王富貴:在我自己的研究中�����,我跟蹤收集了世界各地在IT安全方面的總體支出增長方面的數(shù)據(jù)。以前我在Gartner擔(dān)任分析師的時(shí)候,Gartner將2003年整個(gè)網(wǎng)絡(luò)安全支出預(yù)估為25億美元��。到了2013年��,多數(shù)大型分析公司預(yù)測全球的網(wǎng)絡(luò)安全支出將達(dá)到740億美元��,在10年間增長了17倍�。在這10年里,我們已經(jīng)知道為什么會發(fā)生這樣的情況����。其中有外部的驅(qū)動因素,就是威脅者們不斷提高博弈的水平�。威脅者們發(fā)現(xiàn)大多數(shù)在線業(yè)務(wù)都可以被利用,尤其是現(xiàn)在在線的數(shù)字資產(chǎn)越來越多�����,在線功能也越來越多��。如今生活在大多數(shù)城市����,人們使用打車軟件叫車,使用軟件訂餐或預(yù)訂座位等�?;ヂ?lián)網(wǎng)給我們帶來的一切已經(jīng)深深根植于我們的生活之中,企業(yè)運(yùn)營也是一樣��。威脅者們也已經(jīng)鎖定這一點(diǎn)�����,并正在利用這一點(diǎn)。
王富貴:所以在2004年到2005年間��,網(wǎng)絡(luò)犯罪成為了當(dāng)時(shí)最大的問題���。為了打擊網(wǎng)絡(luò)犯罪����,我們也做出了很多的努力�����。此后的幾年�,隨著關(guān)于網(wǎng)絡(luò)間諜APT 1 活動報(bào)告的公布,國家也被卷入到這場博弈之中���。而且之前���,美國FBI還發(fā)布關(guān)于APT 6活動的警告通知,很顯然自從2008年以來該機(jī)構(gòu)已經(jīng)深入美國聯(lián)邦政府內(nèi)部�。當(dāng)然2013年以后,人們也開始擔(dān)心國家的監(jiān)控,國家的情報(bào)部門會花費(fèi)大量的預(yù)算入侵我們�,所以說有時(shí)候政府也是網(wǎng)絡(luò)入侵的參與者。因此����,應(yīng)對如今的局面需要大規(guī)模的預(yù)算支出,我預(yù)計(jì)到2023年支出將會增長到6400億美元��,這意味著24%的復(fù)合平均增長率�����。
王富貴:我們都在使用的防御技術(shù)���,其中大多數(shù)都被部署在企業(yè)環(huán)境中的某些地方��,但是這還不夠����。我們得先了解為什么會這樣����。我們傾向于建立的防火墻和傳感器,這確實(shí)是有必要的��,但是仍有不足���。因?yàn)槟悴恢滥愕膶κ窒胱鍪裁?���。你試著了解所有的IT資產(chǎn)�����,再用以前的管理方法保護(hù)這些IT資產(chǎn)�����,如配置管理�����、反病毒���、反垃圾郵件���、反釣魚等。然后試著在所有的移動設(shè)備上做同樣的事情����,部署良好的訪問管理�����、訪問控制�����,同樣也會在云上重復(fù)一遍這個(gè)過程����。
王富貴:目前大多數(shù)防御系統(tǒng)都依賴于“零號病人”的概念��,例如世界上有人被攻擊了�����,那么來自防病毒軟件或是入侵防御供應(yīng)商的龐大傳感器網(wǎng)絡(luò)��,在出現(xiàn)第一次攻擊之后�,創(chuàng)建攻擊特征信息,并將這些信息共享至全世界��,最終所有人都會受到保護(hù)����。但真正的危險(xiǎn)是如果“你就是零號病人”呢��?如果你成為第一個(gè)被攻擊的人?不幸的是�,如今這些都是正常的操作,在這種情況下�,即使你獲得了過往所有攻擊手段的信息,你仍然無法獲知自身被攻擊的事實(shí)��。
