隨著數(shù)據(jù)安全逐漸得到重視��,以及最近頻繁曝出各種數(shù)據(jù)泄露事件�����,零零信安推出了“00SEC-D&D數(shù)據(jù)泄露監(jiān)測”產(chǎn)品���。同時,我們將多年前國外一場精彩的關(guān)于暗網(wǎng)和深網(wǎng)監(jiān)控的研討會進(jìn)行了整理和翻譯����,供甲乙方從業(yè)者參考��,以有助于更好地進(jìn)行數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊防御。為了便于閱讀�,我們將內(nèi)容進(jìn)行了適度編排。
王富貴如是說
王富貴:感謝“老安全公司”舉辦本次關(guān)于企業(yè)在深網(wǎng)和暗網(wǎng)情報(bào)方面無法取得卓越成效的十大原因的網(wǎng)絡(luò)研討會����。今天研討會中用到的材料包括,我為“老安全公司”的白皮書做調(diào)研的時候收集到的�����。同時很榮幸能夠和在深網(wǎng)和暗網(wǎng)情報(bào)收集方面有豐富經(jīng)驗(yàn)����,又是“老安全公司” CEO的李狗蛋進(jìn)行交流。在過去的10年里威脅不斷增加��,僅從攻擊的角度出發(fā)似乎不能應(yīng)對這種轉(zhuǎn)變��。因?yàn)槲覀冇袃r值的信息也很容易遭到攻擊����。
王富貴:那我們就開始吧!首先IBM的CEO曾公開表示“世界上對所有公司威脅最大的就是網(wǎng)絡(luò)犯罪”�。從企業(yè)運(yùn)營的角度來看,我傾向于贊同這個觀點(diǎn)�,盡管還會有行星撞擊或者類似的威脅���。但是毫無疑問的是,在過去的10年里��,網(wǎng)絡(luò)犯罪的數(shù)量��,數(shù)據(jù)記錄暴露的數(shù)量��,以及造成的經(jīng)濟(jì)損失都在不斷增加��。我們每天都能在新聞中看到類似的事情發(fā)生����,而且很不幸的是,我們很多人也都有過這樣的遭遇�,比如信用卡被盜或銀行數(shù)據(jù)被盜。不過�����,有一種方法可以防止這些事情的發(fā)生��。那就是我們今天要了解的深網(wǎng)和暗網(wǎng)威脅情報(bào)收集給我們帶來的好處���。
王富貴:在我自己的研究中����,我跟蹤收集了世界各地在IT安全方面的總體支出增長方面的數(shù)據(jù)��。以前我在Gartner擔(dān)任分析師的時候�����,Gartner將2003年整個網(wǎng)絡(luò)安全支出預(yù)估為25億美元��。到了2013年����,多數(shù)大型分析公司預(yù)測全球的網(wǎng)絡(luò)安全支出將達(dá)到740億美元,在10年間增長了17倍�����。在這10年里�����,我們已經(jīng)知道為什么會發(fā)生這樣的情況���。其中有外部的驅(qū)動因素���,就是威脅者們不斷提高博弈的水平����。威脅者們發(fā)現(xiàn)大多數(shù)在線業(yè)務(wù)都可以被利用�����,尤其是現(xiàn)在在線的數(shù)字資產(chǎn)越來越多����,在線功能也越來越多����。如今生活在大多數(shù)城市,人們使用打車軟件叫車�,使用軟件訂餐或預(yù)訂座位等?���;ヂ?lián)網(wǎng)給我們帶來的一切已經(jīng)深深根植于我們的生活之中,企業(yè)運(yùn)營也是一樣�。威脅者們也已經(jīng)鎖定這一點(diǎn),并正在利用這一點(diǎn)。
王富貴:所以在2004年到2005年間����,網(wǎng)絡(luò)犯罪成為了當(dāng)時最大的問題。為了打擊網(wǎng)絡(luò)犯罪��,我們也做出了很多的努力���。此后的幾年,隨著關(guān)于網(wǎng)絡(luò)間諜APT 1 活動報(bào)告的公布�����,國家也被卷入到這場博弈之中�����。而且之前�����,美國FBI還發(fā)布關(guān)于APT 6活動的警告通知�,很顯然自從2008年以來該機(jī)構(gòu)已經(jīng)深入美國聯(lián)邦政府內(nèi)部。當(dāng)然2013年以后����,人們也開始擔(dān)心國家的監(jiān)控����,國家的情報(bào)部門會花費(fèi)大量的預(yù)算入侵我們��,所以說有時候政府也是網(wǎng)絡(luò)入侵的參與者���。因此���,應(yīng)對如今的局面需要大規(guī)模的預(yù)算支出,我預(yù)計(jì)到2023年支出將會增長到6400億美元��,這意味著24%的復(fù)合平均增長率����。
