Maria+Korolov+杨勇

监控暗网，看看您的数据是否在被出售——这样做是有风险的，但会有解决方案和服务为您提供帮助。

Sonatype的宝贝是其描述的120多万个开源软件包的数据库。位于马里兰州的软件供应链管理公司Fulton的首席執行官Wayne Jackson说：“如果丢失了，那就要接受既成事实。”

为能够迅速堵上这类漏洞，Sonatype监视网络，以发现数据被盗和在网络上共享的任何迹象，包括对暗网的监控。

互联网的阴暗面实际上并没有那么大。媒体报道常常高估暗网的规模，把搜索引擎访问不到的所有东西都归结为暗网，也包括企业内部网和受密码保护的网站，例如在线论坛、银行网站和电子邮件平台等。

据美国联邦调查局报告，全世界只有大约800个犯罪互联网论坛。虽然其影响可能很大，但使用它们的人数往往没那么多。

2015年，PunkSpider网络漏洞扫描程序对匿名网络Tor进行了扫描，发现了大约7000个Tor网站，其中只有2000个是活动的。并非所有这些网站都是由犯罪分子运行的。那些生活在专制政权下的持不同政见者、安全意识很强的机构和公司，以及非常在乎隐私的个人也使用TOR、Freenet和不可见互联网项目，或者I2P。

对于有犯罪倾向的暗网站，不是所有这些网站都在企业InfoSec专家的兴趣范围内。位于美国弗吉尼亚州Reston的ThreatQuotient公司帮助企业收集和整理来自内部和外部情报源的数据，该公司战略高级副总裁Jonathan Couch说：“暗网中有很大一部分涉及贩卖人口和毒品交易等犯罪活动。我要说的是，这已经成为网络上绝大部分的非法交易，但不会影响企业网络。”

探索暗网的出发点

Reddit DarkNetMarkets超级列表

DarkNet现状

暗网市场Deep.Dot.Web列表

Onion subreddit

隐藏的Wiki深度网络链

Tor隐藏Wiki

另一个隐藏的Wiki

Grams搜索引擎

Ahmia搜索引擎

2015年，Trend Micro扫描发现在暗网上大约有8000个可疑站点，其中有近三分之一与公开网络上的恶意软件下载页面相连接。只有不到三分之一的是代理回避网站，帮助用户绕过学校、公司或者政府的过滤，其中四分之一与儿童色情有关。只有5%与黑客有关。

德克萨斯州Irving的Trend Micro公司首席网络安全官Ed Cabrera说，有些论坛已经被关闭了，其他的则变得更加细分和专业化。

在执法部门高调曝光这些网站之后，很多都加强了自己的安全措施。Cabrera说：“要想进入论坛，首先要接受审查。”

据Terbium实验室报告，让企业网络安全专家们感兴趣的论坛数量已经从2015年的几十个增加到现在的几百个，其中很多是非常专业的。虽然通常把暗网描述成冰山——显露出来的一小部分只是公开网络，安全研究人员感兴趣的那部分还在增长，但其规模仍然是可控的。

SurfWatch实验室创始人兼首席架构师Jason Polancich说，企业自己能进行暗网网络数据挖掘操作，一天之内就会见到效果。他说：“很多企业自己现有的IT和网络安全部门已经拥有开始低成本、高回报暗网智能操作的所有工具。很多大型企业要么已经开始了，要么已经在进行中。”

暗网监测和调查服务

然而，据ThreatQuotient的说法，对于大部分公司而言最好还是让别人去挖掘。他说：“从执法和其他角度来看，在黑网上进行交易有很多风险。”

一个更安全、更经济高效的方法是借助SurfWatch、Terbium和Recorded Future等供应商，由他们提供监测、索引或者提醒服务，帮助企业应对甚至不受暗网威胁。这些威胁可能是有人发布敏感的公司记录，讨论计划好的攻击，或者出售公司在用软件中的漏洞。

