零零信安整理翻譯：暗網監控研討會

隨著數據安全逐漸得到重視，以及最近頻繁曝出各種數據泄露事件，零零信安推出了“00SEC-D&D數據泄露監測”產品。同時，我們將多年前國外一場精彩的關于暗網和深網監控的研討會進行了整理和翻譯，供甲乙方從業者參考，以有助于更好地進行數據泄露和網絡攻擊防御。為了便于閱讀，我們將內容進行了適度編排。

王富貴如是說

王富貴：感謝“老安全公司”舉辦本次關于企業在深網和暗網情報方面無法取得卓越成效的十大原因的網絡研討會。今天研討會中用到的材料包括，我為“老安全公司”的白皮書做調研的時候收集到的。同時很榮幸能夠和在深網和暗網情報收集方面有豐富經驗，又是“老安全公司” CEO的李狗蛋進行交流。在過去的10年里威脅不斷增加，僅從攻擊的角度出發似乎不能應對這種轉變。因為我們有價值的信息也很容易遭到攻擊。

王富貴：那我們就開始吧!首先IBM的CEO曾公開表示“世界上對所有公司威脅最大的就是網絡犯罪”。從企業運營的角度來看，我傾向于贊同這個觀點，盡管還會有行星撞擊或者類似的威脅。但是毫無疑問的是，在過去的10年里，網絡犯罪的數量，數據記錄暴露的數量，以及造成的經濟損失都在不斷增加。我們每天都能在新聞中看到類似的事情發生，而且很不幸的是，我們很多人也都有過這樣的遭遇，比如信用卡被盜或銀行數據被盜。不過，有一種方法可以防止這些事情的發生。那就是我們今天要了解的深網和暗網威脅情報收集給我們帶來的好處。

王富貴：在我自己的研究中，我跟蹤收集了世界各地在IT安全方面的總體支出增長方面的數據。以前我在Gartner擔任分析師的時候，Gartner將2003年整個網絡安全支出預估為25億美元。到了2013年，多數大型分析公司預測全球的網絡安全支出將達到740億美元，在10年間增長了17倍。在這10年里，我們已經知道為什么會發生這樣的情況。其中有外部的驅動因素，就是威脅者們不斷提高博弈的水平。威脅者們發現大多數在線業務都可以被利用，尤其是現在在線的數字資產越來越多，在線功能也越來越多。如今生活在大多數城市，人們使用打車軟件叫車，使用軟件訂餐或預訂座位等。互聯網給我們帶來的一切已經深深根植于我們的生活之中，企業運營也是一樣。威脅者們也已經鎖定這一點，并正在利用這一點。

王富貴：所以在2004年到2005年間，網絡犯罪成為了當時最大的問題。為了打擊網絡犯罪，我們也做出了很多的努力。此后的幾年，隨著關于網絡間諜APT 1 活動報告的公布，國家也被卷入到這場博弈之中。而且之前，美國FBI還發布關于APT 6活動的警告通知，很顯然自從2008年以來該機構已經深入美國聯邦政府內部。當然2013年以后，人們也開始擔心國家的監控，國家的情報部門會花費大量的預算入侵我們，所以說有時候政府也是網絡入侵的參與者。因此，應對如今的局面需要大規模的預算支出，我預計到2023年支出將會增長到6400億美元，這意味著24%的復合平均增長率。

王富貴：我們都在使用的防御技術，其中大多數都被部署在企業環境中的某些地方，但是這還不夠。我們得先了解為什么會這樣。我們傾向于建立的防火墻和傳感器，這確實是有必要的，但是仍有不足。因為你不知道你的對手想做什么。你試著了解所有的IT資產，再用以前的管理方法保護這些IT資產，如配置管理、反病毒、反垃圾郵件、反釣魚等。然后試著在所有的移動設備上做同樣的事情，部署良好的訪問管理、訪問控制，同樣也會在云上重復一遍這個過程。