王富貴:我們都在使用的防御技術(shù),其中大多數(shù)都被部署在企業(yè)環(huán)境中的某些地方���,但是這還不夠�����。我們得先了解為什么會這樣�。我們傾向于建立的防火墻和傳感器,這確實(shí)是有必要的��,但是仍有不足�����。因?yàn)槟悴恢滥愕膶κ窒胱鍪裁?��。你試著了解所有的IT資產(chǎn)����,再用以前的管理方法保護(hù)這些IT資產(chǎn)�����,如配置管理��、反病毒���、反垃圾郵件、反釣魚等���。然后試著在所有的移動設(shè)備上做同樣的事情�����,部署良好的訪問管理����、訪問控制,同樣也會在云上重復(fù)一遍這個過程�。
王富貴:目前大多數(shù)防御系統(tǒng)都依賴于“零號病人”的概念,例如世界上有人被攻擊了���,那么來自防病毒軟件或是入侵防御供應(yīng)商的龐大傳感器網(wǎng)絡(luò)��,在出現(xiàn)第一次攻擊之后����,創(chuàng)建攻擊特征信息����,并將這些信息共享至全世界,最終所有人都會受到保護(hù)���。但真正的危險(xiǎn)是如果“你就是零號病人”呢����?如果你成為第一個被攻擊的人?不幸的是���,如今這些都是正常的操作����,在這種情況下���,即使你獲得了過往所有攻擊手段的信息����,你仍然無法獲知自身被攻擊的事實(shí)�����。
王富貴:這個行業(yè)的規(guī)模在2023年將達(dá)到6400億美元����。我已經(jīng)對所有1450家網(wǎng)絡(luò)安全供應(yīng)商進(jìn)行了分類�,我發(fā)現(xiàn)他們主要分為幾大類,分別為網(wǎng)絡(luò)安全供應(yīng)商����、終端安全供應(yīng)商��、數(shù)據(jù)安全供應(yīng)商���、身份訪問與管理(IAM)供應(yīng)商��,以及治理風(fēng)險(xiǎn)和合規(guī)性(GRC)供應(yīng)商?���,F(xiàn)如今,網(wǎng)絡(luò)供應(yīng)商仍然是最大的部分�。目前有230家供應(yīng)商提供這些網(wǎng)絡(luò)安全產(chǎn)品,這些產(chǎn)品主要依賴于“零號病人”數(shù)據(jù)的有效性�����。終端安全供應(yīng)商我們都很熟悉��,我們對他們又愛又恨���。終端安全產(chǎn)品為我們提供防病毒的服務(wù)���,同時努力分析成千上萬的新數(shù)據(jù)包。而如果非要說一款不依靠于“零號病人”數(shù)據(jù)的��,那就是數(shù)據(jù)安全供應(yīng)商。
王富貴:在我最近發(fā)表的關(guān)于威脅情報(bào)的研究報(bào)告中����,我注意到很多不同類型的供應(yīng)商及其提供的威脅源信息都被稱為是威脅情報(bào)�����。然而這和我們今天要談到的威脅情報(bào)還是有非常大的不同��。這些供應(yīng)商只是打開威脅情報(bào)功能,防病毒軟件使用者們就可以通過在云上部署大量沙箱來產(chǎn)生威脅情報(bào)�����。然后分析大量郵件軟件�,從中提取出關(guān)鍵威脅指標(biāo)��,最后再把這些信息提供給他們的訂閱者����。而有一些是依賴于信譽(yù)情報(bào)反饋����,就比如一個網(wǎng)站上某個點(diǎn)被證明是惡意的�����,那么你就可以收集那些信息源�����,并阻止人們再次瀏覽�����。但是“老安全公司”和李狗蛋整個團(tuán)隊(duì)所做的深網(wǎng)和暗網(wǎng)的調(diào)查是具有前瞻性的���,主要是在攻擊者攻擊你的組織之前發(fā)現(xiàn)他們的行動����。所以你可以獲得應(yīng)對當(dāng)前威脅的可見性�。你必須為即將出現(xiàn)的潛在威脅做好準(zhǔn)備,并且有效地部署安全措施��,確保將錢花在刀刃上�。
