将暗网作为您的预警系统

想象一下，您是一名航空公司高管，在一个异常宁静的周一早晨，坐在办公桌前喝着一杯新煮的咖啡。您感觉神清气爽、放松，并为接下来的一周做好准备。

当您查看收件箱时，Slack 通知熟悉的“哒哒哒”声吸引了您的注意。

您点开窗口后，看到安全运营中心 (SOC) 负责人发来一条坏消息，“暗网中的某个数据经纪人正在公开售卖我们的大量客户记录。”

您要做什么？召集公司领导紧急会议？打电话报警？

您的第一反应可能是惊慌失措。我们的数据在暗网上。这很糟糕。

但是，理想情况下，您会要求威胁情报分析师在做出反应之前进行更深入的挖掘。

因为网络罪犯并不完全值得信赖，而且他们兜售的那些记录可能不是他们所声称的那样。也许他们真正拥有的是来自某个旅游网站的第三方数据，而该网站与你们的联系并不紧密。也许他们只是在使用您组织非常知名的名称来吸引买家。

这意味着您的客户数据是安全的，您不需要执行大规模、昂贵的公开响应。您可能根本不需要执行任何操作。

本次思考练习（改编自 IBM® X-Force 处理的真实事件）的重点是，暗网的实际运作远比其骇人形象更接近实际场景。

它平平无奇，而又广为人知。

当然，暗网是许多不正当和直接恶意活动的发源地，但围绕着这个阴暗角落的传说会影响人们的判断。

通过密切、冷静和理性地监控暗网活动，组织可以超越传言，准确了解这个著名黑客天堂的真实情况。

话虽如此，暗网可能是一个难以行进的领域。事实上，犯罪分子甚至可能相互感染以获取洞察分析或访问数据和银行账户。获得合格的网络安全专业人员的支持很有帮助，他们可以区分空洞的威胁和真正的风险。

忽略那些不祥的名字和都市传说。归根结底，暗网只是互联网的一个特殊部分，尽管是一个有意被掩盖的部分。

就宏观层面而言，我们可以将互联网定义为三层。

1. 开放网络，其中包括您可以在搜索引擎上找到的所有面向公众的网站。
    
2. 深网，包括搜索引擎未编入索引的内容。深网比开放网络大得多，而且其中大部分是无害的。您的在线银行账户？付费内容？那就是深网。
   
   
3. 暗网是深网的一个分支，需要使用特殊的浏览软件（如 Tor 浏览器）才能访问。

暗网是什么样的？其与开放网络并无太大区别。人们聚集在论坛上。他们在市场上卖东西。最大的区别在于，他们讨论和销售的东西需要一定的匿名性。

并非暗网上发生的一切都是恶意的。例如，记者可以使用它来获取和分享机密信息。

但是，确实，许多暗网居民都是网络罪犯。他们的论坛不是专注于电视节目和小众爱好，而是用于交易漏洞信息和招募新的帮派成员。他们不卖衣服和视频游戏，而是卖恶意软件、信用卡号和被盗凭据。大量被盗的凭据。

根据 X-Force Threat Intelligence Index，有效账户劫持是最常见的初始数据泄露媒介之一，占网络攻击的 30%。

仅在 2024 年第四季度，X-Force 就发现暗网上出售了 120 万组凭据，通常每条记录的价格低至 14 美元。其他黑客购买这些凭据并使用它们进行身份盗窃或闯入企业网络。

部分网络罪犯会提供“恶意软件即服务”，将经典的软件即服务 (SaaS) 模型应用于勒索软件和其他恶意软件。这些威胁参与者向关联机构出售专有恶意软件，关联机构则使用恶意软件发起攻击，并与创建者瓜分部分非法所得。

此外，访问代理会潜伏于目标系统，并向其他网络罪犯出售访问权限，任其为所欲为。

无论是出售数据、访问权限还是恶意软件，这些网络罪犯通常都是团伙作案，而非单打独斗。但监视这些犯罪团伙异常困难。他们往往会快速形成、活跃并悄然消散。例如，2025 年第一季度暗网最活跃的勒索软件团伙中，超过半数的存在时间不足一年。

