暗网系列之:在暗网中暴露的顶级信息安全公司(Black Hat 2017)

前情提要

OWL网络安全公司是一家专门从事暗网情报分析和服务的公司,他们定期会对世界财富 500 强和重要行业的公司进行安全评估,评估依据主要是这些公司在暗网中被交易的数据的可用性、质量(对潜在的攻击者而言)和新鲜度。如果数据有更高的可用性,或者在暗网中出现的时间较短,那么就意味着具有更高的风险,存在更多潜在的对抗该组织的攻击向量。

这一份报告的重点是对Black Hat USA 2017参展商们(共计283家)的暗网指数进行估算,直白的说,就是分析一下比其他行业的公司相比,网络安全公司在暗网足迹方面的表现如何。(Tips:OWL刚刚对世界财富500强和德国大型的公司进行了重新排名)

通过检测这些参展商的企业在暗网中泄露数据的数量、可用性、时间等信息,利用我们专有的算法进行计算,得出了网络安全行业公司和其他行业公司的异同。

至于结果,总体而言,安全企业比其他行业的企业表现地更好,但也有一些明显的例外。

评估所依据的情报是通过监测暗网(Tor、IRC、I2P、ZeroNet、其他黑客论坛)、FTP服务器,粘贴网站,互联网高风险的攻击面和其他临时网站而获得的,我们把这些成为“暗网情报”。情报收集的范围,对于试图出售、购买或公开被盗数据的恶意攻击者而言,都是非常有吸引力的地方。

分析要点

  • 与美国的大型公司相比,黑帽参展商的得分比预期的好。暗网指数平均值仅为6,而财富500强公司的暗网指数的平均值为6.7。所有的财富500强公司都在暗网中存在痕迹,但只有75%的黑帽子参展商在暗网中有相关的数据泄露,到目前为止,黑帽参展商是所有已经测试过的公在类别里,比例最低。
  • Microsoft(微软)位居黑帽暗网指数排行榜的榜首,其后是Hewitt Packard (惠普)和Accenture(埃森哲)。微软目前的暗网指数接近7,高于它3个月前的得分(12.2,在世界五百强中排名12)。微软评分的升高可能是由于我们的威胁情报平台收集的数据量有所增加。与以往的暗网指数相比,我们看到其他公司的得分也呈现增长趋势。例如,IBM在世界财富500中的暗网指数已经在短短的几个月内增加了一倍多。
  • 政府成绩并不好看。美国国土安全部在Black Hat暗网指数排名榜中位居第四名,考虑到该部门的使命,这个结果令人惊讶。2017年8月,我们将发布美国政府高级机构的暗网指数排行榜。(剧透警告:美国政府做得并不好)。
  • 大型组织扩展网络安全是首要目标。在黑帽暗网指数中,排名前十的公司有四家也名列财富500强。额外的两个在黑帽暗网指数排行前十的公司是大型的私营咨询公司,他们会定期提出信息安全建议。世界上最大的三家反病毒公司都上榜top 20。虽然我们预计从整体上,更大、更成熟的公司会有更大的暗网足迹,不过我们对评估结果依然感到惊讶,他们占据着黑帽暗网指数排行榜的顶部位置。
  • 有被攻击价值的数据=增长的风险。排行榜中得分最高的公司都有用户凭据和/或知识产权暴露在暗网中,攻击者借此谋利。可悲的是,这种类型的敏感信息在我们的数据库中是很常见的。
  • 安全警惕得到了回报,正如行业的整体地位所显示的那样,投资网络安全得到了有形的指数收益(暗网指数相对会下降)。虽然也有例外,不过应当认真考虑,即使是信息安全公司(例如黑帽参展商)也会具有较小的暗网足迹,因此,较低的评级指数,已经是对这些公司(安全行业)的高警惕性的嘉奖,而检测结果也证实了这一点。

方法论

对暗网活动有广泛而全面认识的最大障碍之一就是缺乏任何可靠的指标。暗网不像公开的网站那样允许许多组织不断的捕捉和记录网络活动,暗网被故意设计成是难以跟踪的,通常需要使用特殊浏览器和首选访问。没有针对暗网的综合搜索引擎,暗网中的站点为了保持匿名性,可以在几分钟之内上线又下线。

如今,暗网已经成为那些希望保持个人在线隐私的安全港湾,不管他们的意图是好还是坏。同时,也必须认识到,越多来多的的犯罪活动已经迁移到暗网。

我们利用自己的SaaS平台、API、数据收集和分析服务,在暗网中检索各类数据,并依此为依据,评估每一个黑帽参展商的暗网指数,最终为每家公司得出了一个暗网足迹的综合评分。结合我们的专利hackishness算法(使用了机器学习对暗网中的泄露的数据内容进行评估,主要依据是这些数据被犯罪份子利用的潜力),过程中我们收集快照并执行静态索引分析,每次计算都产生了显著的效果。