王富貴:這個(gè)行業(yè)的規(guī)模在2023年將達(dá)到6400億美元����。我已經(jīng)對所有1450家網(wǎng)絡(luò)安全供應(yīng)商進(jìn)行了分類,我發(fā)現(xiàn)他們主要分為幾大類�����,分別為網(wǎng)絡(luò)安全供應(yīng)商���、終端安全供應(yīng)商�����、數(shù)據(jù)安全供應(yīng)商�����、身份訪問與管理(IAM)供應(yīng)商����,以及治理風(fēng)險(xiǎn)和合規(guī)性(GRC)供應(yīng)商。現(xiàn)如今�,網(wǎng)絡(luò)供應(yīng)商仍然是最大的部分。目前有230家供應(yīng)商提供這些網(wǎng)絡(luò)安全產(chǎn)品��,這些產(chǎn)品主要依賴于“零號病人”數(shù)據(jù)的有效性����。終端安全供應(yīng)商我們都很熟悉,我們對他們又愛又恨�。終端安全產(chǎn)品為我們提供防病毒的服務(wù),同時(shí)努力分析成千上萬的新數(shù)據(jù)包���。而如果非要說一款不依靠于“零號病人”數(shù)據(jù)的����,那就是數(shù)據(jù)安全供應(yīng)商�����。
王富貴:在我最近發(fā)表的關(guān)于威脅情報(bào)的研究報(bào)告中,我注意到很多不同類型的供應(yīng)商及其提供的威脅源信息都被稱為是威脅情報(bào)�����。然而這和我們今天要談到的威脅情報(bào)還是有非常大的不同���。這些供應(yīng)商只是打開威脅情報(bào)功能,防病毒軟件使用者們就可以通過在云上部署大量沙箱來產(chǎn)生威脅情報(bào)�����。然后分析大量郵件軟件�,從中提取出關(guān)鍵威脅指標(biāo),最后再把這些信息提供給他們的訂閱者�����。而有一些是依賴于信譽(yù)情報(bào)反饋���,就比如一個(gè)網(wǎng)站上某個(gè)點(diǎn)被證明是惡意的����,那么你就可以收集那些信息源��,并阻止人們再次瀏覽。但是“老安全公司”和李狗蛋整個(gè)團(tuán)隊(duì)所做的深網(wǎng)和暗網(wǎng)的調(diào)查是具有前瞻性的�����,主要是在攻擊者攻擊你的組織之前發(fā)現(xiàn)他們的行動����。所以你可以獲得應(yīng)對當(dāng)前威脅的可見性。你必須為即將出現(xiàn)的潛在威脅做好準(zhǔn)備���,并且有效地部署安全措施�����,確保將錢花在刀刃上����。
王富貴:為什么不是所有人都能產(chǎn)出這樣的視角呢��?因?yàn)橹荒芡ㄟ^在線渠道獲取����,因此想要拿到可執(zhí)行的威脅情報(bào)是極其困難的。所以這和情報(bào)組織應(yīng)對宗教極端主義組織的威脅是類似的�����。如果情報(bào)組織成員能夠接觸到信息渠道,并能接收到談話內(nèi)容�����、目標(biāo)定位��、目標(biāo)提及的內(nèi)容���、手段、方法和地理位置����,那么他們就有了可以利用的東西。這就是我們正在做的事情�。我們正在努力獲取針對網(wǎng)絡(luò)攻擊的威脅情報(bào)。
王富貴:我們將這些收集情報(bào)的地方稱之為深網(wǎng)和暗網(wǎng)�。接下來歡迎李狗蛋加入我們,讓他來告訴我們到底什么是深網(wǎng)和暗網(wǎng)�����。
李狗蛋有云
李狗蛋:正如王富貴所說的�,從深網(wǎng)和暗網(wǎng)獲取情報(bào)會帶來巨大的挑戰(zhàn)���。不過,這也是我們目前也在不斷深入挖掘的地方�。可是從定義上來看的話����,深網(wǎng)和暗網(wǎng)也是互聯(lián)網(wǎng)的組成部分,同時(shí)也是Google和Bing等搜索引擎無法觸及的地方�。不過人們經(jīng)常將深網(wǎng)和暗網(wǎng)混為一談。