王富貴:為什么不是所有人都能產(chǎn)出這樣的視角呢?因?yàn)橹荒芡ㄟ^在線渠道獲取��,因此想要拿到可執(zhí)行的威脅情報(bào)是極其困難的��。所以這和情報(bào)組織應(yīng)對宗教極端主義組織的威脅是類似的���。如果情報(bào)組織成員能夠接觸到信息渠道��,并能接收到談話內(nèi)容���、目標(biāo)定位、目標(biāo)提及的內(nèi)容�����、手段�����、方法和地理位置�����,那么他們就有了可以利用的東西�。這就是我們正在做的事情。我們正在努力獲取針對網(wǎng)絡(luò)攻擊的威脅情報(bào)���。
王富貴:我們將這些收集情報(bào)的地方稱之為深網(wǎng)和暗網(wǎng)���。接下來歡迎李狗蛋加入我們,讓他來告訴我們到底什么是深網(wǎng)和暗網(wǎng)�。
李狗蛋有云
李狗蛋:正如王富貴所說的,從深網(wǎng)和暗網(wǎng)獲取情報(bào)會帶來巨大的挑戰(zhàn)��。不過����,這也是我們目前也在不斷深入挖掘的地方??墒菑亩x上來看的話,深網(wǎng)和暗網(wǎng)也是互聯(lián)網(wǎng)的組成部分���,同時也是Google和Bing等搜索引擎無法觸及的地方�����。不過人們經(jīng)常將深網(wǎng)和暗網(wǎng)混為一談����。
李狗蛋:但是從定義的角度出發(fā),暗網(wǎng)只是深網(wǎng)和暗網(wǎng)中的一小部分�。暗網(wǎng)往往會得到最大關(guān)注。不過我們?nèi)匀荒軓纳罹W(wǎng)中收集到大量的信息和威脅情報(bào)�����。暗網(wǎng)需要你有一個特定的軟件包��,訪問存在威脅情報(bào)的地方�����。這往往是洋蔥網(wǎng)絡(luò)(Tor)��,我的意思是網(wǎng)絡(luò)也可以是I2P��。然而在公開網(wǎng)絡(luò)上�,也有大量的情報(bào),可以從pasto保護(hù)的論壇監(jiān)控�����。這也是我們花很多時間的地方�。在深層和暗網(wǎng)中還有其他的環(huán)境也是信息豐富的����,比如torrent和P2P生態(tài)系統(tǒng)�,以及互聯(lián)網(wǎng)相關(guān)聊天���。
李狗蛋:通過所有暗網(wǎng)和深網(wǎng)中不同的����、虛擬的�����、現(xiàn)實(shí)的漏洞����,不管是威脅者間的交流,黑市交易�、泄露的憑據(jù)、泄露的信用卡����、訪問敏感系統(tǒng)、售賣知識產(chǎn)權(quán)等���,信噪比都非常高��。這與我們在開放網(wǎng)絡(luò)中看到的形成了鮮明的對比�。當(dāng)你評估這些開放網(wǎng)絡(luò)中的信息時,你會掌握流行的脈搏�,比如賈斯丁·比伯的新歌是什么,萊昂納多·迪卡普里奧的新電影是什么���。但是如果你真的專注于更好地理解互聯(lián)網(wǎng)上的風(fēng)險(xiǎn)和威脅�����,你會明白人們針對深網(wǎng)和暗網(wǎng)采取的措施遠(yuǎn)遠(yuǎn)不夠����。
原因一:缺少語言和文化方面的專業(yè)知識
王富貴:接下來就讓我們來談一談為什么收集深網(wǎng)和暗網(wǎng)情報(bào)如此困難的10個原因�����,以及為什么你需要像是李狗蛋他們這樣的專業(yè)知識�����。第一�,你缺少語言和文化方面的專業(yè)知識��。比如你們是一家大型金融機(jī)構(gòu)��,網(wǎng)絡(luò)犯罪分子直接正在進(jìn)行買賣你們信用卡的對話�,你們可能會遇到的問題他們間的對話使用的并不是你熟悉的語言�����。
