威脅情報(bào)、APT分析師、事件檢測(cè)和響應(yīng)專家、欺騙式或攻擊性防御技術(shù)開發(fā)者和滲透測(cè)試人員們經(jīng)常需要出沒暗網(wǎng)、分析危險(xiǎn)的惡意軟件，或者追蹤危險(xiǎn)的網(wǎng)絡(luò)犯罪分子。他們是企業(yè)網(wǎng)絡(luò)安全的“奇兵”和特勤部隊(duì)，有時(shí)也是P4級(jí)別的“病毒實(shí)驗(yàn)室”的操作者，此類職業(yè)的危險(xiǎn)性不僅僅是個(gè)人信息泄露、違規(guī)或者“頂鍋”、“問責(zé)”等崗位風(fēng)險(xiǎn)，更大的風(fēng)險(xiǎn)在于他們中很多人都在缺乏監(jiān)督和培訓(xùn)的“無防護(hù)”狀態(tài)下工作，隨時(shí)有可能成為企業(yè)自身網(wǎng)絡(luò)安全和公共安全的“殉爆”炸彈(尤其是威脅情報(bào)工作)。

[[319701]]威脅情報(bào)" title="威脅情報(bào)">

以下，我們通過對(duì)報(bào)告的解讀了解一下威脅情報(bào)從業(yè)人員的安全現(xiàn)狀：

最性感的，同時(shí)也是最危險(xiǎn)的職業(yè)

在安全牛之前發(fā)布的《2020年最酷的20個(gè)安全工作崗位》中，威脅獵人和安全分析師等新興安全崗位是未來幾年“最酷”的網(wǎng)絡(luò)安全職業(yè)。而“最性感”的安全職業(yè)，非威脅情報(bào)專家莫屬，因?yàn)樗麄兪瞧髽I(yè)打贏網(wǎng)絡(luò)安全戰(zhàn)爭(zhēng)的“大腦”、千里眼和預(yù)警機(jī)，他們是唯一上至董事會(huì)下到業(yè)務(wù)員都容易理解和愛戴的安全專業(yè)人士。

然而，殘酷的現(xiàn)實(shí)是，威脅情報(bào)也是最危險(xiǎn)的安全崗位。威脅情報(bào)專業(yè)人員在互聯(lián)網(wǎng)的黑暗角落出沒，許多人需要經(jīng)常訪問帶有惡意軟件等在線漏洞利用的網(wǎng)站，并開展對(duì)手歸因、去匿名化和反情報(bào)工作。

根據(jù)Cybersecurity Insider發(fā)布的《2020年網(wǎng)絡(luò)威脅情報(bào)報(bào)告》(以下簡(jiǎn)稱《報(bào)告》)，企業(yè)威脅情報(bào)工作的安全管理現(xiàn)狀非常糟糕，超出了大多數(shù)人的想象。

《報(bào)告》調(diào)查了338位CTI從業(yè)人員，發(fā)現(xiàn)CTI研究人員在很大程度上依賴于開放源代碼情報(bào)(OSINT)的收集和分析，所謂“開源“，指的是這些情報(bào)是從公開來源收集的數(shù)據(jù)和見解。CTI人員經(jīng)常需要代表網(wǎng)絡(luò)安全運(yùn)營(yíng)中心，欺詐調(diào)查部門或公共安全團(tuán)隊(duì)進(jìn)行CTI研究活動(dòng)，這些活動(dòng)本身就存在固有風(fēng)險(xiǎn)，尤其是一些高?；顒?dòng)，例如深入暗網(wǎng)：

糟糕的是，超過三分之一的威脅情報(bào)人員居然沒有任何OSINT經(jīng)驗(yàn)：

更加糟糕的是，如此菜鳥云集的高危崗位，卻嚴(yán)重缺乏必要的培訓(xùn)和安全管控措施。

《報(bào)告》發(fā)現(xiàn)威脅情報(bào)人員普遍缺乏必要的安全培訓(xùn)、審計(jì)和監(jiān)控。85%的網(wǎng)絡(luò)威脅情報(bào)(CTI)專業(yè)人員很少或根本沒有接受過對(duì)于確保公司和公共安全至關(guān)重要的在線活動(dòng)的培訓(xùn)。這導(dǎo)致職業(yè)風(fēng)險(xiǎn)的急劇上升：

• 38%的CTI人員不使用托管歸因工具掩蓋或隱藏其在線身份或角色;



• 29%的CTI人員匯報(bào)缺乏監(jiān)督程序，以確保分析人員不會(huì)濫用工具;
• 54%的CTI人員缺乏安全指導(dǎo)規(guī)范。