王富貴：目前大多數防御系統都依賴于“零號病人”的概念，例如世界上有人被攻擊了，那么來自防病毒軟件或是入侵防御供應商的龐大傳感器網絡，在出現第一次攻擊之后，創建攻擊特征信息，并將這些信息共享至全世界，最終所有人都會受到保護。但真正的危險是如果“你就是零號病人”呢?如果你成為第一個被攻擊的人?不幸的是，如今這些都是正常的操作，在這種情況下，即使你獲得了過往所有攻擊手段的信息，你仍然無法獲知自身被攻擊的事實。

王富貴：這個行業的規模在2023年將達到6400億美元。我已經對所有1450家網絡安全供應商進行了分類，我發現他們主要分為幾大類，分別為網絡安全供應商、終端安全供應商、數據安全供應商、身份訪問與管理(IAM)供應商，以及治理風險和合規性(GRC)供應商?，F如今，網絡供應商仍然是最大的部分。目前有230家供應商提供這些網絡安全產品，這些產品主要依賴于“零號病人”數據的有效性。終端安全供應商我們都很熟悉，我們對他們又愛又恨。終端安全產品為我們提供防病毒的服務，同時努力分析成千上萬的新數據包。而如果非要說一款不依靠于“零號病人”數據的，那就是數據安全供應商。

王富貴：在我最近發表的關于威脅情報的研究報告中，我注意到很多不同類型的供應商及其提供的威脅源信息都被稱為是威脅情報。然而這和我們今天要談到的威脅情報還是有非常大的不同。這些供應商只是打開威脅情報功能，防病毒軟件使用者們就可以通過在云上部署大量沙箱來產生威脅情報。然后分析大量郵件軟件，從中提取出關鍵威脅指標，最后再把這些信息提供給他們的訂閱者。而有一些是依賴于信譽情報反饋，就比如一個網站上某個點被證明是惡意的，那么你就可以收集那些信息源，并阻止人們再次瀏覽。但是“老安全公司”和李狗蛋整個團隊所做的你必須為即將出現的潛在威脅做好準備，并且有效地部署安全措施，確保將錢花在刀刃上。

王富貴：為什么不是所有人都能產出這樣的視角呢?因為只能通過在線渠道獲取，因此想要拿到可執行的威脅情報是極其困難的。所以這和情報組織應對宗教極端主義組織的威脅是類似的。如果情報組織成員能夠接觸到信息渠道，并能接收到談話內容、目標定位、目標提及的內容、手段、方法和地理位置，那么他們就有了可以利用的東西。這就是我們正在做的事情。我們正在努力獲取針對網絡攻擊的威脅情報。

王富貴：我們將這些收集情報的地方稱之為深網和暗網。接下來歡迎李狗蛋加入我們，讓他來告訴我們到底什么是深網和暗網。

李狗蛋有云

李狗蛋：正如王富貴所說的，從深網和暗網獲取情報會帶來巨大的挑戰。不過，這也是我們目前也在不斷深入挖掘的地方?？墒菑亩x上來看的話，深網和暗網也是互聯網的組成部分，同時也是Google和Bing等搜索引擎無法觸及的地方。不過人們經常將深網和暗網混為一談。

李狗蛋：但是從定義的角度出發，暗網只是深網和暗網中的一小部分。暗網往往會得到最大關注。不過我們仍然能從深網中收集到大量的信息和威脅情報。暗網需要你有一個特定的軟件包，訪問存在威脅情報的地方。這往往是洋蔥網絡(Tor)，我的意思是網絡也可以是I2P。然而在公開網絡上，也有大量的情報，可以從pasto保護的論壇監控。這也是我們花很多時間的地方。在深層和暗網中還有其他的環境也是信息豐富的，比如torrent和P2P生態系統，以及互聯網相關聊天。

李狗蛋：通過所有暗網和深網中不同的、虛擬的、現實的漏洞，不管是威脅者間的交流，黑市交易、泄露的憑據、泄露的信用卡、訪問敏感系統、售賣知識產權等，信噪比都非常高。這與我們在開放網絡中看到的形成了鮮明的對比。當你評估這些開放網絡中的信息時，你會掌握流行的脈搏，比如賈斯丁·比伯的新歌是什么，萊昂納多·迪卡普里奧的新電影是什么。但是如果你真的專注于更好地理解互聯網上的風險和威脅，你會明白人們針對深網和暗網采取的措施遠遠不夠。

