介绍 暗网情报市场已成为全球网络安全领域的重要组成部分。2023年,暗网情报市场规模达到5.203亿美元,预计到2032年将大幅增长至29.218亿美元,预测期内复合年增长率预计为21.8%。这种强劲增长是由多种因素推动的,包括在线欺诈活动数量的增加以及大型企业和IT和电信等行业(代表着最大市场份额)越来越多地采用暗网情报解决方案。网络犯罪分子的手段日益复杂,并且由于大型企业拥有广泛的资产和品牌声誉他们有针对性地攻击这些企业,这突显了对先进暗网情报解决方案的迫切需求。
基于云的部署模式具有可扩展性、灵活性和成本效益,允许在全球范围内远程访问和协作情报数据,因此市场对这种模式的需求也在激增。北美洲在市场中占据主导地位,这是因为北美洲高度依赖物联网(IoT)设备,网络犯罪率不断上升,各行各业广泛采用暗网情报解决方案来保护数据和知识产权。
最近,网络安全领域发生了一些引人注目的并购事件,目的是提高能力和扩大市场占有率。例如,Delinea收购了Authomize,以增加身份威胁检测和响应技术。同样,惠普企业(Hewlett Packard Enterprise)以140亿美元收购瞻博网络(Juniper Networks),标志着网络设备领域的重大扩张。其他重大交易包括HID收购ZeroSSL,增强了网站通信安全;SentinelOne收购PingSafe,引入了云原生应用保护平台功能。这些举措凸显了巩固专业技术和拓宽网络安全解决方案的趋势。
要点 2023年,暗网情报市场规模飙升至5.203亿美元,预计到2032年将飙升至29.218亿美元,2023年至2032年间的复合年增长率(CAGR)将高达21.8%。 根据4iQ的数据,2022年暗网上被盗的账户凭据比前一年激增82%,达到惊人的150亿个。 根据Sixgill的报告,身份盗窃占暗网上受监控活动的65%以上,信用卡欺诈紧随其后,占15%。 根据Sixgill的报告,包含信用卡信息的卡转储的可用性比2021年增加了6%,在2022年超过1.92亿张,平均信用额度为8700美元。 根据Chainalysis的数据,暗网上的加密货币交易量比2020年的水平几乎翻了一番,在2022年价值达到近250亿美元。 2022年,针对完全修补的iPhone 13的漏洞在暗网论坛上以250万美元的惊人价格售出。 根据DarknetStats的数据,2022年暗网上的药品销售额猛增约15%,交易额估计达17亿美元。 据网络安全公司Digital Shadows报告,2022年在明网、深网和暗网上发现了15000多起数据泄露事件,暴露了近3PB的数据。 北美地区引领全球暗网情报市场,占据36.7%的主要收入份额,2023年需求价值达1567亿美元。 暗网情报统计 2022年,约52%的美国企业制定了暗网威胁情报政策,这表明他们对网络安全风险有了深刻的认识。 外包给专注于暗网的专业服务提供商是监控暗网威胁的主要方法,这表明网络安全措施对外部专业知识的依赖。 16.8%的受访者可以通过TOR直接访问暗网,这突显了有可能接触隐藏在线活动的个人比例相当高。 卡巴斯基数字足迹情报专家观察到,在2022年1月至2023年11月期间,平均每月有1731条暗网信息涉及企业内部数据库和文件的销售、购买和分发,在此期间,总计有近40000条信息。 从2022年1月到2023年11月,有超过6000条暗网信息发布了访问企业基础设施的广告,月均信息数量从2022年的246条增加到2023年的286条,增幅达16%。这表明,向企业提供预先存在的访问权的广告呈上升趋势。 2022年,在随机抽取的700家公司中,有233家公司在与数据泄露或账户受损有关的暗网帖子中被提及,这表明约有三分之一的公司面临着来自暗网的网络威胁。 