李狗蛋:沒錯王富貴���。我們真正談?wù)摰氖且粋€全球網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng),它是一個價值數(shù)十億美元的機(jī)器�����。在我們談?wù)摰狡滹L(fēng)險(xiǎn)如此之高時�����,每個人都想?yún)⑴c進(jìn)來�。當(dāng)我們在審視“老安全公司”組織的資源,以及外部威脅的情況時���,我們會發(fā)現(xiàn)威脅者們使用的語言是非常多樣化的����,有俄語、英文�����、波斯語�、西班牙語、法語��、德語���、甚至是巴哈撒語����。建立地下交易據(jù)點(diǎn)的網(wǎng)絡(luò)罪犯不乏一些高精尖��、高技術(shù)�����、強(qiáng)能力的人����。而現(xiàn)實(shí)卻是���,Google翻譯和Bing翻譯遠(yuǎn)遠(yuǎn)不能幫助你了解其中發(fā)生了什么。你可能上過語言學(xué)?�;蛘邔W(xué)習(xí)過第二外語���,但是你掌握的語言是比較書面的���。但是一旦你進(jìn)入這些地下?lián)c(diǎn),這里是一個完全不同的環(huán)境�����,在那里威脅者們會頻繁使用習(xí)語���、俚語等進(jìn)行交流。只有你完全沉浸其中�����,才能精通這些特殊的語言��,否則你根本無法了解他們在說的是什么�����。這就像是我在看我14歲的表弟發(fā)短信,他使用的也是英語�,但是我卻不知道他在說什么。
原因二:很難打入其內(nèi)部
王富貴:我知道我的英語很流利�����,但是有好幾次我溜進(jìn)黑客社區(qū)�,我還是不知道他們在說什么。隨著社會的發(fā)展�����,習(xí)語正在創(chuàng)造新的語言�。第二個原因,很難滲透進(jìn)已經(jīng)形成信任的環(huán)境中���。
李狗蛋:在深網(wǎng)和暗網(wǎng)中����,最大的困難是由他們自然的背景決定的����。無論是宗教極端主義組織論壇����、基地組織論壇�����,非法的東歐和東亞黑客���,還是惡意軟件和欺詐社區(qū)�����,都在社區(qū)的入口設(shè)置了密碼����,關(guān)閉注冊的入口��。并且都設(shè)置了虛擬的管理員�,他們老練且多疑��。如果你沒有推薦�,在社區(qū)中沒有聲譽(yù),那么你只會被拒之門外。所以說��,這就像前面談到的�����,你需要多年的努力���,來建立信任度����。而這又涉及到大量的復(fù)雜的技巧��,你需要具備相關(guān)領(lǐng)域內(nèi)的知識���、語言能力�,這樣才能讓你表現(xiàn)得像是核心圈子里值得信任的人���。
原因三:他們極其隱蔽
王富貴:仔細(xì)想想��,他們疑神疑鬼是有道理的�����,不僅研究機(jī)構(gòu)����,就連執(zhí)法機(jī)關(guān)也想被邀請加入進(jìn)去。這就引出了第三個原因�����,如果你不知道這些組織在哪��,那你根本就不可能加入他們���,甚至都不知道去哪能找到他們��。
李狗蛋:確實(shí)是這樣����!在現(xiàn)實(shí)中�,深網(wǎng)和暗網(wǎng)沒有目錄頁。如果你說你想了解��,深網(wǎng)和暗網(wǎng)中最重要的前10個東歐網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)是怎么樣的�����,本身就需要付出極大的努力�。你需要對深網(wǎng)和暗網(wǎng)中數(shù)百個虛擬的社區(qū)進(jìn)行分析和優(yōu)先級區(qū)分,這是一項(xiàng)非常具有挑戰(zhàn)性的任務(wù)�。這也引出了下一個問題,就是你在深網(wǎng)和暗網(wǎng)中發(fā)現(xiàn)了一個社區(qū)�����,那你如何了解你所監(jiān)控的信息是可信的����,值得你花費(fèi)時間呢?所以當(dāng)你在面對深網(wǎng)和暗網(wǎng)的復(fù)雜局面時���,分類和優(yōu)先級區(qū)分是另外一個層面的復(fù)雜難題�。
原因四:難以突破其防御系統(tǒng)
王富貴:即使你能順利找到他們�,但是想加入也并非易事對吧?因?yàn)樗麄儠⑵鹱约旱姆烙到y(tǒng)���!