李狗蛋:但是從定義的角度出發(fā)��,暗網(wǎng)只是深網(wǎng)和暗網(wǎng)中的一小部分����。暗網(wǎng)往往會得到最大關(guān)注。不過我們?nèi)匀荒軓纳罹W(wǎng)中收集到大量的信息和威脅情報(bào)�����。暗網(wǎng)需要你有一個(gè)特定的軟件包����,訪問存在威脅情報(bào)的地方。這往往是洋蔥網(wǎng)絡(luò)(Tor),我的意思是網(wǎng)絡(luò)也可以是I2P��。然而在公開網(wǎng)絡(luò)上���,也有大量的情報(bào)��,可以從pasto保護(hù)的論壇監(jiān)控�����。這也是我們花很多時(shí)間的地方���。在深層和暗網(wǎng)中還有其他的環(huán)境也是信息豐富的,比如torrent和P2P生態(tài)系統(tǒng)��,以及互聯(lián)網(wǎng)相關(guān)聊天��。
李狗蛋:通過所有暗網(wǎng)和深網(wǎng)中不同的���、虛擬的、現(xiàn)實(shí)的漏洞�,不管是威脅者間的交流,黑市交易����、泄露的憑據(jù)�、泄露的信用卡�、訪問敏感系統(tǒng)、售賣知識產(chǎn)權(quán)等����,信噪比都非常高。這與我們在開放網(wǎng)絡(luò)中看到的形成了鮮明的對比��。當(dāng)你評估這些開放網(wǎng)絡(luò)中的信息時(shí)�����,你會掌握流行的脈搏�����,比如賈斯丁·比伯的新歌是什么�����,萊昂納多·迪卡普里奧的新電影是什么����。但是如果你真的專注于更好地理解互聯(lián)網(wǎng)上的風(fēng)險(xiǎn)和威脅,你會明白人們針對深網(wǎng)和暗網(wǎng)采取的措施遠(yuǎn)遠(yuǎn)不夠。
原因一:缺少語言和文化方面的專業(yè)知識
王富貴:接下來就讓我們來談一談為什么收集深網(wǎng)和暗網(wǎng)情報(bào)如此困難的10個(gè)原因��,以及為什么你需要像是李狗蛋他們這樣的專業(yè)知識�����。第一���,你缺少語言和文化方面的專業(yè)知識���。比如你們是一家大型金融機(jī)構(gòu),網(wǎng)絡(luò)犯罪分子直接正在進(jìn)行買賣你們信用卡的對話����,你們可能會遇到的問題他們間的對話使用的并不是你熟悉的語言。
李狗蛋:沒錯(cuò)王富貴�。我們真正談?wù)摰氖且粋€(gè)全球網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng),它是一個(gè)價(jià)值數(shù)十億美元的機(jī)器����。在我們談?wù)摰狡滹L(fēng)險(xiǎn)如此之高時(shí)����,每個(gè)人都想?yún)⑴c進(jìn)來。當(dāng)我們在審視“老安全公司”組織的資源,以及外部威脅的情況時(shí)��,我們會發(fā)現(xiàn)威脅者們使用的語言是非常多樣化的���,有俄語���、英文、波斯語�����、西班牙語��、法語�、德語、甚至是巴哈撒語�����。建立地下交易據(jù)點(diǎn)的網(wǎng)絡(luò)罪犯不乏一些高精尖����、高技術(shù)、強(qiáng)能力的人�����。而現(xiàn)實(shí)卻是,Google翻譯和Bing翻譯遠(yuǎn)遠(yuǎn)不能幫助你了解其中發(fā)生了什么���。你可能上過語言學(xué)?����;蛘邔W(xué)習(xí)過第二外語���,但是你掌握的語言是比較書面的。但是一旦你進(jìn)入這些地下?lián)c(diǎn)����,這里是一個(gè)完全不同的環(huán)境,在那里威脅者們會頻繁使用習(xí)語��、俚語等進(jìn)行交流��。只有你完全沉浸其中���,才能精通這些特殊的語言�,否則你根本無法了解他們在說的是什么�����。這就像是我在看我14歲的表弟發(fā)短信�����,他使用的也是英語����,但是我卻不知道他在說什么。