为了得出各公司的指数和排行结果,我们对每个黑帽参展商进行了分析。专注于特定的暗网内容:与各个公司有关的数据,如网站、电子邮件域名等,在hackishness算法计算的结果上进一步调整。另外,近期被放置在暗网中的数据也是重要的加权因素;尤其是最近90天内的结果被认为是最有分量的,因为最近的入侵或数据泄露通常会包含了一个组织的当下特有的信息,这些信息对目标组织而言往往是最有用的。

“当然了,最重要的一项就是各参展商的排名。以赛门铁克、趋势科技、和Kapersky实验室为例,如果他们彼此之间把对方当作竞争对手的话,也会重视自己和竞争对手的暗网指数。”

算法

我们对黑帽参展商的暗网指数排名的重要依据是hackishness算法的计算结果,hackishness算法能够有效的排除无关的内容。我们对在暗网中搜索到的各类相关数据都赋予了一定的权重,简单起见,算法中对Tor隐藏服务和临时站点的权重最大。具体的算法公式如下所示:

H90(ln RDS + ln RTS) = HATR(ln ATR)

H90 = Hackishness of last 90 days results(最近90天内的高攻击价值的数据泄露结果)

HATR = Hackishness of all time breach results (所有时间段内的高攻击价值的数据泄露结果)

RDS = # results from Darknet Sites
(源于暗网站点的数据泄露结果)

RTS = # results from Transitory Paste Sites (源于临时的&粘贴网站的数据泄露结果)

ATR = # results from all time breach results (所有时间段内的数据泄露结果)

方法论的关键点

  • 黑帽暗网指数的构建对最近的数据更为关注;
  • 指数既简单,又客观,不受公司名号、新闻报道、公司规模、高管/高级官员的威望即其他主管因素的影响。
  • 针对指表取其对数。假设hackishness得分具有可比性(通常是没有的,尤其是在不同的时间阶段内),取对数意味着每个指标的影响被压缩了至少三分之一,但不会改变指标的性质和相互之间的关系,同时有助于消除异方差的问题(这是统计学中常用的方法)。
  • 暗网指数排名反应了目标的吸引力。它不单单是数据泄漏的风险,它更接近目标对攻击者的吸引力,同时也考虑到了他们网络安全防御的有效性。
  • 与单一的一次数据泄露的规模相比,这里更多的考虑了在数据收集期间数据泄露的频率。

黑帽参展商暗网指数排行榜:TOP20

我们对283为黑帽2017参展商进行了分析,并对结果进行了排名, TOP20的榜单信息如下图所示:

TOP20 的分析

  • 与财富500强的暗网指数(TOP10以科技公司为主)相比,黑帽暗网指数排行榜的TOP20主要由技术咨询和更大、更成熟的公司组成。。
  • 黑帽暗网指数前10名的总分数(283)低于财富500强的前10的暗网指数总分数(500)。财富500强的TOP10的暗网指数的最高值和最低值相对而言都更高,前10的平均得分(7)也比黑帽暗网指数前10的平均得分(12.2)要高。
  • 最重要的是关注有竞争关系的各个公司的暗网指数评分结果。
  • 规模较小的、新型的公司可能会受到媒体或投资界的关注,但仍有许多公司尚未在我们的指数中有正数得分。由此可见,恶意攻击者更关心的是交易大型企业的信息,而不是密谋攻击众多的较小的信息安全行家的玩家。

结论

我们生活在一个网络安全事件经常会上新闻头条的时代。任何公司或组织都面临着数据泄露的挑战/威胁,很多公司每年花费数十亿美元试图保护他们所拥有的宝贵数据,甚至连网络安全行业本身也不例外。因此,衡量网络安全风险,对于任何寻求实施全面网络安全战略的公司来说,都是非常重要的。

暗网指数(2017黑帽版)是我们暗网数据库中的一部分,数据库里还包括了成千上万个其他组织和个人的信息。我们承认这份分析报告有局限性,想要得到更准备的快照,需要包含更具体的公司数据。我们定期向客户提供定制的报告。

只有通过监测特定企业在固定时间段内的暗网情报足迹,才能对一个组织在网络安全方面努力作出有效的合理评价。

数据泄漏不可避免,恶意软件的攻击对一个公司品牌的诋毁能力前所未有的强大,因此,将暗网情报作为整体网络安全计划的一个关键部分,这一点至关重要。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/104532.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code