李狗蛋:即使這些環(huán)境是對外開放的�����,你也必須建立一個不可歸屬的郵箱����。有時候他們也會要求提供其他的標(biāo)識符,以此來提高加入社區(qū)的難度�����。但是最值得注意的是����,如果我們發(fā)現(xiàn)一個重要的社區(qū),那么他們的注冊入口都是關(guān)閉的��。這些社區(qū)中的虛擬管理員的職責(zé)是確保沒有安全研究員進(jìn)入�����,沒有執(zhí)法人員進(jìn)入����,沒有破壞者進(jìn)入。他們對任何看起來不確定的事情�����,都非常敏感�����。因此在驗(yàn)證和審查的過程中��,可能會涉及許多事情����,比如在QQ、IRC或者Jabber等聊天媒介中與管理員進(jìn)行一對一對話���。還可能會識別你之前在其他論壇上的全部發(fā)帖歷史����,或者提交一個代碼樣本�����,亦或是由現(xiàn)有會員投票決定你的加入申請。如果你的加入申請沒有達(dá)到會員投票數(shù)的門檻����,那么很可惜����,你無法加入他們的組織����。
原因五:無法確定信息的可信度
王富貴:關(guān)于第5個原因��,你之前也提到過���,就是我們很難確定哪些信息是可靠的�����,哪些是垃圾信息。
李狗蛋:這是一個價值達(dá)到數(shù)十億美元的市場所帶來的必然結(jié)果。出于各種原因�,不少人覺得深網(wǎng)和暗網(wǎng)是一個非常不錯的地方。很多人通過對外虛假宣稱可以出售商品和服務(wù)����,并以此欺騙很多受害者���。這些受騙者還會很高興的以為獲得了潛在的信用卡�、憑證等��。以及只是為了想要加入這些環(huán)境的人����,而虛假的聲稱自己擁有的能力和訪問權(quán)限�����。因此你需要能夠解析這些數(shù)據(jù),并將精力集中在最重要和最有價值的信息上�����。數(shù)據(jù)量只是你在網(wǎng)絡(luò)中看到的一小部分干擾��,但這仍然非常具有挑戰(zhàn)性。它需要非常周到的分析框架和相關(guān)的專業(yè)知識��。接下來我們將會談到�,怎么解決這些干擾的數(shù)據(jù)��。
原因六:需要花費(fèi)大量人力物力
王富貴:這聽起來就需要大量人力物力才能完成��。
李狗蛋:大規(guī)模地完成這項(xiàng)工作當(dāng)然會花費(fèi)高昂。雖然你也可以只讓幾個分析師每天登錄到幾個論壇���,并進(jìn)行定期的觀察。但現(xiàn)實(shí)是,這還遠(yuǎn)遠(yuǎn)不夠�����。分析師們需要參與進(jìn)去,還從其中尋找新的黑客組織和新的技術(shù)�。但是在分析師的足跡之上����,技術(shù)也起到了補(bǔ)充作用��。接下來我們會重點(diǎn)討論這個問題��。當(dāng)我們把尋找擁有所需技術(shù)的專家����,可以推動技術(shù)授權(quán)的方式來挖掘和監(jiān)控深網(wǎng)和暗網(wǎng)的工程師,以及所有圍繞這項(xiàng)工作的基礎(chǔ)設(shè)施���,包括非歸屬手機(jī)��、可歸屬基礎(chǔ)設(shè)施等��,都結(jié)合在一起的時候�,我們會發(fā)現(xiàn)成本會增加得很快,并且非常令人生畏��。
原因七:危險(xiǎn)系數(shù)高
王富貴:接下來和我們說一說第7個原因——這么做是很危險(xiǎn)�����。
李狗蛋:這是互聯(lián)網(wǎng)上一個充滿荊棘的荒野角落,對于在網(wǎng)絡(luò)那端的對手來說���,這就是一項(xiàng)事業(yè)���。關(guān)于發(fā)生在張大錘(安全專家)身上的事情,以及他在報(bào)道網(wǎng)絡(luò)犯罪時����,遇到的黑客對手就是很好的例子。那些老練的���、資源豐富的惡意行動者可以采取各種不同的策略����,對那些他們認(rèn)為不應(yīng)該進(jìn)入他們領(lǐng)域的人進(jìn)行反擊�,包括劫持智能設(shè)備攻擊��、人肉搜索,甚至是給張大錘寄海洛因等�。這些都是非常真實(shí)的案例�����,而且會導(dǎo)致非常嚴(yán)重的錯誤發(fā)生���。當(dāng)然張大錘有足夠的資源來解決這些致命的事件�����?�?墒钱?dāng)你的網(wǎng)絡(luò)足跡被暴露,并且被發(fā)現(xiàn)你真實(shí)身份不是他們中的一員��,而是來自于一個財(cái)富100強(qiáng)的公司�。這樣的后果可能會非常嚴(yán)重。
原因八:人才稀缺
王富貴:你是從哪里找到擁有這些技能和能力的人�����,去做這類的研究呢����?