《報(bào)告》還指出，導(dǎo)致威脅情報(bào)工作更加危險(xiǎn)的原因主要有兩點(diǎn)：

兩大原因

• 缺乏培訓(xùn)，你很難想象讓一群未經(jīng)培訓(xùn)的員工去操縱危險(xiǎn)武器而不出意外。
• 缺乏審計(jì)和監(jiān)控，將近30%的企業(yè)未能對(duì)CTI員工違規(guī)或?yàn)E用資源實(shí)施有效監(jiān)控。

留神迭代中的法律雷區(qū)

隨著各國(guó)網(wǎng)絡(luò)安全法案的不斷完善，威脅情報(bào)工作者還需要警惕不斷累積的法律風(fēng)險(xiǎn)。

威脅情報(bào)發(fā)布方面，企業(yè)需要留意2019年11月20日國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布的《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法(征求意見稿)》，《辦法》首次對(duì)威脅情報(bào)發(fā)布做出明確規(guī)定，例如個(gè)人或企業(yè)發(fā)布網(wǎng)絡(luò)安全威脅信息時(shí)標(biāo)題中不得含有“預(yù)警“字樣，同時(shí)《辦法》還對(duì)威脅情報(bào)發(fā)布前的匯報(bào)實(shí)體和發(fā)布形式等給出了規(guī)范。對(duì)于廣大網(wǎng)絡(luò)安全企業(yè)來說，尤其要留意《辦法》中的這段話：

在威脅情報(bào)采集和追蹤方面，企業(yè)需要留意今年2月份美國(guó)司法部發(fā)布的《網(wǎng)絡(luò)威脅情報(bào)采集與數(shù)據(jù)購(gòu)買法律指南1.0版》，首次對(duì)威脅情報(bào)采集和黑市交易給出出了明確的法律建議。

根據(jù)《指南》，在暗網(wǎng)收集情報(bào)或者購(gòu)買數(shù)據(jù)方面的小差錯(cuò)，最終可能導(dǎo)致威脅情報(bào)工作者陷入嚴(yán)重的法律麻煩中。威脅情報(bào)公司Recorded Future指出：

安全牛在閱讀《指南》后發(fā)現(xiàn)，該指南給出了兩個(gè)基本暗網(wǎng)情報(bào)行為準(zhǔn)則：1.不要犯事。2.不要成為受害者。所謂的不要犯事，主要是指不要主動(dòng)與論壇中的成員溝通交易，潛水觀察，被動(dòng)采集信息的法律風(fēng)險(xiǎn)很小。另外兩個(gè)被明確提出的雷區(qū)是：

• 不要使用失竊賬號(hào)(可以繼續(xù)使用偽造賬號(hào))。
• 與犯罪分子談判以檢索或索要被盜數(shù)據(jù)(例如勒索軟件或者數(shù)據(jù)泄露緩解)的組織也需要格外小心。從不法分子手中購(gòu)買自己的數(shù)據(jù)似乎沒有法律風(fēng)險(xiǎn)，但是，如果賣方不小心將其他被盜數(shù)據(jù)包括在其中，尤其是被盜的知識(shí)產(chǎn)權(quán)、信用卡號(hào)等數(shù)據(jù)，則可能惹上法律風(fēng)險(xiǎn)。此外，如果犯罪實(shí)體正好被貼上了恐怖組織的標(biāo)簽，或被歸類于出口管制法規(guī)，則任何與之進(jìn)行談判(哪怕目的是取回自己的數(shù)據(jù))的組織都可能因此而接受有關(guān)部門調(diào)查。

對(duì)于企業(yè)安全主管來說，鑒于威脅情報(bào)采集活動(dòng)的國(guó)際化屬性，應(yīng)當(dāng)根據(jù)我國(guó)和其他國(guó)家相關(guān)網(wǎng)絡(luò)安全法規(guī)，制定清晰明確的威脅情報(bào)參與規(guī)則，闡明法律責(zé)任和協(xié)議，明確在進(jìn)行威脅情報(bào)收集時(shí)什么可以做，什么不可以做。在網(wǎng)絡(luò)安全合規(guī)全球化的今天，跨國(guó)公司或者擁有海外業(yè)務(wù)的企業(yè)開展威脅情報(bào)工作可能面臨(跨國(guó))民事、刑事或監(jiān)管的情況下，不斷修訂完善的明文規(guī)則對(duì)于降低威脅情報(bào)活動(dòng)的風(fēng)險(xiǎn)將會(huì)很有用。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文