NICE Actimize使用暗网智能提供有关受损客户帐户的真实、可操作的数据,帮助主动防御欺诈和金融犯罪。 身份欺诈和账户接管数据源包括姓名、电子邮件地址、电话号码、IP地址或SSN等详细信息,以便在账户被接管发生之前识别高风险客户。 受损支付卡数据源包含被网络犯罪分子获取或在暗网上交易的高欺诈风险借记卡、预付卡、信用卡和礼品卡。 用例 暗网情报在网络安全方面发挥着至关重要的作用,它能让企业深入了解潜伏在互联网隐蔽角落的威胁。利用这些情报可以通过各种用例大大增强组织的安全态势。以下是一些关键应用,并得到行业研究结果和专家见解的支持:
在使用前检测并减少暴露的凭据: 暗网智能的主要用途之一是识别暴露的凭证。由于暗网中流通着数十亿份凭证,企业可以通过监控这些凭证的存在,主动发现并减少潜在的漏洞。这不仅有助于防止凭证填充攻击,还有助于防止未经授权的访问。
监控内部威胁: 内部威胁,无论是恶意的还是意外的,都可能导致重大的数据泄露。通过监控暗网论坛和市场,企业可以发现是否有内部人员试图出售访问权限或敏感信息。这种早期检测可以让企业迅速采取行动,从而有可能在数据泄露发生之前阻止其发生。
检测勒索软件转储网站列表: 随着勒索软件的兴起,攻击者不仅加密数据,还威胁要在暗网上发布这些数据。通过监控这些转储网站,企业可以对涉及其数据的违规行为发出警报,从而更快地做出反应,减轻损失。
漏洞和漏洞利用聊天监控: 暗网是讨论漏洞和漏洞利用的温床。监控这些对话可以为组织提供有关新漏洞和零日威胁的信息,使其能够在攻击者利用这些弱点之前修补系统。
消除初始访问代理(IAB): IAB 通过出售被入侵系统的访问权限,为网络攻击提供便利。通过监控 IAB 的活动,企业可以发现并解决系统中存在的、可能被这些经纪人利用的漏洞。
品牌监控: 监控开放源和社交媒体渠道中对您品牌的提及,可以发现依赖社交工程而非软件漏洞的微妙威胁。这包括识别可能损害企业声誉或导致数据泄露的恶意资料或链接。
明网、深网和暗网监控: 从互联网的各个角落收集情报,包括明网、深网和暗网,对于全面的安全战略至关重要。这使企业能够随时了解在这些隐藏空间中讨论或交易的新威胁和漏洞。
主要参与厂商分析 Searchlight Cyber Searchlight Cyber是暗网情报行业的知名企业。该公司最近采取了重要措施来扩展其能力并改进其产品。其中一项措施是在其DarkIQ平台中引入了一项新功能,增加了4500亿个曝光数据点。这一改进的目的是通过提供清晰、深度和暗网数据曝光的全面视图,帮助企业更有效地识别和应对威胁。
除此之外,Searchlight Cyber还推出了暗网中心(The Dark Web Hub),这是一个为网络安全和执法专业人员提供暗网教育的在线平台。该中心提供有价值的信息,包括对暗网网站的见解,并提供播客和视频等资源,以帮助打击暗网犯罪。
ZeroFox ZeroFox公司是外部网络安全领域的领先组织,通过其先进的威胁情报和网络安全解决方案为暗网情报领域做出了重大贡献。该公司以其识别社交媒体和其他数字平台风险的能力而闻名,通过与著名的数据泄露响应服务提供商IDX合并,实现了大幅扩张。此次合并旨在通过与L&F Acquisition Corp的SPAC交易创建一个公开交易实体,从而使ZeroFox公司能够提供全面的外部威胁防护和违规响应服务。这一战略举措预计将增强ZeroFox在网络安全市场的影响力,改善其为近2000家客户提供的服务及产品,其中包括《财富》杂志前10强中的5家。