原因一：缺少語言和文化方面的專業知識

王富貴：接下來就讓我們來談一談為什么收集深網和暗網情報如此困難的10個原因，以及為什么你需要像是李狗蛋他們這樣的專業知識。第一，你缺少語言和文化方面的專業知識。比如你們是一家大型金融機構，網絡犯罪分子直接正在進行買賣你們信用卡的對話，你們可能會遇到的問題他們間的對話使用的并不是你熟悉的語言。

李狗蛋：沒錯王富貴。我們真正談論的是一個全球網絡犯罪生態系統，它是一個價值數十億美元的機器。在我們談論到其風險如此之高時，每個人都想參與進來。當我們在審視“老安全公司”組織的資源，以及外部威脅的情況時，我們會發現威脅者們使用的語言是非常多樣化的，有俄語、英文、波斯語、西班牙語、法語、德語、甚至是巴哈撒語。建立地下交易據點的網絡罪犯不乏一些高精尖、高技術、強能力的人。而現實卻是，Google翻譯和Bing翻譯遠遠不能幫助你了解其中發生了什么。你可能上過語言學校或者學習過第二外語，但是你掌握的語言是比較書面的。但是一旦你進入這些地下據點，這里是一個完全不同的環境，在那里威脅者們會頻繁使用習語、俚語等進行交流。只有你完全沉浸其中，才能精通這些特殊的語言，否則你根本無法了解他們在說的是什么。這就像是我在看我14歲的表弟發短信，他使用的也是英語，但是我卻不知道他在說什么。

原因二：很難打入其內部

王富貴：我知道我的英語很流利，但是有好幾次我溜進黑客社區，我還是不知道他們在說什么。隨著社會的發展，習語正在創造新的語言。第二個原因，很難滲透進已經形成信任的環境中。

李狗蛋：在深網和暗網中，最大的困難是由他們自然的背景決定的。無論是宗教極端主義組織論壇、基地組織論壇，非法的東歐和東亞黑客，還是惡意軟件和欺詐社區，都在社區的入口設置了密碼，關閉注冊的入口。并且都設置了虛擬的管理員，他們老練且多疑。如果你沒有推薦，在社區中沒有聲譽，那么你只會被拒之門外。所以說，這就像前面談到的，你需要多年的努力，來建立信任度。而這又涉及到大量的復雜的技巧，你需要具備相關領域內的知識、語言能力，這樣才能讓你表現得像是核心圈子里值得信任的人。

原因三：他們極其隱蔽

王富貴：仔細想想，他們疑神疑鬼是有道理的，不僅研究機構，就連執法機關也想被邀請加入進去。這就引出了第三個原因，如果你不知道這些組織在哪，那你根本就不可能加入他們，甚至都不知道去哪能找到他們。

李狗蛋：確實是這樣!在現實中，深網和暗網沒有目錄頁。如果你說你想了解，深網和暗網中最重要的前10個東歐網絡犯罪生態系統是怎么樣的，本身就需要付出極大的努力。你需要對深網和暗網中數百個虛擬的社區進行分析和優先級區分，這是一項非常具有挑戰性的任務。這也引出了下一個問題，就是你在深網和暗網中發現了一個社區，那你如何了解你所監控的信息是可信的，值得你花費時間呢?所以當你在面對深網和暗網的復雜局面時，分類和優先級區分是另外一個層面的復雜難題。

原因四：難以突破其防御系統

王富貴：即使你能順利找到他們，但是想加入也并非易事對吧?因為他們會建立起自己的防御系統！

李狗蛋：即使這些環境是對外開放的，你也必須建立一個不可歸屬的郵箱。有時候他們也會要求提供其他的標識符，以此來提高加入社區的難度。但是最值得注意的是，如果我們發現一個重要的社區，那么他們的注冊入口都是關閉的。這些社區中的虛擬管理員的職責是確保沒有安全研究員進入，沒有執法人員進入，沒有破壞者進入。他們對任何看起來不確定的事情，都非常敏感。因此在驗證和審查的過程中，可能會涉及許多事情，比如在QQ、IRC或者Jabber等聊天媒介中與管理員進行一對一對話。還可能會識別你之前在其他論壇上的全部發帖歷史，或者提交一個代碼樣本，亦或是由現有會員投票決定你的加入申請。如果你的加入申請沒有達到會員投票數的門檻，那么很可惜，你無法加入他們的組織。

