数据掮客们的互联网流量生意经

网络安全领域有一个公开的秘密：某些互联网服务提供商(ISP)会违规将计算机之间进行通信的详细信息泄露给不法机构，然后不法机构将该数据的访问权出售给第三方。

这些被兜售的信息称为Netflow(网络流量)数据，尽管数字取证调查人员可以使用这类数据来识别黑客正在使用的服务器，或者在数据被盗时跟踪数据，但一位熟悉Netflow数据的消息人士表示：“Netflow数据的商业变现正变成一条通往黑暗的道路。”

Netflow是网络流量的元数据，可以创建流量图。它可以显示哪台服务器与另一台服务器通信，这些信息通常只对服务器所有者或承载流量的ISP可用。这些数据还可用于跟踪VPN流量，后者用于掩盖某人从何处连接到服务器，进而掩盖其大致物理位置。

消息人士称，威胁情报公司Team Cymru与ISP合作访问Netflow数据。参议员Ron Wyden 办公室的通讯主管Keith Chu一直在对敏感数据的销售进行独立调查，他透露，Cymru团队告诉办公室“它从第三方获取Netflow数据以换取威胁情报。”

Team Cymru的Netflow数据买家包括受雇应对数据泄露或主动追捕黑客的网络安全公司。在其网站上，Cymru团队表示，他们与公共和私营部门安全团队合作，帮助识别、跟踪和阻止网络空间和物理空间的不良行为者。

敏感数据的持续销售可能会带来其自身的隐私和安全问题，并且ISP可能在未经其用户知情同意的情况下向第三方大规模提供这些数据。用户几乎不知道他们的数据被提供给了Team Cymru，也不知道后者正在出售对这些数据的访问权。

Chu表示：“Cymru团队的客户可以查询数据集，并可以有效地查询几乎任何IP，以及给定的时间段中进出该IP的网络流量。”Team Cymru则表示：“它限制了返回的数据量，因此任何一个客户端只能访问其netflow数据库中的一小部分数据。”

在产品描述中，Team Cymru为用户提供了跟踪VPN流量的能力。“通过跟踪十几个或更多代理和VPN中的恶意活动，可以确定网络威胁的来源。”Team Cymru 的Pure Signal Recon的产品手册写道。从本质上讲，访问netflow数据可以让安全团队观察更广泛的互联网上正在发生的事情，并可以观测到其他组织正在发生的事情，而这些已经超出他们自己的网络或公司边界。其中一位消息人士表示，他们之前在Team Cymru的数据集中看到了一个来自他认识的组织的流量。

“netflow数据的可见性和洞察力是全球性的。”描述补充道。宣传册中的一张图片展示了 Team Cymru的产品，它让用户可以比其他数据集(例如DNS查询)更深入地跟踪与伊朗黑客组织相关联的服务器活动。

(