原因二:很難打入其內(nèi)部
王富貴:我知道我的英語很流利�����,但是有好幾次我溜進(jìn)黑客社區(qū)���,我還是不知道他們在說什么����。隨著社會的發(fā)展����,習(xí)語正在創(chuàng)造新的語言。第二個(gè)原因��,很難滲透進(jìn)已經(jīng)形成信任的環(huán)境中。
李狗蛋:在深網(wǎng)和暗網(wǎng)中�����,最大的困難是由他們自然的背景決定的���。無論是宗教極端主義組織論壇�、基地組織論壇���,非法的東歐和東亞黑客���,還是惡意軟件和欺詐社區(qū),都在社區(qū)的入口設(shè)置了密碼��,關(guān)閉注冊的入口����。并且都設(shè)置了虛擬的管理員,他們老練且多疑���。如果你沒有推薦���,在社區(qū)中沒有聲譽(yù)���,那么你只會被拒之門外。所以說���,這就像前面談到的,你需要多年的努力�,來建立信任度。而這又涉及到大量的復(fù)雜的技巧����,你需要具備相關(guān)領(lǐng)域內(nèi)的知識、語言能力�,這樣才能讓你表現(xiàn)得像是核心圈子里值得信任的人。
原因三:他們極其隱蔽
王富貴:仔細(xì)想想����,他們疑神疑鬼是有道理的,不僅研究機(jī)構(gòu)���,就連執(zhí)法機(jī)關(guān)也想被邀請加入進(jìn)去���。這就引出了第三個(gè)原因,如果你不知道這些組織在哪�����,那你根本就不可能加入他們,甚至都不知道去哪能找到他們��。
李狗蛋:確實(shí)是這樣�!在現(xiàn)實(shí)中,深網(wǎng)和暗網(wǎng)沒有目錄頁�����。如果你說你想了解����,深網(wǎng)和暗網(wǎng)中最重要的前10個(gè)東歐網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)是怎么樣的,本身就需要付出極大的努力�����。你需要對深網(wǎng)和暗網(wǎng)中數(shù)百個(gè)虛擬的社區(qū)進(jìn)行分析和優(yōu)先級區(qū)分����,這是一項(xiàng)非常具有挑戰(zhàn)性的任務(wù)。這也引出了下一個(gè)問題�����,就是你在深網(wǎng)和暗網(wǎng)中發(fā)現(xiàn)了一個(gè)社區(qū),那你如何了解你所監(jiān)控的信息是可信的��,值得你花費(fèi)時(shí)間呢�����?所以當(dāng)你在面對深網(wǎng)和暗網(wǎng)的復(fù)雜局面時(shí)��,分類和優(yōu)先級區(qū)分是另外一個(gè)層面的復(fù)雜難題����。?
原因四:難以突破其防御系統(tǒng)
王富貴:即使你能順利找到他們���,但是想加入也并非易事對吧����?因?yàn)樗麄儠⑵鹱约旱姆烙到y(tǒng)�!
李狗蛋:即使這些環(huán)境是對外開放的,你也必須建立一個(gè)不可歸屬的郵箱���。有時(shí)候他們也會要求提供其他的標(biāo)識符����,以此來提高加入社區(qū)的難度。但是最值得注意的是��,如果我們發(fā)現(xiàn)一個(gè)重要的社區(qū)�,那么他們的注冊入口都是關(guān)閉的。這些社區(qū)中的虛擬管理員的職責(zé)是確保沒有安全研究員進(jìn)入�,沒有執(zhí)法人員進(jìn)入,沒有破壞者進(jìn)入����。他們對任何看起來不確定的事情,都非常敏感�。因此在驗(yàn)證和審查的過程中,可能會涉及許多事情���,比如在QQ�、IRC或者Jabber等聊天媒介中與管理員進(jìn)行一對一對話�。還可能會識別你之前在其他論壇上的全部發(fā)帖歷史,或者提交一個(gè)代碼樣本�,亦或是由現(xiàn)有會員投票決定你的加入申請。如果你的加入申請沒有達(dá)到會員投票數(shù)的門檻����,那么很可惜����,你無法加入他們的組織��。
