威脅情報、APT分析師、事件檢測和響應專家、欺騙式或攻擊性防禦技術開發者和滲透測試人員們經常需要出沒暗網、分析危險的惡意軟件,或者追蹤危險的網絡犯罪分子。他們是企業網絡安全的“奇兵”和特勤部隊,有時也是P4級別的“病毒實驗室”的操作者,此類職業的危險性不僅僅是個人信息洩露、違規或者“頂鍋”、“問責”等崗位風險,更大的風險在於他們中很多人都在缺乏監督和培訓的“無防護”狀態下工作,隨時有可能成為企業自身網絡安全和公共安全的“殉爆”炸彈(尤其是威脅情報工作)。
以下,我們通過對報告的解讀了解一下威脅情報從業人員的安全現狀:
最性感的,同時也是最危險的職業
在之前發佈的《2020年最酷的20個安全工作崗位》中,威脅獵人和安全分析師等新興安全崗位是未來幾年“最酷”的網絡安全職業。而“最性感”的安全職業,非威脅情報專家莫屬,因為他們是企業打贏網絡安全戰爭的“大腦”、千里眼和預警機,他們是唯一上至董事會下到業務員都容易理解和愛戴的安全專業人士。
然而,殘酷的現實是,威脅情報也是最危險的安全崗位。威脅情報專業人員在互聯網的黑暗角落出沒,許多人需要經常訪問帶有惡意軟件等在線漏洞利用的網站,並開展對手歸因、去匿名化和反情報工作。
根據Cybersecurity Insider發佈的《2020年網絡威脅情報報告》(以下簡稱《報告》),企業威脅情報工作的安全管理現狀非常糟糕,超出了大多數人的想象。
《報告》調查了338位CTI從業人員,發現CTI研究人員在很大程度上依賴於開放源代碼情報(OSINT)的收集和分析,所謂“開源“,指的是這些情報是從公開來源收集的數據和見解。CTI人員經常需要代表網絡安全運營中心,欺詐調查部門或公共安全團隊進行CTI研究活動,這些活動本身就存在固有風險,尤其是一些高危活動,例如深入暗網:
更加糟糕的是,如此菜鳥雲集的高危崗位,卻嚴重缺乏必要的培訓和安全管控措施。
《報告》發現威脅情報人員普遍缺乏必要的安全培訓、審計和監控。85%的網絡威脅情報(CTI)專業人員很少或根本沒有接受過對於確保公司和公共安全至關重要的在線活動的培訓。這導致職業風險的急劇上升:
- 38%的CTI人員不使用託管歸因工具掩蓋或隱藏其在線身份或角色;
兩大原因
1. 缺乏培訓,你很難想象讓一群未經培訓的員工去操縱危險武器而不出意外。
2. 缺乏審計和監控,將近30%的企業未能對CTI員工違規或濫用資源實施有效監控。
留神迭代中的法律雷區
隨著各國網絡安全法案的不斷完善,威脅情報工作者還需要警惕不斷累積的法律風險。
威脅情報發佈方面,企業需要留意2019年11月20日國家互聯網信息辦公室發佈的《網絡安全威脅信息發佈管理辦法(徵求意見稿)》,《辦法》首次對威脅情報發佈做出明確規定,例如個人或企業發佈網絡安全威脅信息時標題中不得含有“預警“字樣,同時《辦法》還對威脅情報發佈前的彙報實體和發佈形式等給出了規範。對於廣大網絡安全企業來說,尤其要留意《辦法》中的這段話:
部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發佈網絡安全預警信息,誇大危害和影響,容易造成社會恐慌。
在威脅情報採集和追蹤方面,企業需要留意今年2月份美國司法部發布的《網絡威脅情報採集與數據購買法律指南1.0版》,首次對威脅情報採集和黑市交易給出出了明確的法律建議。
根據《指南》,在暗網收集情報或者購買數據方面的小差錯,最終可能導致威脅情報工作者陷入嚴重的法律麻煩中。威脅情報公司Recorded Future指出:
弄錯這些規則的風險很大。根據相關聯邦法規,個人不僅會被處以高額的刑事罰款,而且可能會被判處長達20年的監禁。
安全牛在閱讀《指南》後發現,該指南給出了兩個基本暗網情報行為準則:1.不要犯事。2.不要成為受害者。所謂的不要犯事,主要是指不要主動與論壇中的成員溝通交易,潛水觀察,被動採集信息的法律風險很小。另外兩個被明確提出的雷區是:
1. 不要使用失竊賬號(可以繼續使用偽造賬號)。
2. 與犯罪分子談判以檢索或索要被盜數據(例如勒索軟件或者數據洩露緩解) 的組織也需要格外小心。從不法分子手中購買自己的數據似乎沒有法律風險,但是,如果賣方不小心將其他被盜數據包括在其中,尤其是被盜的知識產權、信用卡號等數據,則可能惹上法律風險。此外,如果犯罪實體正好被貼上了恐怖組織的標籤,或被歸類於出口管制法規,則任何與之進行談判(哪怕目的是取回自己的數據)的組織都可能因此而接受有關部門調查。
對於企業安全主管來說,鑑於威脅情報採集活動的國際化屬性,應當根據我國和其他國家相關網絡安全法規,制定清晰明確的威脅情報參與規則,闡明法律責任和協議,明確在進行威脅情報收集時什麼可以做,什麼不可以做。在網絡安全合規全球化的今天,跨國公司或者擁有海外業務的企業開展威脅情報工作可能面臨(跨國)民事、刑事或監管的情況下,不斷修訂完善的明文規則對於降低威脅情報活動的風險將會很有用。
【牛調研】
參考資料
《網絡安全威脅信息發佈管理辦法(徵求意見稿)》
美國司法部《網絡威脅情報採集與數據購買法律指南1.0版》
https://www.justice.gov/criminal-ccips/page/file/1252341/download
點擊關注我的頭條號,0基礎掌握更多黑客秘籍
私信回覆‘’資料‘’領取更多技術文章和學習資料,加入專屬的安全學習圈一起進步
安界貫徹人才培養理念,結合專業研發團隊,打造課程內容體系,推進實訓平臺發展,通過一站式成長計劃、推薦就業以及陪護指導的師帶徒服務,為學員的繼續學習和職業發展保駕護航,真正實現和完善網絡安全精英的教練場平臺;
關注私信‘資料’
如果你想實現進高企、就高職、拿高薪,即使低學歷也可實現職業發展中的第一個“彎道超車”!趕緊私信我!等你來!
