(tǒng)和跟蹤有關(guān)信息。

另一個(gè)挑戰(zhàn)是需要了解暗網(wǎng)運(yùn)作方式，并具有能夠有效監(jiān)控和應(yīng)對(duì)潛在威脅的熟練專業(yè)人員。監(jiān)控暗網(wǎng)需要網(wǎng)絡(luò)安全、情報(bào)收集和威脅分析方面的專業(yè)知識(shí)。擁有能夠篩選大量數(shù)據(jù)、識(shí)別潛在風(fēng)險(xiǎn)并采取適當(dāng)措施減輕風(fēng)險(xiǎn)的專業(yè)人員至關(guān)重要。

此外，需要特別指出的是，監(jiān)控暗網(wǎng)并不能確保完全的可見性或控制。暗網(wǎng)龐大而分散，這使得監(jiān)控所有活動(dòng)和識(shí)別潛在威脅極具挑戰(zhàn)性。難免會(huì)出現(xiàn)丟失關(guān)鍵信息或無法阻止某些活動(dòng)的風(fēng)險(xiǎn)。

4

如何優(yōu)先考慮和有效應(yīng)對(duì)通過暗網(wǎng)監(jiān)控識(shí)別出的威脅？

企業(yè)可以通過實(shí)施全面的威脅情報(bào)計(jì)劃，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，并建立強(qiáng)大的事件響應(yīng)計(jì)劃，有效地優(yōu)先考慮并響應(yīng)通過暗網(wǎng)監(jiān)控識(shí)別的威脅。

●實(shí)施全面的威脅情報(bào)計(jì)劃：通過使用先進(jìn)的工具和技術(shù)，企業(yè)可以收集有關(guān)潛在威脅的相關(guān)信息和情報(bào)，包括被盜憑據(jù)、敏感數(shù)據(jù)泄露和關(guān)于計(jì)劃中的網(wǎng)絡(luò)攻擊的討論。這些信息可以幫助確定優(yōu)先級(jí)并對(duì)最嚴(yán)重的威脅作出反應(yīng)。

●定期進(jìn)行風(fēng)險(xiǎn)評(píng)估：企業(yè)應(yīng)定期評(píng)估其數(shù)字資產(chǎn)的脆弱性和潛在風(fēng)險(xiǎn)。這包括識(shí)別其系統(tǒng)、網(wǎng)絡(luò)和流程中可能被威脅參與者利用的潛在缺陷。通過了解自身的漏洞，企業(yè)可以優(yōu)先考慮并分配資源，以解決通過暗網(wǎng)監(jiān)控識(shí)別的最關(guān)鍵的風(fēng)險(xiǎn)。

●建立強(qiáng)大的事件響應(yīng)計(jì)劃：有一個(gè)定義良好的事件響應(yīng)計(jì)劃對(duì)企業(yè)至關(guān)重要。該計(jì)劃應(yīng)概述在發(fā)生安全漏洞或網(wǎng)絡(luò)攻擊時(shí)應(yīng)采取的步驟。它應(yīng)該包括檢測(cè)、控制、根除和從安全事件中恢復(fù)的流程。通過準(zhǔn)備充分的事件響應(yīng)計(jì)劃，企業(yè)可以快速有效地響應(yīng)通過暗網(wǎng)監(jiān)控識(shí)別的威脅。

●及時(shí)和積極的行動(dòng)：企業(yè)應(yīng)該通過暗網(wǎng)監(jiān)控發(fā)現(xiàn)威脅后立即采取行動(dòng)。這可能包括修補(bǔ)漏洞、更新安全措施和通知相關(guān)的涉眾。及時(shí)和積極的行動(dòng)可以幫助防止或最小化安全漏洞或網(wǎng)絡(luò)攻擊的潛在影響。

●與執(zhí)法機(jī)構(gòu)和行業(yè)合作伙伴合作：企業(yè)應(yīng)與執(zhí)法機(jī)構(gòu)和行業(yè)合作伙伴合作，共享有關(guān)新出現(xiàn)威脅的信息和情報(bào)。這種協(xié)作可以幫助企業(yè)領(lǐng)先于潛在威脅，并采取主動(dòng)措施保護(hù)其資產(chǎn)。

5

企業(yè)開展暗網(wǎng)監(jiān)控的主要成本是什么？

企業(yè)實(shí)施和維護(hù)暗網(wǎng)監(jiān)控工作的相關(guān)成本取決于多個(gè)因素。這些因素包括組織的規(guī)模、所需的監(jiān)控級(jí)別以及所選擇的供應(yīng)商或服務(wù)提供者。

首先，組織的規(guī)模在決定實(shí)施和維護(hù)暗網(wǎng)監(jiān)控程序的成本方面起著重要作用。較大的組織通常有更廣泛的數(shù)字足跡，可能需要更全面的監(jiān)控。因此，他們可能需要投資于更先進(jìn)和復(fù)雜的監(jiān)測(cè)工具和技術(shù)，這可能更昂貴。

其次，企業(yè)暗網(wǎng)監(jiān)控的需求也會(huì)影響成本。一些企業(yè)可能會(huì)選擇基本的監(jiān)控，包括監(jiān)控暗網(wǎng)上提及其公司名稱或關(guān)鍵人員的信息。這種級(jí)別的監(jiān)測(cè)通常成本較低，因?yàn)樗^少的先進(jìn)技術(shù)和資源。另一方面，需要更廣泛監(jiān)控的企業(yè)（例如監(jiān)控被盜憑據(jù)或敏感數(shù)據(jù)）可能需要投資于更先進(jìn)、更昂貴的監(jiān)控解決方案。

最后，所選擇的供應(yīng)商或服務(wù)提供商也會(huì)影響成本。不同的供應(yīng)商提供不同的定價(jià)模型和數(shù)據(jù)包，成本也會(huì)相應(yīng)變化。對(duì)于企業(yè)來說，仔細(xì)評(píng)估和比較不同供應(yīng)商的產(chǎn)品以確保他們的投資獲得最佳價(jià)值至關(guān)重要。