2021年,ZeroFox收购暗网威胁情报公司Vigilante。除了收购IDX、Vigilante之外,ZeroFox还通过收购LookingGlass Cyber Solutions, Inc.(外部攻击面管理和全球威胁情报领域的创新企业)进一步扩大了其网络安全产品组合。此次收购于2023年4月完成,不仅巩固了ZeroFox在外部网络安全市场的地位,还增强了其平台的先进攻击面情报能力。LookGlass与ZeroFox运营的整合旨在提供无缝的客户体验,同时为客户、员工和股东带来宝贵的利益。通过这些战略扩张,ZeroFox正在提高其平台抵御各种外部网络威胁(包括网络钓鱼、欺诈和帐户劫持)的功效,从而重申其在快速发展的网络环境中保护数字资产的承诺。
DarkOwl DarkOwl一直在积极提高其暗网情报能力,并取得了一系列重要进展,体现了其致力于提供先进网络安全解决方案的承诺。2023年5月,DarkOwl推出了一个新的威胁情报平台,旨在提供有关暗网活动和威胁的最新见解,展示了其对积极主动的网络安全措施的承诺。在此基础上,DarkOwl于2023年10月与一家领先的网络安全公司合作,提供综合暗网监控和事件响应解决方案。这一合作将加强公司对外部网络威胁的全面保护。此外,2023年12月,DarkOwl获得了1500万美元的A轮融资,这将加速其产品开发和市场拓展工作,彰显DarkOwl的创新解决方案在网络安全领域获得了越来越多的认可。
尽管全球经济低迷,但根据Chainalysis的最新2024年加密货币犯罪报告,暗网市场在2023年出现复苏,收入超过17亿美元。
尽管面临全球经济衰退低迷,但加密货币行业在2023年见证了暗网市场活动的大幅复苏。根据Chainalysis最新的《2024年加密货币犯罪报告》(点此获取),这些暗网地下市场的收入总计超过17亿美元,标志着已经从上一年以来执法行动造成的干扰中强劲复苏。
俄语暗网市场Hydra关闭后,暗网市场的复兴 2022年,最大的暗网市场Hydra被取缔后,规模较小、专注于细分品类市场的平台出现了。这些市场迅速适应,填补了Hydra消失后留下的空白,并大幅提高了他们的收入。处于领先地位的巨型暗网市场(Mega Darknet Market)是其中的佼佼者,加密货币流入量已超过5000亿美元。尽管出现这种激增,但暗网市场的总体收入尚未达到Hydra运营期间观察到的峰值水平。Chainalysis网络犯罪研究主管Eric Jardine指出,当前的市场动态与SilkRoad和AlphaBay关闭后的市场动态相似,利基市场积极争夺主导地位。
执法力度加大,新型诈骗层出不穷 2023年,美国外国资产控制办公室(OFAC)的与加密货币相关的制裁也在不断升级,使上一年的制裁总数增加了一倍,达到18项。这些制裁针对的是参与非法活动的个人和实体,其中很大一部分交易与受制裁的地区或参与者有关。尽管做出了这些努力,Chainalysis的报告还强调了加密货币犯罪性质的转变,传统诈骗的收入显着下降,但“杀猪盘”诈骗的收入却急剧增加,这种诈骗越来越普遍,也越来越有效地利用了受害者的信任。
展望未来:挑战与机遇 研究结果凸显了加密货币领域网络犯罪不断演变的本质。虽然整体诈骗收入的下降是一个积极的信号,但暗网市场活动的增加和新诈骗类型的复杂性带来了巨大挑战。Jardine强调用户需要保持警惕,并倡导公共和私营部门实体之间采取合作方式来减轻这些风险。随着数字环境的不断发展,网络犯罪分子所采用的策略也会不断变化,因此持续的警惕和适应对于维护更安全的网络环境至关重要。
2023年暗网市场的复苏和加密货币相关犯罪的演变凸显了技术进步与犯罪创新之间复杂的相互作用。随着当局加强执法力度,社会各界对骗子所使用的伎俩有了更深刻的认识,数字前沿仍然是打击网络犯罪的一个备受争议的战场。
