信息化觀察網(wǎng)

威脅情報(bào)、APT分析師、事件檢測(cè)和響應(yīng)專家、欺騙式或攻擊性防御技術(shù)開(kāi)發(fā)者和滲透測(cè)試人員們經(jīng)常需要出沒(méi)暗網(wǎng)、分析危險(xiǎn)的惡意軟件，或者追蹤危險(xiǎn)的網(wǎng)絡(luò)犯罪分子。他們是企業(yè)網(wǎng)絡(luò)安全的“奇兵”和特勤部隊(duì)，有時(shí)也是P4級(jí)別的“病毒實(shí)驗(yàn)室”的操作者，此類職業(yè)的危險(xiǎn)性不僅僅是個(gè)人信息泄露、違規(guī)或者“頂鍋”、“問(wèn)責(zé)”等崗位風(fēng)險(xiǎn)，更大的風(fēng)險(xiǎn)在于他們中很多人都在缺乏監(jiān)督和培訓(xùn)的“無(wú)防護(hù)”狀態(tài)下工作，隨時(shí)有可能成為企業(yè)自身網(wǎng)絡(luò)安全和公共安全的“殉爆”炸彈（尤其是威脅情報(bào)工作）。

以下，我們通過(guò)對(duì)報(bào)告的解讀了解一下威脅情報(bào)從業(yè)人員的安全現(xiàn)狀：

最性感的，同時(shí)也是最危險(xiǎn)的職業(yè)

在安全牛之前發(fā)布的《2020年最酷的20個(gè)安全工作崗位》中，威脅獵人和安全分析師等新興安全崗位是未來(lái)幾年“最酷”的網(wǎng)絡(luò)安全職業(yè)。而“最性感”的安全職業(yè)，非威脅情報(bào)專家莫屬，因?yàn)樗麄兪瞧髽I(yè)打贏網(wǎng)絡(luò)安全戰(zhàn)爭(zhēng)的“大腦”、千里眼和預(yù)警機(jī)，他們是唯一上至董事會(huì)下到業(yè)務(wù)員都容易理解和愛(ài)戴的安全專業(yè)人士。

然而，殘酷的現(xiàn)實(shí)是，威脅情報(bào)也是最危險(xiǎn)的安全崗位。威脅情報(bào)專業(yè)人員在互聯(lián)網(wǎng)的黑暗角落出沒(méi)，許多人需要經(jīng)常訪問(wèn)帶有惡意軟件等在線漏洞利用的網(wǎng)站，并開(kāi)展對(duì)手歸因、去匿名化和反情報(bào)工作。

根據(jù)Cybersecurity Insider發(fā)布的《2020年網(wǎng)絡(luò)威脅情報(bào)報(bào)告》（以下簡(jiǎn)稱《報(bào)告》），企業(yè)威脅情報(bào)工作的安全管理現(xiàn)狀非常糟糕，超出了大多數(shù)人的想象。

《報(bào)告》調(diào)查了338位CTI從業(yè)人員，發(fā)現(xiàn)CTI研究人員在很大程度上依賴于開(kāi)放源代碼情報(bào)（OSINT）的收集和分析，所謂“開(kāi)源“，指的是這些情報(bào)是從公開(kāi)來(lái)源收集的數(shù)據(jù)和見(jiàn)解。CTI人員經(jīng)常需要代表網(wǎng)絡(luò)安全運(yùn)營(yíng)中心，欺詐調(diào)查部門或公共安全團(tuán)隊(duì)進(jìn)行CTI研究活動(dòng)，這些活動(dòng)本身就存在固有風(fēng)險(xiǎn)，尤其是一些高?；顒?dòng)，例如深入暗網(wǎng)：

糟糕的是，超過(guò)三分之一的威脅情報(bào)人員居然沒(méi)有任何OSINT經(jīng)驗(yàn)：

更加糟糕的是，如此菜鳥(niǎo)云集的高危崗位，卻嚴(yán)重缺乏必要的培訓(xùn)和安全管控措施。

《報(bào)告》發(fā)現(xiàn)威脅情報(bào)人員普遍缺乏必要的安全培訓(xùn)、審計(jì)和監(jiān)控。85％的網(wǎng)絡(luò)威脅情報(bào)（CTI）專業(yè)人員很少或根本沒(méi)有接受過(guò)對(duì)于確保公司和公共安全至關(guān)重要的在線活動(dòng)的培訓(xùn)。這導(dǎo)致職業(yè)風(fēng)險(xiǎn)的急劇上升：

38％的CTI人員不使用托管歸因工具掩蓋或隱藏其在線身份或角色；

29％的CTI人員匯報(bào)缺乏監(jiān)督程序，以確保分析人員不會(huì)濫用工具；

54%的CTI人員缺乏安全指導(dǎo)規(guī)范。

《報(bào)告》還指出，導(dǎo)致威脅情報(bào)工作更加危險(xiǎn)的原因主要有兩點(diǎn)：

兩大原因

1. 缺乏培訓(xùn)，你很難想象讓一群未經(jīng)培訓(xùn)的員工去操縱危險(xiǎn)武器而不出意外。

2. 缺乏審計(jì)和監(jiān)控，將近30%的企業(yè)未能對(duì)CTI員工違規(guī)或?yàn)E用資源實(shí)施有效監(jiān)控。

