从追踪暗网上网络犯罪的演变中汲取的经验教训
互联网的一个隐藏部分被称为“暗网”,它不可见,也无法使用标准搜索引擎进行搜索。与互联网非常相似,暗网也是一个由商业网站和市场组成的生态系统。不同的是,这些网站通常销售非法、禁止或具有攻击性的产品和服务。
暗网起源 暗网的起源可以追溯到20世纪80年代末和90年代的前互联网时代,当时公告板系统(BBS)非常流行。BBS是一个在线论坛,用户社区可以在其中以匿名方式讨论一系列主题(从在线游戏、汽车、书籍和当地活动到色情和黑客服务)。
明网、深网和暗网 到21世纪初,互联网在社会中根深蒂固之后,人们开始区分明网、深网(深层网络)和暗网。明网(或表面)是开放的互联网,任何人都可以通过搜索引擎访问其内容。深网由在线论坛和个人网站、企业网站组成,这些网站要么没有索引,要么只能通过用户名和密码访问。
接着第三层网络也开始出现了,称为Tor(“洋葱路由器”),这项技术最初由美国海军研究实验室开发,用于确保互联网上的匿名通信。Tor向普通用户公开,在网上冲浪时提供匿名性和隐私性。接下来,Tor网络开始托管更多内容,从版权材料到私人电子邮件和消息系统,再到销售各种非法和违禁商品的商店,其中最著名的黑市是丝绸之路(silkroad)。
加密货币点燃暗网经济 一旦有犯罪倾向的个人在互联网上拥有安全的通信和匿名存在,这种地下经济的第三条腿就出现了,就像预先策划好的一样:区块链和加密货币。在出现大量代币和加密货币之前,曾出现过匿名数字货币,如自由储备(Liberty Reserve)。然而,调查人员能够通过追踪非法资金流向的最终目的地,成功逮捕了犯罪者。
加密货币交易记录在公共分类账(区块链)上,具有极高的匿名性,并且在没有联邦保险银行等任何管理机构的情况下是去中心化的。迄今为止,针对暗网上使用较多的门罗币(Monero,XMR),执法部门很难干预不可逆转的加密货币交易,也很难识别和逮捕参与非法交易和盗窃的人。
网络犯罪民主化 经验丰富的攻击者和网络犯罪集团意识到,他们可以通过提供平台、工具和专业知识来获得更多利润,从而催生了网络犯罪即服务模式。出现了专门的暗网服务提供商,例如僵尸网络管理员、初始访问经纪人、恶意软件开发人员、勒索组织附属机构、谈判代理人、洗钱者和人工智能专家。有些出售凭据,有些提供网络钓鱼工具包,有些提供模仿受害者环境的工具,等等。
如今,暗网是一个价值数十亿美元的地下市场,网络卡特尔、勒索软件团伙、黑客活动分子和民族国家背景的威胁行为者正在这里积极运作、发展和重塑自我。
如何提高对暗网威胁的防御能力 以下是企业可以采取的加强防御的一些建议:
1、采用网络安全系统,而不是孤立的产品。 网络安全事件不是一步发生的。这是攻击者成功入侵或渗透组织的一系列步骤的最终结果,许多都是通过“网络杀伤链”(Cyber Kill Chain)或MITRE ATT&CK一步一步地传达。每个步骤或足迹都是企业进行自我保护、防止网络钓鱼、阻止恶意软件执行或检测权限提升的机会。SASE或XDR等集成系统可以提供协调的防御响应。
2、利用人类威胁情报。 人类威胁情报并不意味着要像执法机构那样实际追踪威胁行为者。它是指登录地下论坛、建立个人档案并模仿威胁行为者的行为(而不犯罪),足以让他们相信你是他们中的一员。您想要充分了解他们在销售什么以及正在讨论什么,以便组织可以制定对策。如果恶意行为者渗透进来,请利用威胁情报更好地了解攻击情况,并识别被盗的数据或哪些计算机受到感染。
3、培训员工队伍。 人类的直觉很强大,尤其在早期发现网络攻击方面的力量不可低估。对员工进行安全意识培训有助于在网上交易时建立一种持怀疑态度的文化。必须让员工了解暗网的危险以及处理高风险数据和凭证的责任。部署零信任环境,以减轻内部威胁,并保证在凭证遭到泄露时,防止攻击者可以进行横向移动。
4、明确安全目标。 在与暗网威胁研究人员合作时,公司往往不清楚自己的安全目标。这意味着他们没有明确定义需要保护和监控哪些资产。因此,威胁研究人员经常采用黑盒方法,识别他们认为需要监控的重要资产,而不是从客户那里获得高价值资产的具体清单。公司必须向研究人员提供明确的指示,因为这样才能获得更多可操作的信息。可操作的信息越多,安全团队就越灵活、越高效。
最后的思考 已经2024年了,展望未来,暗网将不断发展,网络犯罪将愈演愈烈。然而,暗网也带来了机遇,尤其是对网络安全而言——一个研究威胁行为者并了解他们的活动、了解人工智能驱动的威胁并改进网络安全缓解措施的机会。