2023年底,“数世咨询”公众号发布了《2023年数据泄露态势报告》,该报告称基于零零信安0.zone安全开源情报平台,对2023年深网和暗网数据泄露情报进行采集分析,为未来采取有效措施提供有价值的参考,该报告细数了对中国危害最大的前十大暗网网站,其中包括两大中文暗网网站。
报告称,深网和暗网中数据买卖活动与去年相近,呈现较平稳态势。2023年全球深网、暗网中的各类网站已达万余个以上,包括黑客论坛、交易市场、暗网社区、新闻社群、以及各类型网站等。在其监控中,数据交易买卖情报共达到113016起。
报告分析了泄露的数据类别 在2023年度获取到的11万余份数据泄露交易记录中,非结构化数据和结构化数据库大约占比接近20%,二要素数据和日志数据的占比大约在80%以上。针对泄露的数据发布和交易记录分析,所有泄露的数据大致分为四种类型,分别是:
非结构化数据:包含大量文档、图纸、表单、文件等数据; 结构化数据库:泄露的某个完整项目数据库; 二要素数据:邮件/密码;账号/密码等,通常是洗库或脱库、破解所得; 日志数据:LOG;URL/LOG/PASS等。 报告统计了泄露数据的国家 在全球数据泄露的国家中,按照泄露量排序TOP10依次为:美国、中国、法国、印度、德国、英国、俄罗斯、巴西、意大利、日本。其中美国占51%,而中国也占13%。
报告细数了对中国危害最大的前十大暗网网站 从获悉的数据分析,当前全球深网和暗网中参与数据买卖交易的“玩家”总数量或已达到近百万人,活跃的“卖家”破坏者大约在万余人左右。而2023年对中国危害最大的TOP10深网和暗网泄露源分别是:长安不夜城、Niflheim World、Breachforums、Crackingx、中文暗网交易市场、Crax、LeakBase、Hellofhackers、XSS.is、Cybercarders,其中包括两大中文暗网网站:长安不夜城、中文暗网交易市场(原暗网中文论坛)。
报告列举了典型的国际数据泄露事件 北约军事档案数据泄露 北约军事档案数据泄露 美国教育部数据泄露 美国教育部数据泄露 安哥拉国家石油公司数据泄露 以色列国防部数据泄露 以色列国防部数据泄露 FBI数据泄露 宗教极端主义组织ISIS数据泄露 黎巴嫩卫生部数据泄露 报告分析了暗网市场发展趋势 报告称,2023年黑客攻击行为和非法数据交易不降反增,并且随着各暗网市场和论坛的取缔,黑客们对于暗网的安全性逐渐失去信任,现已有超过半数的暗网网站在明网和深网中建立了镜像,甚至完全脱离暗网入驻深网。
深网的访问门槛远低于暗网,这使得非法数据交易的参与者不降反增。同时借助公开互联网的带宽和防御资源,新兴的非法交易市场和黑客论坛的访问速度、数据下载速度、安全防御能力、抗DDOS攻击能力、安全验证体系、数据反爬机制迅速提升。
报告表示,由于非法数据买卖市场和黑客论坛逐渐从暗网向明网、深网的发展,各平台为了提高“真玩家”的认证门槛、提高安全监控难度,以及增加运营利润,大量升级了其会员体系。当前已有八成以上的交易市场和黑客论坛实行付费会员制,注册用户仅能浏览有限资源和参与受限制的互动。而需要进行高价值互动和浏览更有价值的资源时,均需付费参与平台会员体系。
例如EXPLOIT、Ramp4u、Russian Market等平台已执行全收费制会员,各论坛平台已有九成以上实现半收费制会员,各交易市场平台已有半数以上实现不同程度的收费制会员。
“暗网下/AWX”跟踪暗网发展多年,对于该报告,只能部分赞成该报告的内容与分析,一方面,对中国危害最大的前十大暗网网站并不准确,很多网站只是倒买倒卖而已,并非第一手数据,危害甚至不如Telegram;另一方面,随着Tor项目的努力,暗网的发展才是大势所趋,而在明网建立镜像的网站基本都被各国警方打击,暗网的匿名性无法替代。
