暗网研究厂商介绍

暗网是一个叫人闻之生怯又充满神秘的话题。它最初是美国海军用于保密通讯的网络技术,但现下它已成为非法活动的同义词。

 

暗网活动复杂多样又充满隐蔽性,对于个人,它最大威胁是隐私数据的泄漏。对于企业,最典型的威胁是企业数据资产被倒卖等行为。暗网的威胁虽然是网络安全很小一部分,但是却不容忽视。

 

研究人员可以利用暗网获取非常有价值的威胁情报,这些情报通常与广泛的潜在目标相关,包括组织和个人,且这些情报无法通过常规监测获得。例如,医疗机构可以识别丢失的病人记录,金融机构可以分析用于购买公共物品的被盗的付款信息,以减轻未来的欺诈指控。

 

观星整理了国际上几家和暗网业务相关的厂商。以便大家学习研究。他们分别是Blueliv、ACID、 Phishlabs、Intsights、Sixgill 和 Recorded Future。

 

1.    Blueliv

第一家是 Blueliv,总部在西班牙,在英国伦敦和美国旧金山都有分支结构。这家公司本身是从事威胁情报业务的,例如传统的 IP 域名等微情报,为企业提供自动化、可操作的威胁情报,并且有分析师团队提供支持。

微信图片_20190926145511

 

Blueliv 的暗网业务分三个模块。第一个是监测,首先需要对暗网做一个测绘;第二是对数据进行清洗和分析,第三是形成最终的情报,给企业或者是一些特定的需要这类情报的人员提供预测服务。

 

他们的产品是一个 SaaS 平台,将全球的几千个暗网市场进行多元监控。对情报进行评级,这是他们的一个亮点。另一个亮点是语言,由于暗网中使用频率最高的是英语,其次是俄语。Blueliv 对不同语言词汇进行了匹配。

 

2.    ACID

这是一家以色列公司,专注做暗网情报。ACID 还有一些黑产情报方面的业务,同时还关注暗网聊天室、社交媒体等。

微信图片_20190926145516

 

 

他们的解决方案分三个维度。首先是监测,然后是分析,最后生成情报。ACID 也是一个 SaaS 平台,支持多元化监控,从几千个事件情报中检索关键词。和大部分厂商的做法类似,亮点是支持多语言。

 

3.    PHISHLABS

这家公司前身是做钓鱼防范业务,解决方案里也涉及到帮企业应对恶意邮件、钓鱼链接、社交媒体等品牌保护的范畴。

微信图片_20190926145521

 

 

亮点在于,他们明确说明了能提供情报分析师的服务。国外已经有专门的暗网情报分析师的角色,类似于私家侦探。

 

4.    INTSIGHTS

总部在美国,在以色列、荷兰、日本和新加坡都有分支机构。Intsights 最近一两年把暗网引入进了产品体系,思路也是监测、情报、分析。

微信图片_20190926145527

 

Intsights 有一个亮点,它不仅做监测分析和情报加工,还会做主动防御。比如说根据暗网情报发现数据被卖,那怎么办?这家公司的理念就是,情报发现和协同防御结合,用于快速消除威胁,并自动化更新防御。

 

同时,他们做了一个风险评级。就是把暗网情报进行等级划分,判断哪些情报是高风险的、需要优先处理的,而不是说一股脑全塞给客户。除了做筛选,他们也将暗网情报做了较好的分类。

 

主动防御方面,他们还提出了协同防御的概念。他们打通了国外一些防护厂商,比如防火墙厂商 Check Point ,防病毒厂商 McAfee 。由于国外标准化程度比较高,所以 Intsights 提炼的规则也可以适用于其他厂商。

 

5.    SIXGILL

Sixgill 是一家以色列的公司。原来是情报厂商,现在专注做暗网业务,他们的团队中很多都是资历很深的科学家,号称是有世界上最先进的算法,平台非常智能。

微信图片_20190926145531

 

 

他们平台的智能性主要体现在,运用算法和公式,把暗网情报和事件进行关联,然后形成标签,再通过标签化的东西,来辅助安全人员快速决策。比如说当一个 CVE 漏洞爆发后,暗网中会存在大量关于漏洞的详细利用的交易,所以 Sixgill 会对此逐个标记。

 

6.    Recorded Future

这是一家美国的公司,前身也是情报厂商,而且涉及的范畴非常多,也覆盖了包括 IP、域名等这些传统情报。这家公司也是基于暗网数据进行监测和分析,然后辅以深度学习的算法。

微信图片_20190926145536

 

亮点在于他们提到了自然语言机器学习。前面几个厂商在解决暗网多语言问题的时候,通常是将关键词翻译,然后再根据关键词去匹配。但这些都不是最好的方式。而 Recorded Future 采用的解决方法是利用 AI 和机器学习,进行自然语言处理。

 

看完这六家的能力、特点和解决方案,观星认为,暗网应用有一个很大的挑战——溯源。比如说一个企业在暗网上出现了泄露事件,我们要怎么去溯源。之后要如何画像,如何确定攻击组织、攻击团伙是谁?这需要有充足的数据来进行关联分析,单一的数据解决不了这个问题。交易追踪也是一个难点,如果黑客的安全意识很高,那么他完全可以把钱洗得你很难追踪出来。这可能需要职业水准很高、很了解暗网和黑产的情报分析师卧底到这个组织里,才能对整个事件有充足的溯源能力。

 

观星了解到,暗网上发布威胁警告有三种形式。第一种是监控直接提及组织或资产的信息,因为这些信息可能指向潜在的攻击。第二种是提及行业或不那么明显的相关信息,例如只提及“某某银行”或“某银行账户”来试图覆盖信息来源。第三种方式是在封闭论坛上与潜在的威胁攻击者直接互动,例如检索那些盗取的信息和数据样本来验证信息真伪。这些互动既困难又私密,但可能会被证明非常有价值。如何及时获取这些威胁告警信息并进行分析处理,成为暗网应用的关键。

 

对于暗网的监测和使用,可以帮助企业提前预知可能到来的攻击,削弱其对企业声誉造成的影响。并且有可能为企业防护预留出充足的时间,降低企业安全风险。观星也在不断探索中。

2019年9月26日 14:46
网站首页    暗网研究厂商介绍