原因五:無法確定信息的可信度
王富貴:關(guān)于第5個(gè)原因�����,你之前也提到過��,就是我們很難確定哪些信息是可靠的����,哪些是垃圾信息�����。
李狗蛋:這是一個(gè)價(jià)值達(dá)到數(shù)十億美元的市場所帶來的必然結(jié)果��。出于各種原因��,不少人覺得深網(wǎng)和暗網(wǎng)是一個(gè)非常不錯(cuò)的地方�。很多人通過對外虛假宣稱可以出售商品和服務(wù),并以此欺騙很多受害者���。這些受騙者還會很高興的以為獲得了潛在的信用卡��、憑證等�����。以及只是為了想要加入這些環(huán)境的人���,而虛假的聲稱自己擁有的能力和訪問權(quán)限��。因此你需要能夠解析這些數(shù)據(jù)����,并將精力集中在最重要和最有價(jià)值的信息上����。數(shù)據(jù)量只是你在網(wǎng)絡(luò)中看到的一小部分干擾,但這仍然非常具有挑戰(zhàn)性�����。它需要非常周到的分析框架和相關(guān)的專業(yè)知識���。接下來我們將會談到�,怎么解決這些干擾的數(shù)據(jù)。
原因六:需要花費(fèi)大量人力物力
王富貴:這聽起來就需要大量人力物力才能完成����。
李狗蛋:大規(guī)模地完成這項(xiàng)工作當(dāng)然會花費(fèi)高昂。雖然你也可以只讓幾個(gè)分析師每天登錄到幾個(gè)論壇�����,并進(jìn)行定期的觀察��。但現(xiàn)實(shí)是�����,這還遠(yuǎn)遠(yuǎn)不夠����。分析師們需要參與進(jìn)去�����,還從其中尋找新的黑客組織和新的技術(shù)�����。但是在分析師的足跡之上,技術(shù)也起到了補(bǔ)充作用�����。接下來我們會重點(diǎn)討論這個(gè)問題����。當(dāng)我們把尋找擁有所需技術(shù)的專家,可以推動技術(shù)授權(quán)的方式來挖掘和監(jiān)控深網(wǎng)和暗網(wǎng)的工程師�����,以及所有圍繞這項(xiàng)工作的基礎(chǔ)設(shè)施�����,包括非歸屬手機(jī)���、可歸屬基礎(chǔ)設(shè)施等�����,都結(jié)合在一起的時(shí)候����,我們會發(fā)現(xiàn)成本會增加得很快,并且非常令人生畏����。
原因七:危險(xiǎn)系數(shù)高
王富貴:接下來和我們說一說第7個(gè)原因——這么做是很危險(xiǎn)。
李狗蛋:這是互聯(lián)網(wǎng)上一個(gè)充滿荊棘的荒野角落����,對于在網(wǎng)絡(luò)那端的對手來說,這就是一項(xiàng)事業(yè)�����。關(guān)于發(fā)生在張大錘(安全專家)身上的事情����,以及他在報(bào)道網(wǎng)絡(luò)犯罪時(shí),遇到的黑客對手就是很好的例子����。那些老練的、資源豐富的惡意行動者可以采取各種不同的策略����,對那些他們認(rèn)為不應(yīng)該進(jìn)入他們領(lǐng)域的人進(jìn)行反擊�����,包括劫持智能設(shè)備攻擊、人肉搜索�,甚至是給張大錘寄海洛因等。這些都是非常真實(shí)的案例����,而且會導(dǎo)致非常嚴(yán)重的錯(cuò)誤發(fā)生。當(dāng)然張大錘有足夠的資源來解決這些致命的事件����。可是當(dāng)你的網(wǎng)絡(luò)足跡被暴露���,并且被發(fā)現(xiàn)你真實(shí)身份不是他們中的一員��,而是來自于一個(gè)財(cái)富100強(qiáng)的公司��。這樣的后果可能會非常嚴(yán)重����。
原因八:人才稀缺?
王富貴:你是從哪里找到擁有這些技能和能力的人�����,去做這類的研究呢?
