威胁情报:最危险的网络安全工作
威胁情报、APT分析师、事件检测和响应专家、欺骗式或攻击性防御技术开发者和渗透测试人员们经常需要出没暗网、分析危险的恶意软件,或者追踪危险的网络犯罪分子。他们是企业网络安全的“奇兵”和特勤部队,有时也是P4级别的“病毒实验室”的操作者,此类职业的危险性不仅仅是个人信息泄露、违规或者“顶锅”、“问责”等岗位风险,更大的风险在于他们中很多人都在缺乏监督和培训的“无防护”状态下工作,随时有可能成为企业自身网络安全和公共安全的“殉爆”炸弹(尤其是威胁情报工作)。
糟糕的是,超过三分之一的威胁情报人员居然没有任何OSINT经验:
更加糟糕的是,如此菜鸟云集的高危岗位,却严重缺乏必要的培训和安全管控措施。
《报告》发现威胁情报人员普遍缺乏必要的安全培训、审计和监控。85%的网络威胁情报(CTI)专业人员很少或根本没有接受过对于确保公司和公共安全至关重要的在线活动的培训。这导致职业风险的急剧上升:
《报告》还指出,导致威胁情报工作更加危险的原因主要有两点:
两大原因
- 缺乏培训,你很难想象让一群未经培训的员工去操纵危险武器而不出意外。
- 缺乏审计和监控,将近30%的企业未能对CTI员工违规或滥用资源实施有效监控。
留神迭代中的法律雷区
随着各国网络安全法案的不断完善,威胁情报工作者还需要警惕不断累积的法律风险。
威胁情报发布方面,企业需要留意2019年11月20日国家互联网信息办公室发布的《网络安全威胁信息发布管理办法(征求意见稿)》,《办法》首次对威胁情报发布做出明确规定,例如个人或企业发布网络安全威胁信息时标题中不得含有“预警“字样,同时《办法》还对威胁情报发布前的汇报实体和发布形式等给出了规范。对于广大网络安全企业来说,尤其要留意《办法》中的这段话:
部分网络安全企业和机构为推销产品、赚取眼球,不当评价有关地区、行业网络安全攻击、事件、风险、脆弱性状况,误导舆论,造成不良影响;部分媒体、网络安全企业随意发布网络安全预警信息,夸大危害和影响,容易造成社会恐慌。 |
在威胁情报采集和追踪方面,企业需要留意今年2月份美国司法部发布的《网络威胁情报采集与数据购买法律指南1.0版》,首次对威胁情报采集和黑市交易给出出了明确的法律建议。
根据《指南》,在暗网收集情报或者购买数据方面的小差错,最终可能导致威胁情报工作者陷入严重的法律麻烦中。威胁情报公司Recorded Future指出:
弄错这些规则的风险很大。根据相关联邦法规,个人不仅会被处以高额的刑事罚款,而且可能会被判处长达20年的监禁。 |
安全牛在阅读《指南》后发现,该指南给出了两个基本暗网情报行为准则:1.不要犯事。2.不要成为受害者。所谓的不要犯事,主要是指不要主动与论坛中的成员沟通交易,潜水观察,被动采集信息的法律风险很小。另外两个被明确提出的雷区是:
- 不要使用失窃账号(可以继续使用伪造账号)。
- 与犯罪分子谈判以检索或索要被盗数据(例如勒索软件或者数据泄露缓解)的组织也需要格外小心。从不法分子手中购买自己的数据似乎没有法律风险,但是,如果卖方不小心将其他被盗数据包括在其中,尤其是被盗的知识产权、信用卡号等数据,则可能惹上法律风险。此外,如果犯罪实体正好被贴上了恐怖组织的标签,或被归类于出口管制法规,则任何与之进行谈判(哪怕目的是取回自己的数据)的组织都可能因此而接受有关部门调查。
对于企业安全主管来说,鉴于威胁情报采集活动的国际化属性,应当根据我国和其他国家相关网络安全法规,制定清晰明确的威胁情报参与规则,阐明法律责任和协议,明确在进行威胁情报收集时什么可以做,什么不可以做。在网络安全合规全球化的今天,跨国公司或者拥有海外业务的企业开展威胁情报工作可能面临(跨国)民事、刑事或监管的情况下,不断修订完善的明文规则对于降低威胁情报活动的风险将会很有用。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
三大运营商宣布整改:将解决套餐过多和新老不同权
近日,国内三大运营商中国移动、中国联通、中国电信公开回应称,将积极改正巡视组巡视后发现的问题。另外,三大运营商还提出了后续整改的方向和推出的举措。 中国联通、中国移动、中国电信 在三大运营商提出的这些整改措施之中,重点放在套餐数量过多和新老客户不同权益等问题,还将推动简化资费试点,促进消费透明。在巡视组提出的这些改进建议中,有几点是用户比较关心的,例如套餐数量过多和新老用户权益不同等问题。 运营商套餐数量过多,这已经不是近期才有的现象了。一直以来,运营商们随着市场的变化,会陆续推出适应当下市场的套餐。而原有用户使用的电信套餐,因为签订了使用合同,也不能突然取消,所以就造成了套餐数量过多的情况。当然,这只是一方面,也有些通信套餐是为了提高营收收益的。 中国联通、中国移动、中国电信 新老用户能享受的权益不同这个问题,就是近些年常见的现象。科技的发展速度加快,越来越多的人都用上了手机,他们就需要到运营商处开通连接网络使用的手机号卡,那也意味着需要选择电信套餐。因为每个使用手机打电话的用户,都需要开通电信套餐,就造成了运营商之间的相互竞争,所以各个电信运营商会推出不同优惠条件的电信套餐,还会有...
- 下一篇
奇安信总裁吴云坤:新基建对于网络安全是机会,更是大挑战
3月24日,由北京网络安全大会主办的“RSAC主题分享万人云峰会”在线举行,奇安信集团总裁吴云坤在峰会上做了题为“从RSAC2020看中国网络安全产业的挑战与机遇”的主题演讲,他认为以新基建为基础的数字经济转型对于中国网络安全行业是机会,更是极大的挑战。 近年来中国网络安全市场快速发展,增长速度在全球领先,但是对比美国,中国网络安全的产业规模还比较小,在经济总量尤其是数字经济中的占比很低,网络安全投入在IT整体预算中的占比远低于美国,IDC的数据显示,中国网络安全在IT投入中的占比只有1.84%,而美国已经达到了4.78%。 吴云坤认为,中国网络安全落后于信息化发展,过去多年“局部整改”、“碎片化”的建设模式造成的网络安全零散发展,与我国过去二十多年信息化的高速发展完全不匹配;另外网络安全市场缺少领头羊公司,来带动产业规模的扩大,也缺少咨询角色和运行角色,造成网络安全缺少规划、缺少运行,难以形成体系化能力来支撑数字化、智能化时代的信息化安全保障。 新冠肺炎疫情爆发后,国家大力度推动新型基础设施建设、政企机构的数字化转型和以远程办公、远程医疗、远程教育为代表的“宅经济”发展,信息化投资和...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS8安装Docker,最新的服务器搭配容器使用
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS8编译安装MySQL8.0.19
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Hadoop3单机部署,实现最简伪集群
- CentOS7,CentOS8安装Elasticsearch6.8.6