这些供应商开发的专门工具帮助他们收集这些数据，并把操作者隐藏到犯罪分子群体中。此外，供应商由于为大量的客户提供服务，因此对所发生的事情有更全面的了解。

据SurfWatch首席安全战略官Adam Meyer，像他们这样的公司在过去两年里已经提高了挖掘暗网的能力，能跟上形式的变化。他说：“商店开门关门，网站改变其网址，执法部门介入，网站散伙。这是一个流动的环境。”有时，网站关闭是为了摆脱他们的客户。

和犯罪分子做生意是一件冒险的事。一些暗网市场将自己定位为可信的经纪人，提供代管账户以保证交付和付款。Meyer说：“他们的用户越多，他们在代管方面挣的钱就越多。在某些时候，操作员看看银行账户，然后说，‘我们可以拿钱跑路。盗贼没有荣誉可言。”

与此同时，操作员会去架设新网站，或者有竞争对手进入，填补留下的空白。他说：“如果一个有1000名用户的市场突然关闭，那么这些用户一定会去其他地方。我们以人工的方式从新市场收集一段时间，看看是否有动力。如果有动力，并开始增长，我们将应用自动收集，开始自动挖掘。一旦这样做了10、15、100次，您就开始从自动化的角度、流量的角度来了解什么是可行的，并且会变得更高效。”

SurfWatch也花了两年的时间进行开发，使用自然语言处理等工具找出最感兴趣的信息，并将其提供给客户。他说：“例如，如果有某种凭证转储，您立即会看到有人索要副本，他们会利用它开始攻击公司——您可以看到这种对话马上就发生了。”

这一领域的另一家供应商Terbium实验室提供搜索服务——Matchlight，支持企业客户通过指纹来搜索专有信息。首席执行官Danny Rogers说：“这是一种盲搜索技术。我们赋予客户以自动方式搜索索引的能力，而不用向我们透露他们在搜索什么。”

Matchlight核心功能支持企业针对要监控的数据设立警报，例如客户名单和商业秘密等。他说：“他们越早发现数据被泄露，就能更快的做出反应，受到的破坏就越少。”

例如，如果扫描显示数据分布在合法而且守法的站点上，那么企业可以申请访问数据。如果数据是信用卡号码，那么在犯罪分子盗刷之前应尽快消掉这些数据。如果一家公司已经意识到有漏洞，他们可以找到并关闭它，以防止产生更多的损害。

一个使用Matchlight的客户是Sonatype，利用服务来监视其开源软件数据库的任何异常迹象。Sonatype的Jackson说：“我们最重要的资产是描述开源代码属性的元数据。”他说，在Terbium的帮助下，以私有、完全自动的方式几分钟内就能发现一个漏洞。

另一家供应商是位于马萨诸塞州萨默维尔的Recorded Future公司，可以根据企业部署的硬件和软件来创建指纹，然后在暗网上搜索从这些系统中发现的新漏洞——还可以寻找公司及其员工、IP地址或者电子邮件地址相关的信息。

然而，要找到这些信息越来越困难了，因为犯罪分子会非常聪明的去掩盖他们的行踪。Recorded Future公司的高级采集总监Andrei Barysevich说：“他们都很清楚，几乎所有大公司都以某种方式或者与不同的供应商合作，在暗网上搜索这类数据。我们很少看到公开宣传的数据是真正有价值的。”

相反，犯罪分子进行一对一的交易，建立了由可信伙伴组成的圈子。他说，“此时就可以把人安插进去。我们那些深深渗透到这些群体中的分析师和代理们从卖家那里直接得到消息，知道哪些信息可以出售。”

Maria Korolov——特约撰稿人，过去20年一直涉足新兴技术和新兴市场。

原文网址：

http：//www.csoonline.com/article/3205924/data-breach/is-your-data-being-sold-on-the-dark-web.html