从新出售的恶意软件、数据泄露、勒索软件服务和网络钓鱼工具包可以看出——全球网络犯罪世界的最显眼的元素都隐藏在暗网上。
为了领先攻击者一步,我们发现执法部门、政府和公司都在监控暗网,在浩瀚的数据海洋中寻找违法犯罪的信号。
但是,要在暗网上找到任何有价值的东西,说起来容易做起来难。暗网监控服务并不新鲜,但现在出现了一个新玩家——人工智能(AI)。
“暗网下/AWX”在本文中将揭露,人工智能暗网监控的工作原理、挑战和局限性,以及企业如何部署这些解决方案,将安全性提升到新的水平。
到2030年,暗网监控的市场规模将达到17亿美元
全球暗网威胁情报市场正在蓬勃发展。Data Intelligence的一份报告估计,到2030年,该行业的产值将达到17亿美元。
在数字威胁日益频繁的推动下,ZeroFox、CrowdStrike、Digital Shadows、Flare、IBMX-force等公司和其他领先企业正在投资创新和人工智能,以构建下一代暗网监控技术。
随着暗网市场的发展,威胁暴露管理公司Flare在AI领域占据领先地位,最近推出了新的人工智能暗网解决方案——Threat Flow。该公司声称,Threat Flow首个透明的生成式人工智能应用,能及时提供相关的、可信的暗网威胁行为者活动报告。
Flare高级产品营销经理Mark MacDonald表示: “没有一种语言模型能够有效地完成所有任务。使用人工智能为客户创造价值,就需要针对不同的高度特定任务采用不同的工具。”
“我们使用自然语言处理(NLP)来追踪暗网论坛和暗网市场上的威胁行为者,使用大型语言模型(LLM)来识别可能使特定犯罪团伙受益的高价值帖子,并使用传统的机器学习来对特定事件进行评分。”
最好的方法是将每种“类型”的人工智能应用于它最适合的特定任务。
Threat Flow对最具价值的暗网论坛中的每个暗网论坛主题进行分类。然后,语言模型对威胁进行总结,并允许在各种暗网论坛对话中轻松切换,使客户能够无缝识别高价值的暗网情报。
不排除犯罪分子使用人工智能暗网技术的可能性
Flare的MacDonald称,网络犯罪分子不太可能通过对其技术进行逆向工程而获得任何好处。不过,MacDonald也承认,确实认识到威胁行为者利用人工智能来更好地检测“卧底”执法人员并禁止他们使用该平台的可能性。
HackerOne解决方案架构师Dane Sherrets描述了暗网中人工智能的恶意使用:
“网络犯罪分子可以将生成式人工智能融入类似于网络爬虫和相关技术的工具中,这简化了犯罪分子查找凭证转储和其他信息的方式,从而帮助他们策划或实施网络攻击。”
Sherrets解释说,暗网上的人工智能之所以能发挥作用,是因为有大量数据需要分析。手动处理这些海量数据非常困难,因为这些数据的结构与网络的其他部分不同。
“人工智能可以大规模解决这两个问题。”
为不同行业提供检测和响应服务的网络安全咨询公司Secure Cyber的首席执行官兼创始人Shawn Waldman则表示:
“人工智能通过速度和效率来加强暗网监控。与传统方法相比,人工智能可以维持更长的生命周期,并承担更大的监控负荷。
“此外,人工智能不仅可以进行更深入的挖掘,还能将来自各种搜索的数据关联起来,从而有可能发出更高质量的警报。”
然而,Shawn警告称,人工智能能够学习的东西是有限的。
“虽然人工智能很强大,但它也有其局限性,因此拥有人类的专业知识至关重要。”
Shawn表示,人类的参与对于所谓的“基本真相”尤为重要,这种真相是读取和解释暗网上的每个新数据或需要上下文理解的数据的能力。
HackerOne的Sherrets对此表示赞同,并表示人类的专业知识仍然至关重要,因为自动化可以发现已经披露的漏洞以及其他情报威胁信号。
Sherrets说:“但安全研究人员群体在发现新的漏洞方面发挥着巨大作用。”
Flare的MacDonald也强调了人类专业知识在人工智能驱动的暗网监控解决方案中发挥的重要作用。
“人工智能作为人类的助推器,帮助他们更快地识别相关信息,更快地找到上下文,并优先处理正确的事件。”
“最终,人类必须决定如何处理这些信息,并将其与与他们的业务相关的其他更广泛的背景以及他们正在消费的其他信息结合起来。”
传统暗网监控 Vs. 人工智能驱动
传统的暗网监控包括分析师使用关键字在庞大的暗网数据库中识别相关帖子。但借助人工智能,分析师可以将搜索范围缩小到符合客户兴趣的特定事件或元素,MacDonald解释道。
此外,人工智能还可以发现其他技术无法发现的内容。
例如,Threat Flow在暗网数据集合中添加了一层语言模型,以实现该公司所谓的“上下文语义搜索”。得益于这一增强功能,AI可以识别出传统关键字搜索无法找到的高度相关的结果。
“想象一下,一个威胁行为者讲俄语,提到一家大公司,但却拼写错误了公司名称,”MacDonald说,“有两个因素会让关键字搜索失效,即语言和拼写”。
Flare的AI暗网监控不会搜索未编入索引的洋葱地址,但MacDonald表示它没有必要这样做。
“是的,暗网由许多未编入索引的网站组成……但犯罪分子和威胁行为者的活动通常集中在相对较少的已知论坛和平台下,这些论坛和平台受到与合法互联网平台相同的网络效应的影响。”
“暗网并非如此黑暗”
纽约理工学院(NYIT)创业与技术创新中心和网络防御教育主任Michael Nizich博士表示,暗网就是数据,就像我们数字世界中的其他一切事物一样。
“现代人工智能解决方案可以从暗网监控中快速识别实时发生的异常,而这些异常需要人类甚至当前的台式计算机花费数年时间才能处理完毕。”
Nizich解释说,准确识别异常情况(例如,攻击者使用已知的MAC地址从陌生位置多次尝试登录)可以自动触发操作,从而阻止攻击者的行为,并确保个人信息安全。
“暗网并不像看上去那么黑暗。”
Nizich将暗网比作一个游乐园,没有人能看到或知道它就在自己的城市里。然而,这个公园仍然有接入点。“一旦进入公园,许多常见的景点都会照常运行,”Nizich 说,“暗网监控使用这些接入点来监控(公园内)网络中的流量和数据包内容,而将AI应用于这些过程只会使监控更加有效。”
总结
几十年来,犯罪团伙和不法分子一直享受着暗网匿名、模糊的特性所带来的特权。尽管人工智能暗网技术仍处于起步阶段,其能力还很有限,但该领域的进步可能会动摇网络犯罪世界的根基。
传统的暗网监控发挥了至关重要的作用。现在,借助人工智能暗网监控,企业可以识别模式并分析大量数据,同时生成定制的威胁信号报告。
与暗网网络犯罪的战斗仍在继续……