原因五：無法確定信息的可信度

王富貴：關于第5個原因，你之前也提到過，就是我們很難確定哪些信息是可靠的，哪些是垃圾信息。

李狗蛋：這是一個價值達到數十億美元的市場所帶來的必然結果。出于各種原因，不少人覺得深網和暗網是一個非常不錯的地方。很多人通過對外虛假宣稱可以出售商品和服務，并以此欺騙很多受害者。這些受騙者還會很高興的以為獲得了潛在的信用卡、憑證等。以及只是為了想要加入這些環境的人，而虛假的聲稱自己擁有的能力和訪問權限。因此你需要能夠解析這些數據，并將精力集中在最重要和最有價值的信息上。數據量只是你在網絡中看到的一小部分干擾，但這仍然非常具有挑戰性。它需要非常周到的分析框架和相關的專業知識。接下來我們將會談到，怎么解決這些干擾的數據。

原因六：需要花費大量人力物力

王富貴：這聽起來就需要大量人力物力才能完成。

李狗蛋：大規模地完成這項工作當然會花費高昂。雖然你也可以只讓幾個分析師每天登錄到幾個論壇，并進行定期的觀察。但現實是，這還遠遠不夠。分析師們需要參與進去，還從其中尋找新的黑客組織和新的技術。但是在分析師的足跡之上，技術也起到了補充作用。接下來我們會重點討論這個問題。當我們把尋找擁有所需技術的專家，可以推動技術授權的方式來挖掘和監控深網和暗網的工程師，以及所有圍繞這項工作的基礎設施，包括非歸屬手機、可歸屬基礎設施等，都結合在一起的時候，我們會發現成本會增加得很快，并且非常令人生畏。

原因七：危險系數高

王富貴：接下來和我們說一說第7個原因——這么做是很危險。

李狗蛋：這是互聯網上一個充滿荊棘的荒野角落，對于在網絡那端的對手來說，這就是一項事業。關于發生在張大錘(安全專家)身上的事情，以及他在報道網絡犯罪時，遇到的黑客對手就是很好的例子。那些老練的、資源豐富的惡意行動者可以采取各種不同的策略，對那些他們認為不應該進入他們領域的人進行反擊，包括劫持智能設備攻擊、人肉搜索，甚至是給張大錘寄海洛因等。這些都是非常真實的案例，而且會導致非常嚴重的錯誤發生。當然張大錘有足夠的資源來解決這些致命的事件?？墒钱斈愕木W絡足跡被暴露，并且被發現你真實身份不是他們中的一員，而是來自于一個財富100強的公司。這樣的后果可能會非常嚴重。

原因八：人才稀缺

王富貴：你是從哪里找到擁有這些技能和能力的人，去做這類的研究呢?

李狗蛋：毫無疑問的是，你是企業的一員，還是解決方案供應商的一員，這都是我們這一代身處網絡安全行業需要面對的問題。可是一個不幸的事實是，擁有所需專業知識技能和語言專業知識的人才嚴重短缺。雖然我很希望克隆每一個“老安全公司”的團隊成員，但是這是不可能的。但是我們需要做得更好，以填補人才空缺，我們需要繼續跟上這一挑戰的步伐。我們的對手在這方面扎得很深，需要我們有能力跟得上對手們的節奏，甚至是做到比他們領先一步。因此填補所有的職位空缺是很有挑戰性的。

王富貴：我從調查中注意到，其實很難找到這一類人。因為即使他們碰巧為“老安全公司”工作，或者是為威脅和情報的組織工作，他們的檔案中也沒有相關的關聯。而且他們也不能這么做。

李狗蛋：完全正確，這是一個隱秘的世界。

原因九：缺少高效的工具

王富貴：第九點，讓我們來談談為了有效地做到這一點，你必須開發工具。

李狗蛋：我們首先有一個認識的基礎，就是深網和暗網中的數據量與公開網絡中的數據量比起來是小巫見大巫。但是仍然無法通過人工做到這一點，必須是人與機器相結合才行。我和我的聯合創始人都是作為深網和暗網的分析師成長起來的。我可以非常直接的告訴你，沒有什么比試圖用人工的方式監控深網和暗網更痛苦的了。