但是“暗网下/AWX”非常欣慰中文安全界对暗网的关注,希望能引起重视,更好的保护国民的个人信息与数据安全。
根据卡巴斯基针对亚太地区的数字足迹情报(DFI)报告,该地区的数据库泄露占广告总数的95%。如果以GDP(国内生产总值)加权的订单数量来看,新加坡和澳大利亚的数据泄露市场是迄今为止最大的。
该报告的结果可帮助企业和国家监控外部威胁并及时了解潜在的网络犯罪活动,包括暗网上讨论的主题。
对卡巴斯基数字足迹情报(Kaspersky Digital Footprint Intelligence)服务中的外部数据源(包括暗网资源)进行监控,可以通过攻击生命周期的不同阶段深入了解网络犯罪活动。在报告的第二部分中,该公司介绍了暗网分析的结果。
在分析组织的数字足迹时,发现了两种主要类型的数据:欺诈活动和网络攻击痕迹。虽然卡巴斯基发现了许多欺诈迹象,但报告中的重点仍然是攻击检测。
与攻击影响相关的暗网活动(关于出售数据泄露和受损数据的广告)在统计数据中占主导地位,因为它随着时间的推移而蔓延,网络犯罪分子开始出售、转售和重新包装过去的许多泄露数据。
第一阶段:创建购买访问权限的需求 提供访问邀请的网络犯罪分子发现,这种促销内容的市场空间巨大。来自澳大利亚、印度、中国和巴基斯坦的企业是发起攻击的主要目标。这些国家在攻击准备类别的广告中占84%。
巴基斯坦和澳大利亚吸引了大量的兴趣,从按其国内生产总值加权(GDP)的订单数量可以看出。
在基础设施、商业和工业化程度方面,中国受到的关注较少。这可能是由于该国家/地区分层网络访问的语言障碍和复杂性。
购买访问权限的订单是指购买特定地区的一个或列表中的特定企业或行业的访问权。
然而,购买内部权限订单是要求购买可能导致证书或数据泄漏的企业内部权限的服务,信息收集服务的来源(例如,根据要求销毁PII数据)。
最有希望的发现是在攻击的执行阶段:人工分析指出,对手有能力或已经进入组织的网络或服务,但还没有对业务产生影响。在暗网的广告方面,显示正在进行的攻击,澳大利亚、印度、中国大陆和菲律宾占卡巴斯基检测到的广告的75%。
第二阶段:访问的命令,准备执行 发现的证据表明,攻击者有能力或有权访问组织的系统或服务,但没有企业受到影响。至于暗网上的广告,这意味着攻击已经完成,澳大利亚、印度、中国和菲律宾占卡巴斯基检测到的广告的75%。
这类广告分为三种权限类型:
初始访问经纪人——提供特定企业的权限订单,或向按行业和/或地区分组的企业批量权限的订单。
内鬼销售订单——内鬼出售可能导致凭证泄漏、信息收集服务来源或数据泄漏的内幕服务。消息来源通常是企业内部的工作人员。
分发恶意软件——窃取凭据的恶意软件会收集凭据,将其转化为可以转售或通过帐户用户名和密码访问的数据。
按国内生产总值加权计算,菲律宾、巴基斯坦、新加坡、澳大利亚和泰国的企业受到的攻击最多。
菲律宾、印度和中国大陆以82%的订单营业额在暗网服务市场中占主导地位。
第三阶段:数据泄露和数据出售 一旦发生数据泄漏,销售和免费获取被盗信息的情况都会随之而来。泄露的指标可以是数据泄露以及内部活动指令——销售或免费访问内部数据,包括但不限于数据库、机密文件、PII、信用卡、VIP信息、财务数据等等。
来自澳大利亚、中国大陆、印度和新加坡的黑客组织占据了暗网上所有数据泄露销售额的84%。
从按GDP加权的订单数量来看,新加坡和澳大利亚是暗网上出售泄露数据的两个最大市场。
应该指出的是,菲律宾、巴基斯坦和泰国的组织是发起攻击或似乎受到威胁的攻击者之一,但数据泄露的数量与中间组的其他国家相当。
卡巴斯基亚太区董事总经理Chris Connell表示:“网络表面下的暗网网络犯罪活动显然非常繁忙。从攻击准备和执行,到数据泄露的影响,再到出售和转售被盗信息,这些功能性的恶意活动对亚太地区的企业和组织构成了严重威胁。”
