每個(gè)首席信息官（CIO）都不希望自己公司的數(shù)據(jù)最終落入暗網(wǎng)這種地方。一般來說，暗網(wǎng)包括那些沒有被谷歌這樣的流行搜索引擎索引的網(wǎng)站，也包括那些通常通過網(wǎng)絡(luò)攻擊獲得數(shù)據(jù)的地下黑市。獲取這些網(wǎng)站中數(shù)據(jù)提供的運(yùn)營(yíng)情報(bào)對(duì)于防范網(wǎng)絡(luò)犯罪分子至關(guān)重要，這些網(wǎng)絡(luò)犯罪分子會(huì)利用泄露的賬戶進(jìn)行攻擊、實(shí)施欺詐，或使用魚叉式網(wǎng)絡(luò)釣魚或品牌欺騙進(jìn)行活動(dòng)。暗網(wǎng)也是犯罪集團(tuán)的行動(dòng)、戰(zhàn)術(shù)和意圖的情報(bào)來源。監(jiān)控暗網(wǎng)泄露數(shù)據(jù)的工具可用于這些目的。

誰需要暗網(wǎng)監(jiān)控工具？

由于暗網(wǎng)網(wǎng)站通常只有受邀者（invite-only）才能進(jìn)入，因此要想進(jìn)入暗網(wǎng)，通常需要偽裝成惡意用戶或市場(chǎng)上想竊取身份或公司數(shù)據(jù)的人進(jìn)行滲透。這就要求個(gè)人或服務(wù)機(jī)構(gòu)具備相關(guān)技能，不僅能夠識(shí)別這些網(wǎng)站，還能獲取與保護(hù)企業(yè)身份或數(shù)據(jù)相關(guān)的數(shù)據(jù)。

大多數(shù)企業(yè)不需要直接進(jìn)行暗網(wǎng)研究，相反地，他們可以利用監(jiān)控工具來掃描暗網(wǎng)。此外，像擴(kuò)展檢測(cè)和響應(yīng)（XDR）等工具或托管檢測(cè)和響應(yīng)（MDR）等服務(wù)，通常也會(huì)從暗網(wǎng)收集數(shù)據(jù)，以識(shí)別受感染的帳戶、評(píng)估風(fēng)險(xiǎn)并為威脅分析提供上下文。

一些行業(yè)，尤其是政府、金融機(jī)構(gòu)、某些知名IT安全企業(yè)以及其他一些關(guān)鍵行業(yè)，可能需要更多地、更直接地獲取只能從暗網(wǎng)上得到的情報(bào)。在許多情況下，這些公司尋找的不僅僅是泄露的憑據(jù)或公司數(shù)據(jù)。相反地，他們需要有關(guān)威脅參與者、不斷發(fā)展的攻擊載體或漏洞的情報(bào)。

另一方面，零售或制藥等其他業(yè)務(wù)部門更容易受到非傳統(tǒng)攻擊的影響，比如虛假域名或網(wǎng)絡(luò)釣魚攻擊等形式的品牌欺騙。針對(duì)這種情況，數(shù)字足跡監(jiān)測(cè)無疑是一個(gè)特別有價(jià)值的工具，而這類工具中通常會(huì)包含暗網(wǎng)組件。此外，下架服務(wù)是越過數(shù)字足跡監(jiān)控的自然步驟。一般來說，單個(gè)企業(yè)不會(huì)與互聯(lián)網(wǎng)服務(wù)提供商、云托管平臺(tái)，甚至執(zhí)法部門建立必要的聯(lián)系，從而自行實(shí)施下架。數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)（DRPS）很好地填補(bǔ)了這一空白，它提供基于服務(wù)的解決方案，通過監(jiān)控（互聯(lián)網(wǎng)、表層網(wǎng)和暗網(wǎng)）和更實(shí)際的方法（如網(wǎng)站下架服務(wù)）來保護(hù)組織的品牌。

10大暗網(wǎng)監(jiān)控工具

以下是一些最流行的暗網(wǎng)監(jiān)控工具：

Brandefense

Brandefense是一種人工智能（AI）驅(qū)動(dòng)的數(shù)字風(fēng)險(xiǎn)保護(hù)（DRPS）解決方案，可以掃描表層網(wǎng)/明網(wǎng)（surface web）和暗網(wǎng)，收集攻擊方法或數(shù)據(jù)泄露的詳細(xì)信息，將這些數(shù)據(jù)關(guān)聯(lián)起來并將其情境化，然后在事件與用戶品牌相關(guān)時(shí)提供警報(bào)。如果有必要，Brandefense還可以協(xié)助打擊威脅行為者，使組織的安全態(tài)勢(shì)領(lǐng)先于攻擊，而不是被動(dòng)地等待響應(yīng)攻擊。