留神迭代中的法律雷區(qū)

隨著各國(guó)網(wǎng)絡(luò)安全法案的不斷完善，威脅情報(bào)工作者還需要警惕不斷累積的法律風(fēng)險(xiǎn)。

威脅情報(bào)發(fā)布方面，企業(yè)需要留意2019年11月20日國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布的《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法（征求意見(jiàn)稿）》，《辦法》首次對(duì)威脅情報(bào)發(fā)布做出明確規(guī)定，例如個(gè)人或企業(yè)發(fā)布網(wǎng)絡(luò)安全威脅信息時(shí)標(biāo)題中不得含有“預(yù)警“字樣，同時(shí)《辦法》還對(duì)威脅情報(bào)發(fā)布前的匯報(bào)實(shí)體和發(fā)布形式等給出了規(guī)范。對(duì)于廣大網(wǎng)絡(luò)安全企業(yè)來(lái)說(shuō)，尤其要留意《辦法》中的這段話：

部分網(wǎng)絡(luò)安全企業(yè)和機(jī)構(gòu)為推銷產(chǎn)品、賺取眼球，不當(dāng)評(píng)價(jià)有關(guān)地區(qū)、行業(yè)網(wǎng)絡(luò)安全攻擊、事件、風(fēng)險(xiǎn)、脆弱性狀況，誤導(dǎo)輿論，造成不良影響；部分媒體、網(wǎng)絡(luò)安全企業(yè)隨意發(fā)布網(wǎng)絡(luò)安全預(yù)警信息，夸大危害和影響，容易造成社會(huì)恐慌。

在威脅情報(bào)采集和追蹤方面，企業(yè)需要留意今年2月份美國(guó)司法部發(fā)布的《網(wǎng)絡(luò)威脅情報(bào)采集與數(shù)據(jù)購(gòu)買法律指南1.0版》，首次對(duì)威脅情報(bào)采集和黑市交易給出出了明確的法律建議。

根據(jù)《指南》，在暗網(wǎng)收集情報(bào)或者購(gòu)買數(shù)據(jù)方面的小差錯(cuò)，最終可能導(dǎo)致威脅情報(bào)工作者陷入嚴(yán)重的法律麻煩中。威脅情報(bào)公司Recorded Future指出：

弄錯(cuò)這些規(guī)則的風(fēng)險(xiǎn)很大。根據(jù)相關(guān)聯(lián)邦法規(guī)，個(gè)人不僅會(huì)被處以高額的刑事罰款，而且可能會(huì)被判處長(zhǎng)達(dá)20年的監(jiān)禁。

安全牛在閱讀《指南》后發(fā)現(xiàn)，該指南給出了兩個(gè)基本暗網(wǎng)情報(bào)行為準(zhǔn)則：1.不要犯事。2.不要成為受害者。所謂的不要犯事，主要是指不要主動(dòng)與論壇中的成員溝通交易，潛水觀察，被動(dòng)采集信息的法律風(fēng)險(xiǎn)很小。另外兩個(gè)被明確提出的雷區(qū)是：

1. 不要使用失竊賬號(hào)（可以繼續(xù)使用偽造賬號(hào)）。

2. 與犯罪分子談判以檢索或索要被盜數(shù)據(jù)（例如勒索軟件或者數(shù)據(jù)泄露緩解）的組織也需要格外小心。從不法分子手中購(gòu)買自己的數(shù)據(jù)似乎沒(méi)有法律風(fēng)險(xiǎn)，但是，如果賣方不小心將其他被盜數(shù)據(jù)包括在其中，尤其是被盜的知識(shí)產(chǎn)權(quán)、信用卡號(hào)等數(shù)據(jù)，則可能惹上法律風(fēng)險(xiǎn)。此外，如果犯罪實(shí)體正好被貼上了恐怖組織的標(biāo)簽，或被歸類于出口管制法規(guī)，則任何與之進(jìn)行談判（哪怕目的是取回自己的數(shù)據(jù)）的組織都可能因此而接受有關(guān)部門調(diào)查。

對(duì)于企業(yè)安全主管來(lái)說(shuō)，鑒于威脅情報(bào)采集活動(dòng)的國(guó)際化屬性，應(yīng)當(dāng)根據(jù)我國(guó)和其他國(guó)家相關(guān)網(wǎng)絡(luò)安全法規(guī)，制定清晰明確的威脅情報(bào)參與規(guī)則，闡明法律責(zé)任和協(xié)議，明確在進(jìn)行威脅情報(bào)收集時(shí)什么可以做，什么不可以做。在網(wǎng)絡(luò)安全合規(guī)全球化的今天，跨國(guó)公司或者擁有海外業(yè)務(wù)的企業(yè)開(kāi)展威脅情報(bào)工作可能面臨（跨國(guó)）民事、刑事或監(jiān)管的情況下，不斷修訂完善的明文規(guī)則對(duì)于降低威脅情報(bào)活動(dòng)的風(fēng)險(xiǎn)將會(huì)很有用。