暗网里
“暗网”不仅是毒品和武器的非法交易市场,尽管这些肯定存在。它也正在成为网络犯罪团伙的重要招募平台。
随着勒索软件即服务背后的基础设施变得越来越专业和复杂,暗网(未公开的网站,只能通过 Tor 网络等加密技术访问)成为了解网络攻击者如何行动的重要空间。对于企业来说,它可以提供有价值的见解,了解犯罪团伙如何瞄准白领 IT 专业人士以及他们成功的原因。
什么是暗网以及谁在使用它?
所谓的暗网有很多神秘之处。它的名字让人想起 90 年代的黑客美学和 Mr Robot 风格的赛博朋克世界。但实际上,暗网仅指一种私人的、通常是加密的网络,在我们大多数人每天使用的公共互联网上是看不到的。通常,这需要一些专业知识,例如如何连接和浏览 Tor 网络,才能访问它。
尽管暗网的名字听起来不祥,名声也不好,但并非所有暗网交易都是邪恶的。“有很多人出于完全正当的理由在那里活跃,”伦敦跨学科学院教授暗网课程的马克·弗兰克尔 (Mark Frankel) 说。例如,用户可能是遭受压迫的国家中的政治异见人士,或者他们可能需要规避网络审查。
其他人的需求可能更平淡无奇。一些用户可能最近被赶出家门,没有固定住址,因此无法通过通常的合法渠道购买药物。其他人可能出于各种原因需要保护自己的匿名性,弗兰克尔补充道:“暗网用户可能是之前与当局发生过冲突的人。他们完全合法,但仍然喜欢在更隐秘的环境中活动。”许多人只是不希望在公共网络上被追踪,就像我们其他人每天都被追踪一样。
网络犯罪分子如何利用暗网
但也有一些人利用暗网进行犯罪。最臭名昭著的可能是暗网市场,例如现已关闭的丝绸之路和九头蛇市场,用户可以在那里自由交易非法商品。
在毒品、武器和假冒商品中,网络犯罪是越来越有利可图的收入来源。即使在执法部门进行国际打击之后,暗网市场在 2023 年的价值仍达到 17 亿美元(13 亿英镑)。鉴于大多数个人勒索软件支付总额超过 100 万美元(760,000 英镑),可以合理地假设网络犯罪构成了暗网市场价值的相当大一部分。
在这些市场上,用户可以以“即服务”的方式购买攻击,即外包进行攻击的技术专长。买家可以付钱让犯罪分子部署勒索软件或分布式拒绝服务 (DDoS) 攻击,或针对个人窃取密码或其他欺诈目的。
暗网不仅是犯罪分子在黑社会招揽新业务的地方,同时也是一个学习的空间,网络犯罪分子会利用暗网论坛讨论恶意软件的新策略和新发展。
犯罪分子们正在讨论哪些大型语言模型最适合进行网络钓鱼攻击,哪些更适合编写恶意软件。安全平台 Cato Networks 的首席安全策略师 Etay Maor 表示,攻击者可以在俄语论坛上讨论WormGPT,他们声称这是第一个由人工智能驱动的生成式恶意软件。尽管人们发现它在功能上毫无用处。
在这些论坛上,暗网已成为机器学习人才的新招聘平台,在寻找具有这些备受追捧的能力的人才方面引入了新的竞争对手。这使得那些希望聘用掌握 GenAI 等新兴技术所需技能的企业与网络犯罪分子争夺同样的人才。
网络犯罪技能差距
对于许多合法的安全专业人员来说,他们的工作越来越吃力不讨好。国防智库 RUSI 最近发布的一份报告发现,当出现问题时,人们往往会把责任推到网络安全工作者身上,一旦发生攻击,他们就会面临长时间工作、疲劳甚至出现类似创伤后应激障碍的症状。网络行业组织 CIISec表示,合法的信息安全专业人员报告称,他们精疲力竭,就业前景黯淡,一些人转向暗网论坛寻找工作。
“我们已经看到几个团体,包括臭名昭著的勒索软件团伙 Lockbit,都在寻求招募人员,”Maor 补充道。“他们在暗网论坛和 Telegram 频道上列出了他们正在寻找的技术能力。”更令人担忧的是,这些潜在的招募者不一定会放弃合法工作而从事非法工作,他们同时从事这两份工作。“我们看到内部人士宣传他们拥有的权限,包括大型电信公司的权限,”Maor 继续说道。
“归根结底,人们必须养家糊口,”他说。“当世界上出现像俄罗斯和乌克兰这样的冲突时,人们就会失业。你会看到有人突然说:‘我知道如何做 X,或者我曾经是 Y 公司的员工’,然后他们就会被录用。”
商业领袖如何利用暗网
企业高管可以通过多种方式利用暗网改善运营。营销人员可以利用暗网获取有关其产品假冒情况的宝贵信息,而首席信息安全官可以从有关新兴威胁模型的讨论中获得见解。
对于那些对犯罪分子破坏现有软件或利用漏洞攻击企业的方法感到好奇的公司来说,暗网上的讨论可能会提供一些线索。马奥尔举了 LockBit 网络犯罪团伙的例子,该团伙重新设计了网络安全公司卡巴斯基创建的一款免费工具,以禁用受害者机器上的 Windows Defender 防病毒软件。
弗兰克尔表示,就像美国联邦调查局和中央情报局定期在黑帽黑客活动中寻找网络人才一样,合法企业的 HR 领导者可以在暗网上找到高技能、创新和技术人才。
内部威胁及其他:关于人员和流程的教训
对于 IT 领导者来说,最重要的一课应该是审视自己的员工和流程。
勒索软件等网络威胁不会消失。虽然企业可以在暗网上搜索潜在攻击的迹象,但几乎不可能监控所有潜在来源。
因此,了解暗网上访问代理的普遍性(其中许多会自动发现公司网络中的弱点)应该鼓励网络领导者不仅要保护自己的边界,还要努力审计业务合作伙伴并保护他们的整个供应链。
考虑到越来越多的安全专业人员兼职从事犯罪工作,企业最好制定零信任访问管理政策,确保个人只能访问他们工作所需的信息。Comparitech 安全研究主管 Mantas Sasnauskas 表示:“最薄弱的环节通常是人,从内部威胁到员工点击恶意链接,再到有人进入公司内部网络。”
这意味着要确保安全得到企业各个层面的认可,同时还要确保数据处理政策遵守 NIST 和 ISO 27001 等安全框架。“正如一个很棒的模因所说,黑客并不关心你的政策,”Sasnauskas 说。“所以你需要看看你的政策和程序是否真的有效。”
企业也应该学会善待员工。网络员工越来越感到自己被低估、工作过度、薪水过低和精疲力竭,这些事实应该引起人们的关注。最近的研究发现,善待员工的企业也更具韧性。
虽然暗网对于合法企业的领导者来说似乎是禁区,但我们可以从这些地下数字空间中学到重要的教训。