李狗蛋:毫無疑問的是����,你是企業(yè)的一員,還是解決方案供應(yīng)商的一員��,這都是我們這一代身處網(wǎng)絡(luò)安全行業(yè)需要面對的問題��。可是一個(gè)不幸的事實(shí)是��,擁有所需專業(yè)知識技能和語言專業(yè)知識的人才嚴(yán)重短缺��。雖然我很希望克隆每一個(gè)“老安全公司”的團(tuán)隊(duì)成員�,但是這是不可能的。但是我們需要做得更好�����,以填補(bǔ)人才空缺�,我們需要繼續(xù)跟上這一挑戰(zhàn)的步伐。我們的對手在這方面扎得很深�,需要我們有能力跟得上對手們的節(jié)奏,甚至是做到比他們領(lǐng)先一步�。因此填補(bǔ)所有的職位空缺是很有挑戰(zhàn)性的。
王富貴:我從調(diào)查中注意到,其實(shí)很難找到這一類人�。因?yàn)榧词顾麄兣銮蔀椤袄习踩尽惫ぷ?�,或者是為威脅和情報(bào)的組織工作�,他們的檔案中也沒有相關(guān)的關(guān)聯(lián)。而且他們也不能這么做��。
李狗蛋:完全正確���,這是一個(gè)隱秘的世界�����。
原因九:缺少高效的工具
王富貴:第九點(diǎn)����,讓我們來談?wù)劄榱擞行У刈龅竭@一點(diǎn)����,你必須開發(fā)工具。
李狗蛋:我們首先有一個(gè)認(rèn)識的基礎(chǔ)����,就是深網(wǎng)和暗網(wǎng)中的數(shù)據(jù)量與公開網(wǎng)絡(luò)中的數(shù)據(jù)量比起來是小巫見大巫。但是仍然無法通過人工做到這一點(diǎn),必須是人與機(jī)器相結(jié)合才行����。我和我的聯(lián)合創(chuàng)始人都是作為深網(wǎng)和暗網(wǎng)的分析師成長起來的。我可以非常直接的告訴你�,沒有什么比試圖用人工的方式監(jiān)控深網(wǎng)和暗網(wǎng)更痛苦的了。
李狗蛋:從打開多個(gè)Tor瀏覽器��,管理不同站點(diǎn)的幾十個(gè)不同憑證����,再到識別這些線上和線下的站點(diǎn)。因此即使可以���,在深網(wǎng)和暗網(wǎng)中通過人工做歷史資料收集和調(diào)查是非常困難的���。而且你在這些論壇上進(jìn)行任何搜索都會受到管理員的密切監(jiān)控。如果你想全面地了解一個(gè)特定的問題�����,你實(shí)際上已經(jīng)進(jìn)行了100次不同的搜索��。
李狗蛋:簡而言之��,開發(fā)工具不僅能夠幫助內(nèi)部分析師,還能幫助客戶�,這是非常必要的?���!袄习踩尽钡暮诵木袷侨绾螌⒎治鰩焾F(tuán)隊(duì)作為偵察兵與這些網(wǎng)絡(luò)環(huán)境結(jié)合����,進(jìn)行識別、優(yōu)先級排序和獲得準(zhǔn)入權(quán)限����。而不是試圖雇傭上千人的團(tuán)隊(duì),坐在那里不斷刷新���,尋找有趣且相關(guān)的動態(tài)����。相反將他們與軟件開發(fā)團(tuán)隊(duì)配對��,以一種持久的方式自動化擴(kuò)展�����,提高整個(gè)過程的效率,以及盡可能降低整個(gè)工作的總體風(fēng)險(xiǎn)��。
原因十:時(shí)間緊迫
王富貴:最后�����,第十條理由����,你自己做不到。你不能等待��!那么迫切性是什么呢���?