高級(jí)管理人員（或VIP）的安全是Brandefense的另一個(gè)重點(diǎn)領(lǐng)域，因?yàn)檫@些人通常不僅是公司品牌的一部分，而且經(jīng)常淪為攻擊目標(biāo)。他們的姓名和電子郵件也經(jīng)常被用于針對(duì)員工或客戶的魚叉式網(wǎng)絡(luò)釣魚攻擊。

CTM360 CyberBlindspot和ThreatCover

CTM360提供了兩種不同的解決方案來監(jiān)控暗網(wǎng)，以保護(hù)組織免受新威脅影響。其中，CyberBlindspot專注于與公司資產(chǎn)有關(guān)的情報(bào)，擴(kuò)展了入侵指標(biāo)（IOC）的概念，以盡可能早地暴露并警告攻擊指標(biāo)，允許組織更主動(dòng)地識(shí)別網(wǎng)絡(luò)威脅。

ThreatCover則為安全分析師提供了深入研究威脅情報(bào)源的工具，為事件響應(yīng)團(tuán)隊(duì)提供優(yōu)化的數(shù)據(jù)質(zhì)量和上下文信息。CTM360還可以通過其Takedown++服務(wù)在全球范圍內(nèi)提供下架服務(wù)。

IBM X-Force Exchange

IBM X-Force Exchange主要是一個(gè)數(shù)據(jù)共享平臺(tái)和社區(qū)，它將威脅和情報(bào)饋送到一個(gè)交互式、可搜索的數(shù)據(jù)庫中，該數(shù)據(jù)庫還可以通過API和自動(dòng)警報(bào)集成到組織現(xiàn)有的安全堆棧中。IBM提供的許多工具都是免費(fèi)的，甚至不需要注冊(cè)，但建議在使用IBM X-Force Exchange時(shí)最好進(jìn)行注冊(cè)，以便通過保存與相關(guān)域名和品牌有關(guān)的搜索和跟蹤提要來定制門戶。API訪問、高級(jí)分析和高級(jí)威脅情報(bào)報(bào)告服務(wù)需要訂閱。

IntSights威脅情報(bào)平臺(tái)

IntSights威脅情報(bào)平臺(tái)（現(xiàn)屬Rapid7家族的一部分）提供了全面的外部威脅情報(bào)和IoC監(jiān)控。它能挖掘暗網(wǎng)的威脅情報(bào)，如戰(zhàn)術(shù)、技術(shù)和程序（TTP）、威脅行為者以及惡意軟件變種。這些情報(bào)可以幫助安全專業(yè)人員跟上不斷發(fā)展的攻擊方法，提供調(diào)整防御措施和培訓(xùn)用戶最佳實(shí)踐的手段。此外，IntSights的產(chǎn)品還提供了一個(gè)窗口，可以查看暗網(wǎng)上引用公司品牌或域名的活躍對(duì)話，讓組織有機(jī)會(huì)主動(dòng)應(yīng)對(duì)威脅，而不是被動(dòng)等待攻擊開始。

惡意軟件信息共享平臺(tái)-MISP

惡意軟件信息共享平臺(tái)（MISP）是一個(gè)基于共享威脅情報(bào)數(shù)據(jù)理念的開源平臺(tái)。MISP提供可以安裝在用戶數(shù)據(jù)中心或各種云平臺(tái)上的開源軟件，并利用開源協(xié)議和數(shù)據(jù)格式在MISP用戶之間實(shí)現(xiàn)信息共享或?qū)⑶閳?bào)集成到各種信息安全工具中。事實(shí)上，對(duì)MISP集成的支持經(jīng)常是解決方案的一大賣點(diǎn)。雖然MISP威脅流的管理方式與商業(yè)工具不同，但它是組織建立內(nèi)部暗網(wǎng)監(jiān)控解決方案的一種低成本選擇。

