威脅情報:最危險的網絡安全工作
威脅情報、APT分析師、事件檢測和響應專家、欺騙式或攻擊性防御技術開發者和滲透測試人員們經常需要出沒暗網、分析危險的惡意軟件,或者追蹤危險的網絡犯罪分子。他們是企業網絡安全的“奇兵”和特勤部隊,有時也是P4級別的“病毒實驗室”的操作者,此類職業的危險性不僅僅是個人信息泄露、違規或者“頂鍋”、“問責”等崗位風險,更大的風險在于他們中很多人都在缺乏監督和培訓的“無防護”狀態下工作,隨時有可能成為企業自身網絡安全和公共安全的“殉爆”炸彈(尤其是威脅情報工作)。
以下,我們通過對報告的解讀了解一下威脅情報從業人員的安全現狀:
最性感的,同時也是最危險的職業
在安全牛之前發布的《2020年最酷的20個安全工作崗位》中,威脅獵人和安全分析師等新興安全崗位是未來幾年“最酷”的網絡安全職業。而“最性感”的安全職業,非威脅情報專家莫屬,因為他們是企業打贏網絡安全戰爭的“大腦”、千里眼和預警機,他們是唯一上至董事會下到業務員都容易理解和愛戴的安全專業人士。
然而,殘酷的現實是,威脅情報也是最危險的安全崗位。威脅情報專業人員在互聯網的黑暗角落出沒,許多人需要經常訪問帶有惡意軟件等在線漏洞利用的網站,并開展對手歸因、去匿名化和反情報工作。
根據Cybersecurity Insider發布的《2020年網絡威脅情報報告》(以下簡稱《報告》),企業威脅情報工作的安全管理現狀非常糟糕,超出了大多數人的想象。
《報告》調查了338位CTI從業人員,發現CTI研究人員在很大程度上依賴于開放源代碼情報(OSINT)的收集和分析,所謂“開源“,指的是這些情報是從公開來源收集的數據和見解。CTI人員經常需要代表網絡安全運營中心,欺詐調查部門或公共安全團隊進行CTI研究活動,這些活動本身就存在固有風險,尤其是一些高危活動,例如深入暗網:
糟糕的是,超過三分之一的威脅情報人員居然沒有任何OSINT經驗:
更加糟糕的是,如此菜鳥云集的高危崗位,卻嚴重缺乏必要的培訓和安全管控措施。
《報告》發現威脅情報人員普遍缺乏必要的安全培訓、審計和監控。85%的網絡威脅情報(CTI)專業人員很少或根本沒有接受過對于確保公司和公共安全至關重要的在線活動的培訓。這導致職業風險的急劇上升:
- 38%的CTI人員不使用托管歸因工具掩蓋或隱藏其在線身份或角色;
- 29%的CTI人員匯報缺乏監督程序,以確保分析人員不會濫用工具;
- 54%的CTI人員缺乏安全指導規范。
《報告》還指出,導致威脅情報工作更加危險的原因主要有兩點:
兩大原因
- 缺乏培訓,你很難想象讓一群未經培訓的員工去操縱危險武器而不出意外。
- 缺乏審計和監控,將近30%的企業未能對CTI員工違規或濫用資源實施有效監控。
留神迭代中的法律雷區
隨著各國網絡安全法案的不斷完善,威脅情報工作者還需要警惕不斷累積的法律風險。
威脅情報發布方面,企業需要留意2019年11月20日國家互聯網信息辦公室發布的《網絡安全威脅信息發布管理辦法(征求意見稿)》,《辦法》首次對威脅情報發布做出明確規定,例如個人或企業發布網絡安全威脅信息時標題中不得含有“預警“字樣,同時《辦法》還對威脅情報發布前的匯報實體和發布形式等給出了規范。對于廣大網絡安全企業來說,尤其要留意《辦法》中的這段話:
| 部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發布網絡安全預警信息,夸大危害和影響,容易造成社會恐慌。 |
在威脅情報采集和追蹤方面,企業需要留意今年2月份美國司法部發布的《網絡威脅情報采集與數據購買法律指南1.0版》,首次對威脅情報采集和黑市交易給出出了明確的法律建議。
根據《指南》,在暗網收集情報或者購買數據方面的小差錯,最終可能導致威脅情報工作者陷入嚴重的法律麻煩中。威脅情報公司Recorded Future指出:
| 弄錯這些規則的風險很大。根據相關聯邦法規,個人不僅會被處以高額的刑事罰款,而且可能會被判處長達20年的監禁。 |
安全牛在閱讀《指南》后發現,該指南給出了兩個基本暗網情報行為準則:1.不要犯事。2.不要成為受害者。所謂的不要犯事,主要是指不要主動與論壇中的成員溝通交易,潛水觀察,被動采集信息的法律風險很小。另外兩個被明確提出的雷區是:
- 不要使用失竊賬號(可以繼續使用偽造賬號)。
- 與犯罪分子談判以檢索或索要被盜數據(例如勒索軟件或者數據泄露緩解)的組織也需要格外小心。從不法分子手中購買自己的數據似乎沒有法律風險,但是,如果賣方不小心將其他被盜數據包括在其中,尤其是被盜的知識產權、信用卡號等數據,則可能惹上法律風險。此外,如果犯罪實體正好被貼上了恐怖組織的標簽,或被歸類于出口管制法規,則任何與之進行談判(哪怕目的是取回自己的數據)的組織都可能因此而接受有關部門調查。
對于企業安全主管來說,鑒于威脅情報采集活動的國際化屬性,應當根據我國和其他國家相關網絡安全法規,制定清晰明確的威脅情報參與規則,闡明法律責任和協議,明確在進行威脅情報收集時什么可以做,什么不可以做。在網絡安全合規全球化的今天,跨國公司或者擁有海外業務的企業開展威脅情報工作可能面臨(跨國)民事、刑事或監管的情況下,不斷修訂完善的明文規則對于降低威脅情報活動的風險將會很有用。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
