威胁情报、APT分析师、事件检测和响应专家、欺骗性或攻击性防御技术开发人员以及渗透测试人员经常需要出没于暗网并分析危险的恶意软件,或追踪危险的恶意软件网络罪犯。他们是企业网络安全的“突击兵”和特勤部队,有时也是P4级“病毒实验室”的操作人员。》等岗位风险,更大的风险是很多人在没有监督和培训的情况下,处于“无防护”状态下工作,随时可能成为企业自身网络安全和公共安全的“引爆”炸弹(尤其是威胁intelligencework).ThreatIntelligence"title="ThreatIntelligence">下面通过报告解读了解威胁情报从业者的安全现状:猎手、安全分析师等最性感、最危险的新兴安全职业将成为未来几年“最酷”的网络安全工作。而“最性感”的安全工作非威胁情报专家莫属,因为他们是企业打赢网络安全战的“大脑”,千里眼和预警机,他们是唯一容易理解和喜爱的安全专业人士从董事会到业务员。然而,残酷的现实是,威胁情报也是最危险的安全岗位。威胁情报从业人员处在互联网的阴暗角落,很多人需要经常访问带有恶意软件等的网站。onlineexploits,并开展对手归因、去匿名化、反情报工作根据Cyber??securityInsider的《2020年网络威胁情报报告》(以下简称?),企业威胁情报工作的安全管理现状非常糟糕,超出了大多数人的想象。《报告》对338名CTI从业者的调查发现,CTI研究人员严重依赖开源情报(OSINT)收集和分析,“开源”意味着情报是从公开来源收集的数据和见解。CTI人员通常需要代表网络安全运营中心、欺诈调查部门或公共安全团队进行CTI研究活动,这些活动本身就存在风险,尤其是对于深度网络访问等高风险活动:更糟糕的是,超过三分之一威胁情报人员没有任何OSINT经验:更糟糕的是,这样一个充满新手的高风险职位严重缺乏必要的培训和安全控制措施。《报告》发现威胁情报人员普遍缺乏必要的安全培训、审计和监控。85%的网络威胁情报(CTI)专业人员很少或没有接受过对确保企业和公共安全至关重要的在线活动的培训。这导致职业风险急剧上升:38%的CTI不使用托管归因工具来掩盖或隐藏他们的在线身份或角色;29%的CTI报告缺乏监督程序以确保分析师不会滥用工具;54%的CTI人员缺乏安全指南。《报告》还指出,威胁情报工作之所以更加危险,主要有两个原因:两个主要原因是缺乏培训,很难想象让一群未经培训的员工操纵危险武器而不会发生事故。缺乏审计和监控,近30%的企业未能对CTI员工违规或滥用资源的行为实施有效监控。谨防迭代中的法律雷区随着各国网络安全法律的不断完善,威胁情报工作者也需要警惕不断积累的法律风险。在威胁情报发布方面,企业需关注国家互联网信息办公室2019年11月20日发布的《网络安全威胁信息发布管理办法(征求意见稿)》。《办法》首次对威胁情报发布做出明确规定。包含“警告”二字,同时《办法》也明确了威胁情报发布前的报告主体和发布形式。广大网络安全企业要特别注意《办法》中的这段话:一些网络安全企业和组织为了推销产品、博眼球,对相关地区和行业的网络安全攻击、事件、风险和漏洞进行不当评估情况,误导舆论,造成不良影响的;一些媒体和网络安全公司随意发布网络安全警示信息,夸大危害和影响,容易引发社会恐慌。在威胁情报收集和追踪方面,企业需要关注美国司法部今年2月发布的《网络威胁情报采集与数据购买法律指南1.0版》,首次对威胁情报收集和黑市交易给出了明确的法律建议。根据,在暗网上收集情报或购买数据的小错误最终可能会给威胁情报工作者带来严重的法律麻烦。威胁情报公司RecordedFuture指出:这些规则出错的风险很大。根据相关联邦法规,个人不仅会被处以高额刑事罚款,还可能被判处最高20年的监禁。SafetyBull看完《指南》后发现,指南给出了暗网情报的两条基本行为准则:1.不犯罪。2.不要成为受害者。所谓“不犯罪”,主要是指不主动与论坛会员交流交易,潜水观察,被动收集信息。法律风险很小。明确提出的另外两个雷区是:不要使用被盗账户(假账户可以继续使用)。与犯罪分子谈判以检索或要求窃取数据(例如勒索软件或数据泄露缓解措施)的组织也需要格外小心。从不法分子那里购买自己的数据看似没有法律风险,但是,如果卖家不小心包含了其他被盗数据,尤其是被盗的知识产权、信用卡号码等,则可能存在法律风险。此外,如果一个犯罪实体恰好被贴上恐怖组织的标签,或被归类为出口管制条例,任何与之谈判的组织(即使是为了检索自己的数据)都可能因此受到当局的调查。对于企业安全负责人来说,鉴于威胁情报收集活动的国际性,应根据我国及其他国家的相关网络安全法律法规,制定清晰明确的威胁情报参与规则,明确法律责任和约定,并在进行威胁情报收集时进行澄清。什么能做,什么不能做。在网络安全合规全球化的今天,跨国公司或有海外业务运营的企业在进行威胁情报工作时,可能面临(跨国)民事、刑事或监管情况。不断修订和完善明确的规则将降低威胁情报活动的风险。会有用的。【本文为专栏作家“安安牛”原创文章。转载请通过安牛获得授权(微信公众号id:gooann-sectv)】点此查看该作者更多好文