李狗蛋:我們看到越來越多樣化的目標(biāo)被鎖定��。數(shù)量遠(yuǎn)遠(yuǎn)超出了歷史目標(biāo)����,而且攻擊已經(jīng)成為付費(fèi)服務(wù)��。無論是醫(yī)療保健行業(yè)�、零售行業(yè)、技術(shù)行業(yè)�����、電信行業(yè),在地下社區(qū)都有一個(gè)普遍的共識���,有豐富的途徑可以收集到豐富的數(shù)據(jù)���。這也激勵(lì)他們真正把眼光投向更廣闊的領(lǐng)域。所以我們在過去6-12個(gè)月的時(shí)間里����,看到的是深網(wǎng)和暗網(wǎng)威脅情報(bào)與一個(gè)組織的威脅風(fēng)險(xiǎn)管理計(jì)劃的相關(guān)性�,變得更加緊迫。
李狗蛋:這會涉及到很多團(tuán)隊(duì)���,無論是網(wǎng)絡(luò)威脅情報(bào)團(tuán)隊(duì)�、欺詐團(tuán)隊(duì)����、專注于DLP的團(tuán)隊(duì),還是專注于行政保護(hù)和物理安全的團(tuán)隊(duì)����,都可以從深網(wǎng)和暗網(wǎng)中收集多種不同類型的信息�����。深網(wǎng)和暗網(wǎng)可以進(jìn)行多種應(yīng)用和使用�����。我們還看到��,組織已經(jīng)內(nèi)部化了對開放網(wǎng)絡(luò)的監(jiān)控�����。如果你問2011年的網(wǎng)絡(luò)安全人員�����,為什么需要監(jiān)控開放網(wǎng)絡(luò)��?你得到的可能會是很多茫然的目光���。但是如果你今天問同樣一群人,每個(gè)人都會認(rèn)為開放網(wǎng)絡(luò)在整體安全運(yùn)營中�,扮演著重要角色。
李狗蛋:我們看到已經(jīng)有越來越多的組織對深網(wǎng)和暗網(wǎng)已經(jīng)有了相同的認(rèn)識和理解��。因?yàn)橄袷峭铺睾湍槙o他們上了堂有價(jià)值的課����。真正的威脅更大程度集中在深網(wǎng)和暗網(wǎng)中。
互動
王富貴:很好�,我們現(xiàn)在了解了全部的10個(gè)原因。接下來�,將由主持人和李狗蛋負(fù)責(zé)問答環(huán)節(jié),如果你有任何關(guān)于深網(wǎng)和暗網(wǎng)情報(bào)收集的問題都可以提問�。我可以回答任何關(guān)于我所研究的行業(yè)的問題。接下來�,交給主持人。
主持人:提醒一下��,大家如果有任何問題���,請?jiān)谖覀兤脚_上的網(wǎng)絡(luò)研討會上舉手,或者是在問題窗口輸入你的問題��。我們會根據(jù)提問回答問題��。
王富貴:李狗蛋在等待期間���,我有個(gè)問題想問���。就像是我們說的��,我們看到人們每天都在追求潮流�����,對吧�����?即使是在創(chuàng)業(yè)����,一旦發(fā)現(xiàn)了新的項(xiàng)目�����,或者是有創(chuàng)業(yè)公司獲得了大量資金����。那么短時(shí)間內(nèi),就會涌現(xiàn)出大量創(chuàng)業(yè)公司���,用不同的方法去解決相同的問題����。所以在你追蹤的這個(gè)地下世界里,如果所有南加州的醫(yī)院都為了一個(gè)勒索軟件攻擊而支付了贖金����,那么論壇里的對話會迅速轉(zhuǎn)變成是“嘿,有人知道我們可以攻擊的其他銀行和醫(yī)院嗎”����?
李狗蛋: 歸根結(jié)底,他們都是一些為了經(jīng)濟(jì)利益的人���。在很多情況下�,這是他們的全職工作����,他們高度成熟,全身心投入�����,總是在尋找新的機(jī)會去施展他們的才能��。他們其實(shí)和安全研究團(tuán)體們的做法非常類似�����。就像是警察會深入剖析起訴書�����,從反間諜的角度入手����,去了解執(zhí)法成功的時(shí)間,打擊一個(gè)特定的犯罪的時(shí)間��。為了達(dá)到同樣的目的�����,他們也會采取類似的做法�。他們會研究整個(gè)犯罪生態(tài)系統(tǒng),研究攻擊活動��,研究存在漏洞和弱點(diǎn)的特定組織�,并從成功案例中尋找線索等。