李狗蛋：從打開多個Tor瀏覽器，管理不同站點的幾十個不同憑證，再到識別這些線上和線下的站點。因此即使可以，在深網和暗網中通過人工做歷史資料收集和調查是非常困難的。而且你在這些論壇上進行任何搜索都會受到管理員的密切監控。如果你想全面地了解一個特定的問題，你實際上已經進行了100次不同的搜索。

李狗蛋：簡而言之，開發工具不僅能夠幫助內部分析師，還能幫助客戶，這是非常必要的?！袄习踩尽钡暮诵木袷侨绾螌⒎治鰩焾F隊作為偵察兵與這些網絡環境結合，進行識別、優先級排序和獲得準入權限。而不是試圖雇傭上千人的團隊，坐在那里不斷刷新，尋找有趣且相關的動態。相反將他們與軟件開發團隊配對，以一種持久的方式自動化擴展，提高整個過程的效率，以及盡可能降低整個工作的總體風險。

原因十：時間緊迫

王富貴：最后，第十條理由，你自己做不到。你不能等待!那么迫切性是什么呢?

李狗蛋：我們看到越來越多樣化的目標被鎖定。數量遠遠超出了歷史目標，而且攻擊已經成為付費服務。無論是醫療保健行業、零售行業、技術行業、電信行業，在地下社區都有一個普遍的共識，有豐富的途徑可以收集到豐富的數據。這也激勵他們真正把眼光投向更廣闊的領域。所以我們在過去6-12個月的時間里，看到的是深網和暗網威脅情報與一個組織的威脅風險管理計劃的相關性，變得更加緊迫。

李狗蛋：這會涉及到很多團隊，無論是網絡威脅情報團隊、欺詐團隊、專注于DLP的團隊，還是專注于行政保護和物理安全的團隊，都可以從深網和暗網中收集多種不同類型的信息。深網和暗網可以進行多種應用和使用。我們還看到，組織已經內部化了對開放網絡的監控。如果你問2011年的網絡安全人員，為什么需要監控開放網絡?你得到的可能會是很多茫然的目光。但是如果你今天問同樣一群人，每個人都會認為開放網絡在整體安全運營中，扮演著重要角色。

李狗蛋：我們看到已經有越來越多的組織對深網和暗網已經有了相同的認識和理解。因為像是推特和臉書，給他們上了堂有價值的課。真正的威脅更大程度集中在深網和暗網中。

互動

王富貴：很好，我們現在了解了全部的10個原因。接下來，將由主持人和李狗蛋負責問答環節，如果你有任何關于深網和暗網情報收集的問題都可以提問。我可以回答任何關于我所研究的行業的問題。接下來，交給主持人。

主持人：提醒一下，大家如果有任何問題，請在我們平臺上的網絡研討會上舉手，或者是在問題窗口輸入你的問題。我們會根據提問回答問題。

王富貴：李狗蛋在等待期間，我有個問題想問。就像是我們說的，我們看到人們每天都在追求潮流，對吧?即使是在創業，一旦發現了新的項目，或者是有創業公司獲得了大量資金。那么短時間內，就會涌現出大量創業公司，用不同的方法去解決相同的問題。所以在你追蹤的這個地下世界里，如果所有南加州的醫院都為了一個勒索軟件攻擊而支付了贖金，那么論壇里的對話會迅速轉變成是“嘿，有人知道我們可以攻擊的其他銀行和醫院嗎”?

