“暗网”一词让人想起网络犯罪、间谍活动、毒品和枪支的阴暗网络世界。事实上,“暗网”网站只是以.onion结尾的网站,需要通过特殊的浏览器洋葱路由器(Tor)进行访问。
长期以来,网络安全公司一直在销售“暗网监控”套餐,每个套餐的含义都略有不同。
在许多情况下,从业者一直在努力寻找监控暗网的价值,特别是当供应商向他们推销一个综合软件包,但其价值与企业的安全需求不符时。
在其他情况下,企业可能认为自己规模太小,暗网监控没有价值,但在许多情况下,初创公司和其他小型公司因为规模较小而成为目标。
本文将探讨暗网监控的安全价值,特别强调为什么要监控。
暗网数据泄露监控
第一个也是最重要的区别之一是监视.onion网站和托管在这些网站上的文件。您是否曾收到过关于您的网站或应用程序凭据遭到泄露的警报?当威胁行为者攻破一项服务(或发现暴露的云存储桶!)时,他们通常会获得该服务的用户凭据的庞大数据库。
新的被破坏的凭据集以大文件的形式分布在名为BreachForums的暗网论坛和其他.onion网站上。
然后,其他威胁行为者就能够购买这些数据,并针对用户注册的其他可能的网站重放被破坏的凭据。例如,如果威胁行为者知道您最近在企业会计应用程序上使用了电子邮件地址和密码,他们可以在企业银行网站上尝试使用相同的凭据。
这种形式的监控是暗网监控最基本但也是最可操作的形式之一。
暗网论坛、市场和勒索软件监控
监控的下一个级别是收集和存档暗网网页的实际内容。这包括有关网络犯罪、策略、技术和程序的对话,以及威胁行为者正在出售的企业访问权限列表等内容。
这里真正的用例是针对复杂的企业,这些企业不仅需要识别泄露的凭据,而且希望主动了解网络犯罪生态系统及其演变方式。
监控暗网上的初始访问中介
在某些情况下,有机会阻止正在进行的攻击。例如,初始访问经纪人侵入公司,然后在专门的暗网论坛上转售获得的访问权限。识别您的企业或第三方是否有网络访问权限被出售,可以带来巨大的价值。
企业可以从暗网监控中获得的另一个关键价值领域是监控,在.onion网站上发现勒索软件博客。近年来,勒索软件组织越来越多地转向双重和三重勒索计划,旨在对受害者施加最大压力,要求其支付赎金。
因此,勒索软件组织现在会在加密前窃取数据,如果受害者不支付赎金,就会将数据发布到暗网泄漏网站上。
如果您是勒索软件的受害者,您很可能会知道,但许多企业在事发数周或数月后才发现第三方暴露了大量敏感文件。
监控赎金泄漏站点可能具有巨大的价值,特别是如果您的暗网监控平台可以解析文件档案并匹配单个文件名。
最后,俄罗斯市场也是2024年需要监控的重要来源。Russian Market是一个“窃取日志”市场,威胁行为者在此出售个人窃取日志。
窃取日志是信息窃取者恶意软件感染的结果,包括单个浏览器保存的所有凭据。
例如,我们建议监控对企业域的访问,以识别同时包含对企业凭据访问的列表。窃取者日志是2024年威胁行为者和勒索软件集团的首要载体。
扩展的暗网:监控Telegram、窃取者日志和网络犯罪生态系统的演变
网络犯罪生态系统不再局限于Tor上的.onion网站。威胁行为者现在经常使用Telegram等即时消息应用程序实施网络犯罪、出售数据并相互交流。
现在有数千个Telegram频道专注于Telegram上的银行欺诈、账户被盗、凭证盗窃和窃取者日志分发。
Telegram、其他社交媒体和P2P即时通讯应用程序绝对是网络犯罪生态系统增长的关键载体。
从数量、可操作性和安全价值来看,对窃取者日志生态系统进行全面监控是绝对必要的。估计5%-10%的窃取者日志拥有企业凭据,在某些情况下,CRM、企业银行账户、VPN和RDP访问权限已泄露到Telegram中。
暗网监控并不是“可操作性低”的销售噱头,而是有效信息安全计划的关键组成部分,可帮助企业识别对其网络安全态势的外部威胁。