雲栖号資訊:【 點選檢視更多行業資訊】
在這裡您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來!
威脅情報、APT分析師、事件檢測和響應專家、欺騙式或攻擊性防禦技術開發者和滲透測試人員們經常需要出沒暗網、分析危險的惡意軟體,或者追蹤危險的網絡犯罪分子。他們是企業網絡安全的“奇兵”和特勤部隊,有時也是P4級别的“病毒實驗室”的操作者,此類職業的危險性不僅僅是個人資訊洩露、違規或者“頂鍋”、“問責”等崗位風險,更大的風險在于他們中很多人都在缺乏監督和教育訓練的“無防護”狀态下工作,随時有可能成為企業自身網絡安全和公共安全的“殉爆”炸彈(尤其是威脅情報工作)。
以下,我們通過對報告的解讀了解一下威脅情報從業人員的安全現狀:
最性感的,同時也是最危險的職業
在安全牛之前釋出的《2020年最酷的20個安全工作崗位》中,威脅獵人和安全分析師等新興安全崗位是未來幾年“最酷”的網絡安全職業。而“最性感”的安全職業,非威脅情報專家莫屬,因為他們是企業打赢網絡安全戰争的“大腦”、千裡眼和預警機,他們是唯一上至董事會下到業務員都容易了解和愛戴的安全專業人士。
然而,殘酷的現實是,威脅情報也是最危險的安全崗位。威脅情報專業人員在網際網路的黑暗角落出沒,許多人需要經常通路帶有惡意軟體等線上漏洞利用的網站,并開展對手歸因、去匿名化和反情報工作。
根據Cybersecurity Insider釋出的《2020年網絡威脅情報報告》(以下簡稱《報告》),企業威脅情報工作的安全管理現狀非常糟糕,超出了大多數人的想象。
《報告》調查了338位CTI從業人員,發現CTI研究人員在很大程度上依賴于開放源代碼情報(OSINT)的收集和分析,所謂“開源“,指的是這些情報是從公開來源收集的資料和見解。CTI人員經常需要代表網絡安全營運中心,欺詐調查部門或公共安全團隊進行CTI研究活動,這些活動本身就存在固有風險,尤其是一些高危活動,例如深入暗網:
糟糕的是,超過三分之一的威脅情報人員居然沒有任何OSINT經驗:
更加糟糕的是,如此菜鳥雲集的高危崗位,卻嚴重缺乏必要的教育訓練和安全管控措施。
《報告》發現威脅情報人員普遍缺乏必要的安全教育訓練、審計和監控。85%的網絡威脅情報(CTI)專業人員很少或根本沒有接受過對于確定公司和公共安全至關重要的線上活動的教育訓練。這導緻職業風險的急劇上升:
- 38%的CTI人員不使用托管歸因工具掩蓋或隐藏其線上身份或角色;
- 29%的CTI人員彙報缺乏監督程式,以確定分析人員不會濫用工具;
- 54%的CTI人員缺乏安全指導規範。
《報告》還指出,導緻威脅情報工作更加危險的原因主要有兩點:
- 缺乏教育訓練,你很難想象讓一群未經教育訓練的員工去操縱危險武器而不出意外。
- 缺乏審計和監控,将近30%的企業未能對CTI員工違規或濫用資源實施有效監控。
留神疊代中的法律雷區
随着各國網絡安全法案的不斷完善,威脅情報工作者還需要警惕不斷累積的法律風險。
威脅情報釋出方面,企業需要留意2019年11月20日國家網際網路資訊辦公室釋出的《網絡安全威脅資訊釋出管理辦法(征求意見稿)》,《辦法》首次對威脅情報釋出做出明确規定,例如個人或企業釋出網絡安全威脅資訊時标題中不得含有“預警“字樣,同時《辦法》還對威脅情報釋出前的彙報實體和釋出形式等給出了規範。對于廣大網絡安全企業來說,尤其要留意《辦法》中的這段話:
部分網絡安全企業和機構為推銷産品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業随意釋出網絡安全預警資訊,誇大危害和影響,容易造成社會恐慌。
在威脅情報采集和追蹤方面,企業需要留意今年2月份美國司法部釋出的《網絡威脅情報采集與資料購買法律指南1.0版》,首次對威脅情報采集和黑市交易給出出了明确的法律建議。
根據《指南》,在暗網收集情報或者購買資料方面的小差錯,最終可能導緻威脅情報工作者陷入嚴重的法律麻煩中。威脅情報公司Recorded Future指出:
弄錯這些規則的風險很大。根據相關聯邦法規,個人不僅會被處以高額的刑事罰款,而且可能會被判處長達20年的監禁。
安全牛在閱讀《指南》後發現,該指南給出了兩個基本暗網情報行為準則:1.不要犯事。2.不要成為受害者。所謂的不要犯事,主要是指不要主動與論壇中的成員溝通交易,潛水觀察,被動采集資訊的法律風險很小。另外兩個被明确提出的雷區是:
- 不要使用失竊賬号(可以繼續使用僞造賬号)。
- 與犯罪分子談判以檢索或索要被盜資料(例如勒索軟體或者資料洩露緩解)的組織也需要格外小心。從不法分子手中購買自己的資料似乎沒有法律風險,但是,如果賣方不小心将其他被盜資料包括在其中,尤其是被盜的知識産權、信用卡号等資料,則可能惹上法律風險。此外,如果犯罪實體正好被貼上了恐怖組織的标簽,或被歸類于出口管制法規,則任何與之進行談判(哪怕目的是取回自己的資料)的組織都可能是以而接受有關部門調查。
對于企業安全主管來說,鑒于威脅情報采集活動的國際化屬性,應當根據我國和其他國家相關網絡安全法規,制定清晰明确的威脅情報參與規則,闡明法律責任和協定,明确在進行威脅情報收集時什麼可以做,什麼不可以做。在網絡安全合規全球化的今天,跨國公司或者擁有海外業務的企業開展威脅情報工作可能面臨(跨國)民事、刑事或監管的情況下,不斷修訂完善的明文規則對于降低威脅情報活動的風險将會很有用。
參考資料
《網絡安全威脅資訊釋出管理辦法(征求意見稿)》
http://www.cac.gov.cn/2019-11/20/c_1575785388360559.htm美國司法部《網絡威脅情報采集與資料購買法律指南1.0版》
https://www.justice.gov/criminal-ccips/page/file/1252341/download【雲栖号線上課堂】每天都有産品技術專家分享!
課程位址:
https://yqh.aliyun.com/zhibo立即加入社群,與專家面對面,及時了解課程最新動态!
【雲栖号線上課堂 社群】
https://c.tb.cn/F3.Z8gvnK
原文釋出時間:2020-03-24
本文作者:aqniu
本文來自:“
安全牛”,了解相關資訊可以關注“
”