「暗網監控」是指持續掃描暗網上是否有敏感的個人或企業資料,例如遭人外洩、竊取或販賣到網路上的使用者名稱、密碼、信用卡卡號,或智慧財產。這類監控系統會在發現外洩的資料時發出警報,以便迅速回應潛在的資安事件。
目錄
駭客隨時都在網際網路的陰暗角落裡從事著企業登入憑證與個人資訊的交易,因此暗網監控已成為主動式資安防禦策略不可或缺的一環。
認識暗網
暗網 (dark web) 是網際網路隱藏的部分,傳統的搜尋引擎無法為其製作索引,並且只能透過 Tor (The Onion Router) 或 I2P (Invisible Internet Project) 這類特殊的瀏覽器來存取,它是整個深網 (deep web) 的其中一環,後者還包括了所有受密碼保護以及未被製作索引的網頁。不過,暗網之所以特別突出,就在它必須依賴匿名網路,以及它涉及了非法活動。
暗網、深網、表網的差別
為了更深入了解暗網在網路資安風險當中的角色,很重要的一點是要能分辨網際網路的三個層次:
- 表網 (surface web):搜尋引擎能製作索引、並且可公開存取的網站 (如:新聞媒體、網路商店)。
- 深網 (deep web):隱藏在收費機制或登入畫面背後的網頁 (如:醫療記錄、學術檔案)。
- 暗網 (dark web):深網當中一小部分經過加密且用於匿名通訊的網站,經常用來架設非法市集、駭客論壇,以及資料外洩儲存庫。
暗網並非只是犯罪集團的避風港,它同時也為需要保護自身身分的記者、行動主義者以及吹哨者提供了一個安全的空間。只不過,它的匿名性讓它變成了駭客活動的熱門場所。
暗網監控如何運作?
暗網監控是一套多層式流程,結合了情報蒐集、專家調查、事件快速處理,以及與更大的資安系統整合,來降低暴露與風險。
威脅情報
這套流程一開始會先從各種暗網來源持續蒐集資料,例如:論壇、市集、加密訊息平台,以及遭到外洩的資料。這些來源提供了有關失竊登入憑證、外洩資料,以及新興攻擊手法的原始情報。藉由比對這些資料與企業的資產,就能讓監控工具提早發掘潛在的威脅。
威脅追蹤
分析師和 AI 驅動系統會主動搜尋與您企業相關的入侵指標 (IoC),其搜尋的目標包括您暴露在外的電子郵件地址、員工登入憑證、機密文件,或是遭到竊取的智慧財產。威脅追蹤能提供情境資訊、過濾誤判情況、發掘自動化掃描可能忽略的隱藏威脅。
更快的事件回應
當偵測到外洩資料時,系統會發出即時警報,此時資安團隊可立即重設登入憑證、隔離受影響的系統,或是通知受影響的使用者。如此迅速的回應就能降低潛在損害、縮短威脅滯留時間,並且履行法規要求的資料外洩通報義務。
整合至資安平台
如何建置暗網監控
想要建立一套有效的暗網監控策略,企業必須仔細規劃並與整體網路資安框架整合。
挑選值得信賴的供應商
尋找一家能提供廣泛的暗網涵蓋率、即時警報,以及分析師洞見的廠商,確保他們能與您現有的工具 (如 SIEM、IAM 或 XDR) 整合。關鍵的差別在於他們是否具備產業專業知識,以及是否能準確偵測真正的威脅,而非只是發現外洩的資料。
與現有的資安基礎架構整合
暗網監控應該與您的整個網路資安框架相輔相成,當它與端點防護或威脅情報平台等工具整合時,就能讓您更清楚掌握潛在的資安事件,並提供更快、更明智的回應。
設定關鍵資料警報
建立觀察名單來監控高風險資產,例如:員工登入憑證、網域,以及敏感的客戶資料。將重點放在那些一旦暴露在外就會帶來嚴重業務風險的資料。微調警報的門檻來盡可能減少誤判。
擬定一套回應計畫
制定一套明確的事件回應流程來根據警報採取行動,包括:重設登入憑證、通知內部,以及履行合規相關通報。確保您的團隊知道該採取哪些步驟,以及誰該負責哪些事務。
教育員工
