什么是暗网监控

暗网监控是一种监视 Tor 网络上的暗网市场和论坛，检测个人信息或组织机密信息是否被泄露或交易的服务。

当数据泄露发生时，被窃取的认证信息（邮箱和密码组合）、信用卡信息和个人身份信息会在暗网上被买卖。这些信息被用于凭据填充攻击的时间很短，因此泄露的早期检测直接关系到防止损害扩大。

监控服务自动爬取暗网上的粘贴站点、论坛、市场和 Telegram 频道，与注册的邮箱地址、域名、信用卡号等关键词进行匹配。检测到匹配时，向用户发送警报。

个人与企业的监控

个人监控：许多密码管理器具备在暗网上检测到已保存账户凭据时发出警报的功能。Google 的“密码检查”和 Apple 的“泄露密码检测”也提供类似功能。还可以使用 Have I Been Pwned 等免费服务查询邮箱地址的泄露历史。

企业监控：企业级服务广泛监控与组织域名关联的凭据泄露、内部文档外泄、品牌滥用和高管个人信息暴露等。通常作为威胁情报平台的功能提供，检测到的信息可自动集成到事件响应工作流中。

无论哪种情况，监控都是“早期检测泄露”的技术，而非“防止泄露”的技术。预防泄露需要强密码、多因素认证和加强访问控制。

如果暗网监控检测到您的信息，请迅速采取以下措施。

对于企业，应根据事件响应计划召集响应团队，系统地进行影响范围评估、遏制和根本原因调查。

暗网监控服务结合多种技术来收集和分析泄露信息。

Tor 网络爬取：专用爬虫遍历 Tor 的 .onion 站点，收集市场的商品信息和论坛帖子。由于暗网站点频繁更换 URL，有时需要邀请才能访问，爬虫的运营需要专业知识。

粘贴站点监控：攻击者有时会在 Pastebin 及类似服务上发布窃取数据的部分内容作为“样本”。监控服务实时监视这些站点，通过邮箱地址和域名的模式匹配检测泄露。

凭据数据库扫描：过去数据泄露中流出的凭据以组合列表（邮箱和密码组合列表）的形式积累和流通。监控服务持续扫描这些数据库，检测新增的凭据。Have I Been Pwned 收录了超过 130 亿个泄露账户。

Telegram 和 Discord 频道监控：近年来，除暗网市场外，Telegram 和 Discord 的私密频道也越来越多地被用于泄露数据的交易。监控服务也将这些即时通讯平台纳入监视范围。

当企业通过暗网监控检测到自身信息泄露时，除技术应对外，还需要法律和组织层面的应对。

应对优先级：首先确定泄露凭据的类型和范围。如果包含管理员账户或特权账户的凭据，应最优先处理 - - 立即重置密码并使相关账户的会话失效。对于普通用户凭据，有计划地推进用户通知和强制密码重置。

泄露通知的法律义务：根据日本的《个人信息保护法》，发生个人数据泄露时，必须向个人信息保护委员会报告并通知本人（2022 年修订法）。速报需在知悉事态后 3 至 5 天内提交，详报需在 30 天内（未授权访问的情况为 60 天内）提交。欧盟的 GDPR 要求在 72 小时内通知监管机构。

信用信息监控：对于个人，如果姓名、地址、出生日期等个人身份信息泄露，存在被冒名申请贷款或开设账户的风险。向征信机构（CIC、JICC）进行本人申告，定期检查信用信息是否有可疑查询。

防止再发：确定泄露的根本原因，采取措施防止同类事件。典型的防止再发措施包括全公司部署密码管理器、强制启用多因素认证、加强员工安全培训。

暗网监控可以删除泄露的信息: 监控服务仅检测泄露信息，不具备从暗网删除数据的功能。一旦信息泄露，就会被复制和扩散，完全删除实际上不可能。检测后的重点是通过更改密码和启用多因素认证等措施最小化损害。
注册暗网监控就能防止信息泄露: 监控是“早期检测”泄露的手段，而非“预防”。预防泄露需要使用强密码、启用多因素认证、不打开可疑链接等基本安全措施。应将监控定位为纵深防御的一个要素。