暗网中的力量平衡总是在不断变化。执法部门摧毁帮派。被解散的关联公司拆分出来，组建自己的企业。有时帮派之间的竞争会导致直接攻击。今年 2 月就是这种情况，当时一个敌对帮派泄露了臭名昭著的 Lockbit 组织的勒索软件最新版本的代码。

这种快速的变化以及帮派和市场之间错综复杂的动态关系只是与专门的威胁情报分析师合作的诸多原因中的几个，他们可以为您的组织密切关注暗网交易。在这一片混乱之中，很容易忽视那些可能预示着对您的业务构成威胁的危险信号。

我们大多数人都知道，不要轻信陌生人在社交媒体上发布的未经证实的帖子。然而，当网络罪犯声称他们拥有敏感数据时，尽管没有任何证据，我们还是倾向于相信他们。

我们真的不应该。这是专家威胁情报分析师可以派上用场的另一个领域：在暗网上从虚构中辨别事实。

网络罪犯会说谎。经常如此。他们经常声称拥有来自大型领先组织的数据，但实际上他们没有。这是为什么？让自己看起来比实际上更有成就，从而树立起熟练黑客的江湖声誉。或者他们可能正在试图利用他们所拥有的一些不太有吸引力的数据来招揽生意。

例如，一个团伙可能声称拥有来自全球主要品牌的数据。当潜在客户出现时，该团伙表示数据已经出售，但他们可以提供一些来自不太知名的组织的其他数据。它本质上是一种针对其他网络罪犯的社会工程形式。

另外，网络罪犯并不总是公开宣传他们所拥有的数据。为了避免被抓住，他们经常会混淆受害者。他们可能不会说他们有来自 X 公司的数据，而是会说：“我们有来自 Y 行业、规模为 X、估值为 Z 的公司的数据。”

组织需要的是一个复杂的监控程序，它既能准确识别虚假泄密，也能识别真实但经过伪装的威胁。

将资源用于暗网监控的最终价值不仅仅是破除迷信和识破网络罪犯的谎言。其意义还在于有了正确的工具和团队，组织就可以将暗网变成一个预警系统，就像矿井中的金丝雀，在攻击造成重大破坏之前检测到它们。

现在，如果一个组织的数据或网络入口点在暗网上出售，这确实意味着它已经被入侵。但有时这正是可以检测到攻击的最早时间点。

当今尤其如此，威胁参与者越来越多地采用更隐蔽的攻击方法，例如接管用户帐户，甚至与滥用合法权限的恶意内部人员合作。我们在暗网上看到过自称是被入侵公司员工或员工合作伙伴的访问掮客。

攻击者还开始利用所谓的“骚扰性”小恶意软件来传播更大的有效载荷，例如通过信息窃取程序偷偷植入勒索软件。当他们进入网络后，往往进行“离地攻击”。也就是说，他们使用合法的网络基础设施（例如 PowerShell 脚本和真实用户帐户）在网络中移动并访问敏感资产。

标准网络安全工具经常会忽略这种活动，因为它看起来并不具有恶意；它看起来像是授权用户和系统在做获得授权的事情。

因此，有时，直到数据进入暗网，才有人发现不对劲。通过在这些数据出现时捕获这些数据，组织可以迅速采取行动将影响降至最低。他们可以更改受感染帐户的凭据或关闭具有已知后门的服务器。数据转储变得毫无价值，攻击的全部范围永远不会实现。

要实现这种级别的监控，需要的不仅仅是购买一些威胁情报源或自助服务平台。这需要专门的分析师，他们知道如何利用所有这些数据以及如何找到网络罪犯故意隐藏的威胁。这些分析师可以解释结果、添加背景信息、优先考虑真正的风险，并引导组织采取有效行动。