教育員工如何安全地使用密碼、如何防範網路釣魚,以及如何保護資料,這有助於避免那些暗網監控可能偵測到的曝險情況。具備良好知識的員工能大幅縮小您的攻擊面。
為何暗網監控對網路資安很重要
暗網監控在主動式網路資安態勢中扮演了基礎的角色,由於暗網是專門販售失竊登入憑證、敏感資料,以及漏洞攻擊套件的市集,因此,掌握這些陰暗的角落,對於隨時搶先駭客一步至關重要。
那些未能監控暗網風險的企業,將錯失早期入侵指標,進而延後偵測駭客入侵的時機,增加財務損失,並且招致法規懲處。
這類監控對於以下幾點尤其重要:
早期預警能力
企業若能預先偵測暴露在外的資料,不讓資料被用於攻擊,就能在損害發生之前採取行動。
防範勒索病毒與登入憑證濫用
駭客經常透過暗網來購買進入企業網路的登入憑證,監控可切斷這個過程。
符合法規
品牌與客戶信任
早期偵測與迅速行動,可降低資料公開外洩的風險,這有助於維持信任和信譽。
暗網監控的好處
暗網監控有許多好處可改善策略韌性與日常營運,例如:
即時的威脅可視性
一旦企業資料出現在暗網上,就能直接收到警報,不需仰賴第三方提供入侵通知,實現主動式防禦。
加快事件回應
警報會隨附情境資訊,因此資安團隊就能更快確認威脅並採取行動,減少暴露在外的時間以及調查工作的負擔。
經過人員確認的情報
許多平台都同時結合了自動化與專家分析,能確實過濾誤判的情況,您的團隊只會收到可化為行動的警報。
簡化合規與通報
監控作業可支援內部稽核與法規審核,提供詳細的記錄檔以及持續評估威脅的證據。
改善資源配置
資安團隊只需聚焦在高風險、經過確認的威脅,如此一來就能更有效率,不必浪費時間在雜訊或不相干的警報上。
暗網監控的挑戰與限制
雖然暗網監控是一項強大工具,但它仍存在一些限制。了解這些挑戰有助於設定實際的期望,並做出更聰明的網路資安規劃。
資料來源有限
許多暗網上的論壇和市集都採用邀請制,不然就是受到嚴密控管。自動化工具不一定能成功滲透這些封閉社群,所以就無法掌握一些高價值的威脅來源。
加密與匿名性
端對端加密與匿名化平台在暗網上很常見,這讓惡意活動的攔截或監控變得困難。駭客可輕易掩蓋自己的足跡,限制監控工具的觸及範圍。
誤判
自動化掃描經常會發現過時或無關的資料,若沒有經過專家的再次檢查,很可能讓資安團隊因雜訊而疲於奔命。人員的確認對於分辨真實的威脅與無關緊要的問題至關重要。
涵蓋率不完整
沒有任何解決方案可以掃描整個暗網,新的論壇隨時可能出現,但也可能隨時消失。即使是最好的工具,也只能提供部分、而非完整的涵蓋率。
有賴更廣泛的資安整合
光靠暗網監控無法防範資料外洩,最有效的是還要搭配強大的端點防護、存取控管,以及事件回應計畫。它應該被視為一種輔助,而非獨立的防禦。
哪裡可以取得有關暗網監控的協助?
駭客集團會透過網路釣魚來誘騙使用者,並透過攻擊網站、資料庫、網路及網站應用程式的漏洞來取得機密資料,例如使用者登入憑證。這些資訊通常會被拿到地下網路平台 (也就是暗網) 上交易或販售。
趨勢科技專家隨時都在監控網際網路 (尤其是暗網),來看看是否有被外洩的資料。一旦發現這類資料,就會加以確認並擷取至 Trend Vision One™ Cyber Risk Exposure Management (CREM) 資安曝險管理解決方案中。當您將一個網域登錄到 Trend Vision One 當中時,它就會執行一次掃描來確認該網域的使用者資料是否出現在遭到外洩的資料中,而且最遠可追溯至 2010 年的歷史資料。往後,Cyber Risk Exposure Management 也會每週執行一次額外的掃描。
Jon Clay 在網路資安領域擁有 29 年以上的資歷。Jon 憑著自身的產業經歷,經常在趨勢科技對外發布的各種威脅研究和情報當中分享其產業知識和分析洞見。