李狗蛋:毫無疑問的是,你是企業(yè)的一員���,還是解決方案供應(yīng)商的一員�����,這都是我們這一代身處網(wǎng)絡(luò)安全行業(yè)需要面對的問題���。可是一個不幸的事實(shí)是,擁有所需專業(yè)知識技能和語言專業(yè)知識的人才嚴(yán)重短缺�。雖然我很希望克隆每一個“老安全公司”的團(tuán)隊(duì)成員,但是這是不可能的����。但是我們需要做得更好,以填補(bǔ)人才空缺���,我們需要繼續(xù)跟上這一挑戰(zhàn)的步伐���。我們的對手在這方面扎得很深,需要我們有能力跟得上對手們的節(jié)奏,甚至是做到比他們領(lǐng)先一步�。因此填補(bǔ)所有的職位空缺是很有挑戰(zhàn)性的。
王富貴:我從調(diào)查中注意到��,其實(shí)很難找到這一類人�。因?yàn)榧词顾麄兣銮蔀?ldquo;老安全公司”工作,或者是為威脅和情報(bào)的組織工作�����,他們的檔案中也沒有相關(guān)的關(guān)聯(lián)��。而且他們也不能這么做�����。
李狗蛋:完全正確�����,這是一個隱秘的世界���。
原因九:缺少高效的工具
王富貴:第九點(diǎn)����,讓我們來談?wù)劄榱擞行У刈龅竭@一點(diǎn),你必須開發(fā)工具�。
李狗蛋:我們首先有一個認(rèn)識的基礎(chǔ),就是深網(wǎng)和暗網(wǎng)中的數(shù)據(jù)量與公開網(wǎng)絡(luò)中的數(shù)據(jù)量比起來是小巫見大巫�。但是仍然無法通過人工做到這一點(diǎn)�����,必須是人與機(jī)器相結(jié)合才行����。我和我的聯(lián)合創(chuàng)始人都是作為深網(wǎng)和暗網(wǎng)的分析師成長起來的。我可以非常直接的告訴你�����,沒有什么比試圖用人工的方式監(jiān)控深網(wǎng)和暗網(wǎng)更痛苦的了�。
李狗蛋:從打開多個Tor瀏覽器,管理不同站點(diǎn)的幾十個不同憑證��,再到識別這些線上和線下的站點(diǎn)�����。因此即使可以���,在深網(wǎng)和暗網(wǎng)中通過人工做歷史資料收集和調(diào)查是非常困難的����。而且你在這些論壇上進(jìn)行任何搜索都會受到管理員的密切監(jiān)控。如果你想全面地了解一個特定的問題����,你實(shí)際上已經(jīng)進(jìn)行了100次不同的搜索。
李狗蛋:簡而言之�,開發(fā)工具不僅能夠幫助內(nèi)部分析師,還能幫助客戶��,這是非常必要的�����。“老安全公司”的核心精神是如何將分析師團(tuán)隊(duì)作為偵察兵與這些網(wǎng)絡(luò)環(huán)境結(jié)合�,進(jìn)行識別、優(yōu)先級排序和獲得準(zhǔn)入權(quán)限����。而不是試圖雇傭上千人的團(tuán)隊(duì),坐在那里不斷刷新�����,尋找有趣且相關(guān)的動態(tài)。相反將他們與軟件開發(fā)團(tuán)隊(duì)配對���,以一種持久的方式自動化擴(kuò)展�,提高整個過程的效率��,以及盡可能降低整個工作的總體風(fēng)險(xiǎn)��。
原因十:時間緊迫
王富貴:最后�����,第十條理由�����,你自己做不到����。你不能等待�!那么迫切性是什么呢?