MandiantDigital Threat Monitoring

Mandiant Digital Threat Monitoring提供了在開放互聯(lián)網(wǎng)或暗網(wǎng)上有關(guān)威脅和泄露憑據(jù)或其他組織機(jī)密等情報(bào)的可見性。這些情報(bào)數(shù)據(jù)得到了通過機(jī)器學(xué)習(xí)提供的上下文支持，可驅(qū)動(dòng)相關(guān)地、優(yōu)先級(jí)的警報(bào)，以推進(jìn)分類進(jìn)程。除了品牌監(jiān)控（包括VIP管理層保護(hù)）之外，Mandiant Digital Threat Monitoring還提供對(duì)上下游企業(yè)的監(jiān)控服務(wù)。通過監(jiān)控這些存在信任關(guān)系的企業(yè)，組織可以進(jìn)一步保護(hù)供應(yīng)鏈，并防止可能繞過現(xiàn)有安全控制的跨域攻擊。

Mandiant還提供數(shù)字威脅監(jiān)控作為其Advantage Threat Intelligence方案的附加模塊，將許多相同的暗網(wǎng)監(jiān)控功能整合到威脅情報(bào)產(chǎn)品中。

OpenCTI

OpenCTI是另一個(gè)用于收集、管理并與威脅情報(bào)數(shù)據(jù)交互的開源工具。OpenCTI由Filigran開發(fā)和擁有，可以作為Docker容器部署，使其與平臺(tái)無關(guān)，并提供大量連接到其他安全平臺(tái)和軟件工具的連接器，以集成和豐富OpenCTI數(shù)據(jù)流。

OpenCTI的功能集包括針對(duì)信息安全團(tuán)隊(duì)的基于角色的訪問控制、基于標(biāo)準(zhǔn)的數(shù)據(jù)模型以及指示發(fā)現(xiàn)來源的屬性數(shù)據(jù)。所有類型的自動(dòng)化都可以使用OpenCTI for Python客戶端來實(shí)現(xiàn)，它公開了帶有輔助函數(shù)的OpenCTI API和一個(gè)易于使用的框架，允許用戶基于事件數(shù)據(jù)快速開發(fā)自定義邏輯。

PaloAltoNetworksAutoFocus

眾所周知，Palo Alto Networks是網(wǎng)絡(luò)安全領(lǐng)域的主要參與者，而AutoFocus則是Palo Alto Networks投資組合中的一個(gè)關(guān)鍵部分。AutoFocus將深入的上下文和洞察力帶到最前沿，使安全分析師能夠?qū)κ录M(jìn)行分類并確定響應(yīng)工作的優(yōu)先級(jí)。Palo Alto Networks不僅從開放互聯(lián)網(wǎng)和暗網(wǎng)上的數(shù)據(jù)存儲(chǔ)庫收集信息，而且還使用其遍布全球的設(shè)備和服務(wù)中的數(shù)據(jù)進(jìn)行關(guān)聯(lián)和情境化。

Recorded FutureIntelligence Cloud Platform

Recorded Future提供的情報(bào)云平臺(tái)（Intelligence Cloud Platform）可以持續(xù)監(jiān)控超過300個(gè)國(guó)家行為者、300萬個(gè)已知的犯罪論壇、數(shù)十億個(gè)域名以及互聯(lián)網(wǎng)和暗網(wǎng)上的數(shù)億個(gè)IP地址。這些龐大的情報(bào)數(shù)據(jù)被輸入到分析工具中，以便對(duì)數(shù)據(jù)集進(jìn)行分類和應(yīng)用上下文，最后，將其輸出到專注于企業(yè)品牌、威脅和漏洞、身份和其他幾個(gè)領(lǐng)域的模塊中。每個(gè)模塊都提供可操作的情報(bào)，允許用戶根據(jù)業(yè)務(wù)需求和風(fēng)險(xiǎn)對(duì)響應(yīng)進(jìn)行優(yōu)先級(jí)排序，以最大限度地減少響應(yīng)時(shí)間，并促進(jìn)有效的補(bǔ)救措施。

SOCRadar RiskPrime

SOCRadar為安全專業(yè)人員提供了多種服務(wù)和工具，包括各種免費(fèi)工具，用戶可以使用這些工具免費(fèi)對(duì)域名或IP地址進(jìn)行手動(dòng)一次性檢查。要獲得更全面、重復(fù)發(fā)生的監(jiān)控功能則需要訂閱其RiskPrime服務(wù)。RiskPrime提供PII（個(gè)人身份信息）監(jiān)控，同時(shí)還能跟蹤受損的VIP賬戶，并執(zhí)行聲譽(yù)監(jiān)控和網(wǎng)絡(luò)釣魚檢測(cè)。此外，通過RiskPrime還可以獲得下架服務(wù)，但除非用戶使用的是企業(yè)級(jí)服務(wù)級(jí)別，否則會(huì)產(chǎn)生額外的成本。

審核編輯 ：李倩