主持人:謝謝王富貴���,這里有一個(gè)問題����,我來讀一下。「問題是���,你是否在積極地監(jiān)控I2P(匿名網(wǎng)絡(luò))����,以及你在哪些市場上發(fā)現(xiàn)了在出售的PII(個(gè)人身份信息)或者其他高風(fēng)險(xiǎn)憑證呢��?」
李狗蛋:謝謝你提出的問題�����。我們一直都在關(guān)注I2P(匿名網(wǎng)絡(luò))����,實(shí)際上我們“老安全公司”的首席科學(xué)家趙安全是I2P的發(fā)明者之一,他對其中的技術(shù)有有獨(dú)到的了解和洞察���。有機(jī)會的話����,我會很高興能在線下聊一聊����,我們看到的相關(guān)信息。I2P是一項(xiàng)新興的技術(shù)�,與我們在洋蔥網(wǎng)絡(luò)和透明網(wǎng)絡(luò)上看到的非法活動相比,在I2P上還沒有看到大量的非法活動����。
李狗蛋:簡而言之,當(dāng)你審視深網(wǎng)和暗網(wǎng)時(shí)�,你會覺得這就像是一場貓鼠游戲。生活中總會有新的技術(shù)出現(xiàn)����,總會有未知的東西出現(xiàn),而威脅行動者希望能夠利用這些新的技術(shù)等�����。在地下世界���,我們昨天看到了一些很有趣的討論�����。
李狗蛋:Whatsapp宣布他們正在對自己的app進(jìn)行通信加密�����。隨著許多宗教極端主義組織在推特上的賬號被關(guān)閉��,他們?nèi)绾螐耐铺剞D(zhuǎn)向Telegram變成了一件有趣的事情����。同開放網(wǎng)絡(luò)相比,我們會覺得深網(wǎng)和暗網(wǎng)的復(fù)雜性和難度是更大的����。開放網(wǎng)絡(luò)大都是設(shè)置它然后忘記它,比如你想插入推特的Firehose�,并使用它,你也是可以負(fù)擔(dān)得起��。而且如果你愿意����,你可以插入更薄的API版本。即使是5年之后���,推特的API可能也不會有真正的變化����。可是在深網(wǎng)和暗網(wǎng)中�,不法分子們總是在密切關(guān)注對手們的變化�����,以此來調(diào)整他們的技術(shù)�����,他們的環(huán)境���,他們的TTPs��,并且嘗試著做到比對手更快一步����。
主持人:又有人提出了新的問題�,「這個(gè)問題是,你如何評估暗網(wǎng)上賣家的可信度�?」
李狗蛋:好問題!所以我們會查看他們以前的發(fā)帖歷史�。從群體資源的角度來看��,深網(wǎng)和暗網(wǎng)是很有幫助的�����,他們通常是群體對特定個(gè)體的反饋����。此外����,我們還會讓這些人直接參與進(jìn)來,通常是以線下的方式來更好地感受他們的可信度�,以及他們所擁有的訪問權(quán)限的有效性。然而最大的挑戰(zhàn)是�,某人為了特定的活動而創(chuàng)造的新身份和新“馬甲”。我們已經(jīng)看到在最近幾個(gè)月的時(shí)間里����,由于各種不可抵擋的原因,這些人為了某些活動選擇了放棄使用原來在深網(wǎng)和暗網(wǎng)中的身份����。他們會創(chuàng)建新的用戶名,尋找和招募合作者���、共謀者或買家等�,以獲得他們可能擁有的特殊權(quán)限。
李狗蛋:這樣驗(yàn)證他們的可信度就更難了����,因?yàn)槟銢]辦法查看他們以前的發(fā)帖歷史,你無法從地下論壇和地下市場上了解他們的聲譽(yù)�����。所以就需要有能力以線下的方式來評估他們的信譽(yù)度���,在線下需要清楚知道需要問哪些問題,或者是列出一個(gè)免費(fèi)的數(shù)據(jù)樣本等�����。所有這些都可以作為評估的依據(jù)����。不過需要再強(qiáng)調(diào)一次的是,你需要掌握足夠的技能���,以一種順暢和動態(tài)的方式來與他們進(jìn)行對話�����。
王富貴:李狗蛋你的發(fā)言讓我思考了很多���,非常感謝你讓你了解了什么是真正的深網(wǎng)和暗網(wǎng)威脅情報(bào)��。
李狗蛋:王富貴很高興今天能與你交流�����,感謝所有參加我們這次網(wǎng)絡(luò)研討會的人����。希望我們的討論對你們有所幫助����,也希望有機(jī)會能與你們進(jìn)行深入交流。
【零零信安翻譯整理】