李狗蛋:我們看到越來越多樣化的目標(biāo)被鎖定�。數(shù)量遠(yuǎn)遠(yuǎn)超出了歷史目標(biāo),而且攻擊已經(jīng)成為付費(fèi)服務(wù)���。無論是醫(yī)療保健行業(yè)��、零售行業(yè)��、技術(shù)行業(yè)�、電信行業(yè),在地下社區(qū)都有一個普遍的共識�,有豐富的途徑可以收集到豐富的數(shù)據(jù)。這也激勵他們真正把眼光投向更廣闊的領(lǐng)域�。所以我們在過去6-12個月的時間里,看到的是深網(wǎng)和暗網(wǎng)威脅情報(bào)與一個組織的威脅風(fēng)險(xiǎn)管理計(jì)劃的相關(guān)性����,變得更加緊迫。
李狗蛋:這會涉及到很多團(tuán)隊(duì)�,無論是網(wǎng)絡(luò)威脅情報(bào)團(tuán)隊(duì)、欺詐團(tuán)隊(duì)����、專注于DLP的團(tuán)隊(duì),還是專注于行政保護(hù)和物理安全的團(tuán)隊(duì)�����,都可以從深網(wǎng)和暗網(wǎng)中收集多種不同類型的信息�。深網(wǎng)和暗網(wǎng)可以進(jìn)行多種應(yīng)用和使用����。我們還看到�����,組織已經(jīng)內(nèi)部化了對開放網(wǎng)絡(luò)的監(jiān)控�。如果你問2011年的網(wǎng)絡(luò)安全人員,為什么需要監(jiān)控開放網(wǎng)絡(luò)����?你得到的可能會是很多茫然的目光���。但是如果你今天問同樣一群人�����,每個人都會認(rèn)為開放網(wǎng)絡(luò)在整體安全運(yùn)營中���,扮演著重要角色。
李狗蛋:我們看到已經(jīng)有越來越多的組織對深網(wǎng)和暗網(wǎng)已經(jīng)有了相同的認(rèn)識和理解���。因?yàn)橄袷峭铺睾湍槙?���,給他們上了堂有價值的課。真正的威脅更大程度集中在深網(wǎng)和暗網(wǎng)中���。
互動
王富貴:很好����,我們現(xiàn)在了解了全部的10個原因�����。接下來�����,將由主持人和李狗蛋負(fù)責(zé)問答環(huán)節(jié)���,如果你有任何關(guān)于深網(wǎng)和暗網(wǎng)情報(bào)收集的問題都可以提問��。我可以回答任何關(guān)于我所研究的行業(yè)的問題��。接下來��,交給主持人���。
主持人:提醒一下��,大家如果有任何問題���,請?jiān)谖覀兤脚_上的網(wǎng)絡(luò)研討會上舉手,或者是在問題窗口輸入你的問題����。我們會根據(jù)提問回答問題。
王富貴:李狗蛋在等待期間���,我有個問題想問�。就像是我們說的�����,我們看到人們每天都在追求潮流����,對吧���?即使是在創(chuàng)業(yè)���,一旦發(fā)現(xiàn)了新的項(xiàng)目��,或者是有創(chuàng)業(yè)公司獲得了大量資金�。那么短時間內(nèi)���,就會涌現(xiàn)出大量創(chuàng)業(yè)公司����,用不同的方法去解決相同的問題��。所以在你追蹤的這個地下世界里�����,如果所有南加州的醫(yī)院都為了一個勒索軟件攻擊而支付了贖金���,那么論壇里的對話會迅速轉(zhuǎn)變成是“嘿���,有人知道我們可以攻擊的其他銀行和醫(yī)院嗎”?