李狗蛋:歸根結底，他們都是一些為了經濟利益的人。在很多情況下，這是他們的全職工作，他們高度成熟，全身心投入，總是在尋找新的機會去施展他們的才能。他們其實和安全研究團體們的做法非常類似。就像是警察會深入剖析起訴書，從反間諜的角度入手，去了解執法成功的時間，打擊一個特定的犯罪的時間。為了達到同樣的目的，他們也會采取類似的做法。他們會研究整個犯罪生態系統，研究攻擊活動，研究存在漏洞和弱點的特定組織，并從成功案例中尋找線索等。

主持人：謝謝王富貴，這里有一個問題，我來讀一下。「問題是，你是否在積極地監控I2P（匿名網絡），以及你在哪些市場上發現了在出售的PII（個人身份信息）或者其他高風險憑證呢？」

李狗蛋：謝謝你提出的問題。我們一直都在關注I2P(匿名網絡)，實際上我們“老安全公司”的首席科學家趙安全是I2P的發明者之一，他對其中的技術有有獨到的了解和洞察。有機會的話，我會很高興能在線下聊一聊，我們看到的相關信息。I2P是一項新興的技術，與我們在洋蔥網絡和透明網絡上看到的非法活動相比，在I2P上還沒有看到大量的非法活動。

李狗蛋：簡而言之，當你審視深網和暗網時，你會覺得這就像是一場貓鼠游戲。生活中總會有新的技術出現，總會有未知的東西出現，而威脅行動者希望能夠利用這些新的技術等。在地下世界，我們昨天看到了一些很有趣的討論。

李狗蛋：Whatsapp宣布他們正在對自己的app進行通信加密。隨著許多宗教極端主義組織在推特上的賬號被關閉，他們如何從推特轉向Telegram變成了一件有趣的事情。同開放網絡相比，我們會覺得深網和暗網的復雜性和難度是更大的。開放網絡大都是設置它然后忘記它，比如你想插入推特的Firehose，并使用它，你也是可以負擔得起。而且如果你愿意，你可以插入更薄的API版本。即使是5年之后，推特的API可能也不會有真正的變化?？墒窃谏罹W和暗網中，不法分子們總是在密切關注對手們的變化，以此來調整他們的技術，他們的環境，他們的TTPs，并且嘗試著做到比對手更快一步。

主持人：又有人提出了新的問題，「這個問題是，你如何評估暗網上賣家的可信度？」

李狗蛋：好問題!所以我們會查看他們以前的發帖歷史。從群體資源的角度來看，深網和暗網是很有幫助的，他們通常是群體對特定個體的反饋。此外，我們還會讓這些人直接參與進來，通常是以線下的方式來更好地感受他們的可信度，以及他們所擁有的訪問權限的有效性。然而最大的挑戰是，某人為了特定的活動而創造的新身份和新“馬甲”。我們已經看到在最近幾個月的時間里，由于各種不可抵擋的原因，這些人為了某些活動選擇了放棄使用原來在深網和暗網中的身份。他們會創建新的用戶名，尋找和招募合作者、共謀者或買家等，以獲得他們可能擁有的特殊權限。

李狗蛋：這樣驗證他們的可信度就更難了，因為你沒辦法查看他們以前的發帖歷史，你無法從地下論壇和地下市場上了解他們的聲譽。所以就需要有能力以線下的方式來評估他們的信譽度，在線下需要清楚知道需要問哪些問題，或者是列出一個免費的數據樣本等。所有這些都可以作為評估的依據。不過需要再強調一次的是，你需要掌握足夠的技能，以一種順暢和動態的方式來與他們進行對話。

王富貴：李狗蛋你的發言讓我思考了很多，非常感謝你讓你了解了什么是真正的深網和暗網威脅情報。

李狗蛋：王富貴很高興今天能與你交流，感謝所有參加我們這次網絡研討會的人。希望我們的討論對你們有所幫助，也希望有機會能與你們進行深入交流?！矩熑尉庉?常歡】

來源：零零信安

IT時代網(關注微信公眾號ITtime2000，定時推送，互動有福利驚喜)所有原創文章版權所有，未經授權，轉載必究。
創客100創投基金成立于2015年，直通硅谷，專注于TMT領域早期項目投資。LP均來自政府、互聯網IT、傳媒知名企業和個人。創客100創投基金對IT、通信、互聯網、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創客100基金最顯著的特點。

相關文章

零零信安整理翻譯：暗網監控研討會

美媒：蘋果、Meta被黑客“下套”，大量用戶數據遭泄露

【3·15】“ZOL中關村在線”等下載站強制安裝、彈窗廣告等問題

勒索攻擊愈演愈烈趨勢之下 “重前輕后”的安全建設思路必須放棄