过去两年,卡巴斯基数字足迹情报团队发现了近40,000个关于出售企业内部信息的暗网帖子。这些帖子是由网络罪犯发布的,用于购买、出售或分发通过网络攻击从各公司窃取的数据。与上一年相比,提供对企业基础设施访问权限的贴子数量增加了16%。全球范围内,每三家公司就有一家在与数据或访问权限贩卖相关的暗网帖子中被提及。
卡巴斯基数字足迹情报专家观察到,2022年1月至2023年11月期间,平均每月有1,731条关于公司内部数据库和文档销售、购买和分发的暗网消息,总计近40,000条消息。受监控的资源包括暗网论坛、博客和影子Telegram频道。
与企业数据销售、购买或分发相关的暗网信息分布趋势,2022年1月—2023年11月
暗网上可用的另一类数据是对企业基础设施的访问权限,网络罪犯可以购买预先存在的对公司的访问权限,使攻击者能够简化他们的工作。根据卡巴斯基的研究,在2022年1月至2023年11月期间,有6,000多条暗网信息发布了此类广告。目前,网络罪犯越来越多地提供访问权限,相应的平均每月消息数量从2022年的246条增加到2023年的286条,增长了16%。虽然这些信息数量看起来并不多,但这并不影响问题的潜在严重性。随着未来一年供应链攻击威胁的迫近,即使是针对较小公司的入侵也可能升级,影响全球众多个人和企业。
“暗网上并非每条信息都包含新的和独特的信息。有些售卖信息可能是重复的;例如,当恶意行为者旨在快速出售数据时,他们可能会将其发布在不同的地下论坛上,以接触到更多的潜在犯罪买家。此外,某些数据库可能会被整合起来,作为新的数据库出售。例如,有“combolists”——从以前泄露的各种数据库中收集信息的数据库,如特定电子邮件地址的密码。
售卖“Combolist”的帖子示例
为了进一步加强全球企业的安全,卡巴斯基数字足迹情报专家在2022年随机追踪了700家公司有关企业数据被泄露的信息,提供了有关源自暗网的网络威胁的信息。
调查结果显示,有233家组织(占公司总数的三分之一)在与非法数据交换有关的暗网帖子中被提及。提到这些公司的内容涉及数据泄露、基础设施访问权限被盗或账户被盗等主题[1]
更多有关暗网上内容的统计数据详情,请参见Securelist,而卡巴斯基数字足迹情报网站则为处理泄漏相关事件提供了全面的事件响应手册。为了避免遭遇会导致数据泄露的威胁,请采取以下安全措施:
·
迅速识别和应对数据泄露至关重要。面临危机的企业应首先核实泄露信息的来源,交叉比对内部数据,并评估信息的可信度。从根本上说,公司必须收集证据,以确认攻击已经发生,数据已经泄露。
· 通过持续监控暗网,可以发现虚假和真实的数据泄露相关帖子,跟踪恶意活动的峰值。鉴于暗网监控的资源密集型性质,外部专家经常承担这一责任。
· 提前准备一份沟通计划,有利于与客户、记者和政府机构进行互动。
· 制定全面的事件响应计划,包括指定的团队、沟通渠道和协议,以便在发生此类事件时迅速有效地进行处理。