李狗蛋: 歸根結(jié)底�,他們都是一些為了經(jīng)濟(jì)利益的人。在很多情況下,這是他們的全職工作��,他們高度成熟�,全身心投入,總是在尋找新的機(jī)會去施展他們的才能�����。他們其實(shí)和安全研究團(tuán)體們的做法非常類似����。就像是警察會深入剖析起訴書,從反間諜的角度入手�����,去了解執(zhí)法成功的時間�,打擊一個特定的犯罪的時間。為了達(dá)到同樣的目的��,他們也會采取類似的做法�����。他們會研究整個犯罪生態(tài)系統(tǒng)�����,研究攻擊活動��,研究存在漏洞和弱點(diǎn)的特定組織��,并從成功案例中尋找線索等���。
主持人:謝謝王富貴���,這里有一個問題,我來讀一下����。「問題是,你是否在積極地監(jiān)控I2P(匿名網(wǎng)絡(luò))�,以及你在哪些市場上發(fā)現(xiàn)了在出售的PII(個人身份信息)或者其他高風(fēng)險(xiǎn)憑證呢?」
李狗蛋:謝謝你提出的問題��。我們一直都在關(guān)注I2P(匿名網(wǎng)絡(luò))���,實(shí)際上我們“老安全公司”的首席科學(xué)家趙安全是I2P的發(fā)明者之一���,他對其中的技術(shù)有有獨(dú)到的了解和洞察。有機(jī)會的話,我會很高興能在線下聊一聊��,我們看到的相關(guān)信息����。I2P是一項(xiàng)新興的技術(shù),與我們在洋蔥網(wǎng)絡(luò)和透明網(wǎng)絡(luò)上看到的非法活動相比��,在I2P上還沒有看到大量的非法活動����。
李狗蛋:簡而言之,當(dāng)你審視深網(wǎng)和暗網(wǎng)時��,你會覺得這就像是一場貓鼠游戲��。生活中總會有新的技術(shù)出現(xiàn)����,總會有未知的東西出現(xiàn),而威脅行動者希望能夠利用這些新的技術(shù)等�����。在地下世界��,我們昨天看到了一些很有趣的討論�����。
李狗蛋:Whatsapp宣布他們正在對自己的app進(jìn)行通信加密�。隨著許多宗教極端主義組織在推特上的賬號被關(guān)閉,他們?nèi)绾螐耐铺剞D(zhuǎn)向Telegram變成了一件有趣的事情�。同開放網(wǎng)絡(luò)相比,我們會覺得深網(wǎng)和暗網(wǎng)的復(fù)雜性和難度是更大的����。開放網(wǎng)絡(luò)大都是設(shè)置它然后忘記它,比如你想插入推特的Firehose�,并使用它,你也是可以負(fù)擔(dān)得起�����。而且如果你愿意�,你可以插入更薄的API版本。即使是5年之后���,推特的API可能也不會有真正的變化����。可是在深網(wǎng)和暗網(wǎng)中�����,不法分子們總是在密切關(guān)注對手們的變化���,以此來調(diào)整他們的技術(shù)�,他們的環(huán)境�����,他們的TTPs���,并且嘗試著做到比對手更快一步����。
主持人:又有人提出了新的問題��,「這個問題是�,你如何評估暗網(wǎng)上賣家的可信度?」
李狗蛋:好問題���!所以我們會查看他們以前的發(fā)帖歷史���。從群體資源的角度來看����,深網(wǎng)和暗網(wǎng)是很有幫助的�����,他們通常是群體對特定個體的反饋��。此外��,我們還會讓這些人直接參與進(jìn)來���,通常是以線下的方式來更好地感受他們的可信度,以及他們所擁有的訪問權(quán)限的有效性��。然而最大的挑戰(zhàn)是�,某人為了特定的活動而創(chuàng)造的新身份和新“馬甲”。我們已經(jīng)看到在最近幾個月的時間里���,由于各種不可抵擋的原因�����,這些人為了某些活動選擇了放棄使用原來在深網(wǎng)和暗網(wǎng)中的身份��。他們會創(chuàng)建新的用戶名��,尋找和招募合作者����、共謀者或買家等,以獲得他們可能擁有的特殊權(quán)限��。
李狗蛋:這樣驗(yàn)證他們的可信度就更難了�����,因?yàn)槟銢]辦法查看他們以前的發(fā)帖歷史���,你無法從地下論壇和地下市場上了解他們的聲譽(yù)����。所以就需要有能力以線下的方式來評估他們的信譽(yù)度�����,在線下需要清楚知道需要問哪些問題����,或者是列出一個免費(fèi)的數(shù)據(jù)樣本等���。所有這些都可以作為評估的依據(jù)。不過需要再強(qiáng)調(diào)一次的是����,你需要掌握足夠的技能�����,以一種順暢和動態(tài)的方式來與他們進(jìn)行對話����。
王富貴:李狗蛋你的發(fā)言讓我思考了很多,非常感謝你讓你了解了什么是真正的深網(wǎng)和暗網(wǎng)威脅情報(bào)�����。
李狗蛋:王富貴很高興今天能與你交流���,感謝所有參加我們這次網(wǎng)絡(luò)研討會的人���。希望我們的討論對你們有所幫助��,也希望有機(jī)會能與你們進(jìn)行深入交流����。
免責(zé)聲明:市場有風(fēng)險(xiǎn)����,選擇需謹(jǐn)慎!此文僅供參考�����,不作買賣依據(jù)�����。
關(guān)鍵詞:
前5個月大連經(jīng)濟(jì)運(yùn)行延續(xù)穩(wěn)定恢復(fù)態(tài)勢|熱門看點(diǎn)