“出售数据和进入公司网络内部往往是齐头并进的。这意味着对您的企业的成功攻击可能是双重的。您的机密信息可能会被窃取和出售,网络犯罪分子可以解锁并将你受感染的系统提供给更多的恶意黑客组织。面对多重攻击需要主动防御,包括通过实时、深入的威胁情报报告提供强大的事件响应和暗网监控功能。”
暗网上的网络犯罪分子通常通过 RDP 提供远程访问。为了保护您公司的基础设施免受远程访问和控制服务的攻击,请确保通过此协议的连接是安全的:
仅授予通过 VPN 访问服务(例如 RDP)的权限
使用强密码和网络级身份验证
对所有服务使用双重身份验证
监控数据访问泄漏,Kaspersky Threat Intelligence提供暗网监控服务。
卡巴斯基主要发现 Kaspersky Digital Footprint Intelligence发现了103,058个未打补丁的暴露网络服务。政府机构的网络资源受已知漏洞影响最大。
在组织的外部边界中遇到的十分之一以上的漏洞是ProxyLogon。在日本,43%的未打补丁的服务中都发现了这个漏洞。
16,003个远程访问和管理服务可供攻击者使用。政府机构是受影响最大的机构。
在暗网上,黑客更喜欢购买和出售来自澳大利亚、中国大陆、印度和日本的企业的访问权限。
澳大利亚、中国大陆、印度和新加坡占暗网论坛上所有数据泄露销售订单的84%。
帮助企业在社交媒体和数字渠道上检测风险的网络安全创业公司ZeroFox宣布,它已经收购了暗网威胁情报公司Vigilante。
Vigilante–不要与有争议的犯罪报告应用程序相混淆–在暗网中搜寻情报,以帮助保护企业免受网络攻击。这项交易的条款没有公布,ZeroFox将利用Vigilante的全球操作人员和分析师团队,创建 “业内最强大的 “暗网情报解决方案。
在Vigilante已有数十年历史的暗网监测工具的基础上,联合解决方案将结合两家公司的数据集,提供关于受影响的证书和僵尸网络的风险情报、关于受感染和脆弱主机的网络情报,以及关于威胁者和破坏指标(IOCs)的情报。该产品将嵌入ZeroFox的人工智能处理能力,还将提供僵尸网络暴露监测、威胁监测以及针对客户的调查和威胁行为者参与和资产恢复的事件响应。
Vigilante的联合创始人Mike Kirschner说:”我们原本无法获得的数据集、我们的研究人员和操作团队,以及ZeroFox的规模和人工智能的结合,提供了一个引人注目的暗网情报服务。”
根据最近的研究,这次收购是在暗网犯罪活动大量增加的情况下进行的,两家公司声称这将有助于在更大范围内更好地保护全球企业。由于新冠疫情推动的网络犯罪,Risk Based Security在其最近的年度数据泄露报告中说,2020年包含的记录数量超过370亿条,比2019年增加了141%,赎金软件也增加了100%。
“暗网和地下犯罪是现代威胁情报计划的关键要求,”ZeroFox的首席执行官福斯特(James C. Foster)说。”我们的客户需要清楚地了解地下经济,机器人可能如何攻击他们,或者他们的凭证、信用卡、个人身份信息(PII)和其他信息是否可以在那里交易,以及了解新出现的策略、漏洞利用工具和0day漏洞。
福斯特说,收购Vigilante增加了其暗网情报收集能力的 “规模和全面性”,这有助于保护客户的信息。
去年2月,ZeroFox宣布它在英特尔资本牵头的D轮融资中筹集了7400万美元,它计划用这笔钱来加速其全球扩张和产品战略。在此之前,在2017年,这家初创公司筹集了4000万美元的C轮融资,由Redline Capital Management和Silver Lake Waterman牵头。