威脅情報、APT分析師、事件檢測和響應(yīng)專家、欺騙式或攻擊性防御技術(shù)開發(fā)者和滲透測試人員們經(jīng)常需要出沒暗網(wǎng)、分析危險的惡意軟件，或者追蹤危險的網(wǎng)絡(luò)犯罪分子。他們是企業(yè)網(wǎng)絡(luò)安全的“奇兵”和特勤部隊，有時也是P4級別的“病毒實驗室”的操作者，此類職業(yè)的危險性不僅僅是個人信息泄露、違規(guī)或者“頂鍋”、“問責(zé)”等崗位風(fēng)險，更大的風(fēng)險在于他們中很多人都在缺乏監(jiān)督和培訓(xùn)的“無防護(hù)”狀態(tài)下工作，隨時有可能成為企業(yè)自身網(wǎng)絡(luò)安全和公共安全的“殉爆”炸彈(尤其是威脅情報工作)。

[[319701]]威脅情報" title="威脅情報">

以下，我們通過對報告的解讀了解一下威脅情報從業(yè)人員的安全現(xiàn)狀：

最性感的，同時也是最危險的職業(yè)

在安全牛之前發(fā)布的《2020年最酷的20個安全工作崗位》中，威脅獵人和安全分析師等新興安全崗位是未來幾年“最酷”的網(wǎng)絡(luò)安全職業(yè)。而“最性感”的安全職業(yè)，非威脅情報專家莫屬，因為他們是企業(yè)打贏網(wǎng)絡(luò)安全戰(zhàn)爭的“大腦”、千里眼和預(yù)警機，他們是唯一上至董事會下到業(yè)務(wù)員都容易理解和愛戴的安全專業(yè)人士。

然而，殘酷的現(xiàn)實是，威脅情報也是最危險的安全崗位。威脅情報專業(yè)人員在互聯(lián)網(wǎng)的黑暗角落出沒，許多人需要經(jīng)常訪問帶有惡意軟件等在線漏洞利用的網(wǎng)站，并開展對手歸因、去匿名化和反情報工作。

根據(jù)Cybersecurity Insider發(fā)布的《2020年網(wǎng)絡(luò)威脅情報報告》(以下簡稱《報告》)，企業(yè)威脅情報工作的安全管理現(xiàn)狀非常糟糕，超出了大多數(shù)人的想象。

《報告》調(diào)查了338位CTI從業(yè)人員，發(fā)現(xiàn)CTI研究人員在很大程度上依賴于開放源代碼情報(OSINT)的收集和分析，所謂“開源“，指的是這些情報是從公開來源收集的數(shù)據(jù)和見解。CTI人員經(jīng)常需要代表網(wǎng)絡(luò)安全運營中心，欺詐調(diào)查部門或公共安全團隊進(jìn)行CTI研究活動，這些活動本身就存在固有風(fēng)險，尤其是一些高?；顒?，例如深入暗網(wǎng)：

糟糕的是，超過三分之一的威脅情報人員居然沒有任何OSINT經(jīng)驗：

更加糟糕的是，如此菜鳥云集的高危崗位，卻嚴(yán)重缺乏必要的培訓(xùn)和安全管控措施。

《報告》發(fā)現(xiàn)威脅情報人員普遍缺乏必要的安全培訓(xùn)、審計和監(jiān)控。85%的網(wǎng)絡(luò)威脅情報(CTI)專業(yè)人員很少或根本沒有接受過對于確保公司和公共安全至關(guān)重要的在線活動的培訓(xùn)。這導(dǎo)致職業(yè)風(fēng)險的急劇上升：

• 38%的CTI人員不使用托管歸因工具掩蓋或隱藏其在線身份或角色;



• 29%的CTI人員匯報缺乏監(jiān)督程序，以確保分析人員不會濫用工具;
• 54%的CTI人員缺乏安全指導(dǎo)規(guī)范。

《報告》還指出，導(dǎo)致威脅情報工作更加危險的原因主要有兩點：

兩大原因

• 缺乏培訓(xùn)，你很難想象讓一群未經(jīng)培訓(xùn)的員工去操縱危險武器而不出意外。
• 缺乏審計和監(jiān)控，將近30%的企業(yè)未能對CTI員工違規(guī)或濫用資源實施有效監(jiān)控。

留神迭代中的法律雷區(qū)

隨著各國網(wǎng)絡(luò)安全法案的不斷完善，威脅情報工作者還需要警惕不斷累積的法律風(fēng)險。

威脅情報發(fā)布方面，企業(yè)需要留意2019年11月20日國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法(征求意見稿)》，《辦法》首次對威脅情報發(fā)布做出明確規(guī)定，例如個人或企業(yè)發(fā)布網(wǎng)絡(luò)安全威脅信息時標(biāo)題中不得含有“預(yù)警“字樣，同時《辦法》還對威脅情報發(fā)布前的匯報實體和發(fā)布形式等給出了規(guī)范。對于廣大網(wǎng)絡(luò)安全企業(yè)來說，尤其要留意《辦法》中的這段話：

在威脅情報采集和追蹤方面，企業(yè)需要留意今年2月份美國司法部發(fā)布的《網(wǎng)絡(luò)威脅情報采集與數(shù)據(jù)購買法律指南1.0版》，首次對威脅情報采集和黑市交易給出出了明確的法律建議。

根據(jù)《指南》，在暗網(wǎng)收集情報或者購買數(shù)據(jù)方面的小差錯，最終可能導(dǎo)致威脅情報工作者陷入嚴(yán)重的法律麻煩中。威脅情報公司Recorded Future指出：

安全牛在閱讀《指南》后發(fā)現(xiàn)，該指南給出了兩個基本暗網(wǎng)情報行為準(zhǔn)則：1.不要犯事。2.不要成為受害者。所謂的不要犯事，主要是指不要主動與論壇中的成員溝通交易，潛水觀察，被動采集信息的法律風(fēng)險很小。另外兩個被明確提出的雷區(qū)是：

• 不要使用失竊賬號(可以繼續(xù)使用偽造賬號)。
• 與犯罪分子談判以檢索或索要被盜數(shù)據(jù)(例如勒索軟件或者數(shù)據(jù)泄露緩解)的組織也需要格外小心。從不法分子手中購買自己的數(shù)據(jù)似乎沒有法律風(fēng)險，但是，如果賣方不小心將其他被盜數(shù)據(jù)包括在其中，尤其是被盜的知識產(chǎn)權(quán)、信用卡號等數(shù)據(jù)，則可能惹上法律風(fēng)險。此外，如果犯罪實體正好被貼上了恐怖組織的標(biāo)簽，或被歸類于出口管制法規(guī)，則任何與之進(jìn)行談判(哪怕目的是取回自己的數(shù)據(jù))的組織都可能因此而接受有關(guān)部門調(diào)查。

對于企業(yè)安全主管來說，鑒于威脅情報采集活動的國際化屬性，應(yīng)當(dāng)根據(jù)我國和其他國家相關(guān)網(wǎng)絡(luò)安全法規(guī)，制定清晰明確的威脅情報參與規(guī)則，闡明法律責(zé)任和協(xié)議，明確在進(jìn)行威脅情報收集時什么可以做，什么不可以做。在網(wǎng)絡(luò)安全合規(guī)全球化的今天，跨國公司或者擁有海外業(yè)務(wù)的企業(yè)開展威脅情報工作可能面臨(跨國)民事、刑事或監(jiān)管的情況下，不斷修訂完善的明文規(guī)則對于降低威脅情報活動的風(fēng)險將會很有用。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文