在隐私法更加严格的时代,创造一个有效利用威胁情报挫败虚假信息运动和支持民主的网络环境非常重要。
当我们想到网络环境下的关键基础设施时,我们往往会想到发电厂和水处理设施的工业控制系统,或者电子芭蕾舞盒。但在今天的环境下,当虚假信息成为我们国家安全的主要威胁载体时,扩大这些先入为主的观念是很重要的。
让我们从一个基本的原则开始:知情的公民是民主制度完整的基础。在这种情况下,某些信息来源——特别是那些娱乐或商业以外的信息来源——也可以被认为是重要的。很早以前就确立的报纸记录的概念就是一个很好的例子,还有现代的广播、电视和互联网媒体等。这些机构在塑造公众舆论和政策决策方面发挥着重要作用。
尽管新闻来源总是带有一定程度的编辑偏见,但记录期刊的偏见是基于这样一个假设,即无论偏见是什么,报道信息的基础都是个人观察和记录的事实。既然“另类事实”已经成为主流,了解(错误)信息的来源和打击公开的信息战行动要求严格保护关键基础设施。
隐私条例的意外后果
我们还看到了善意的隐私立法的潜在有害影响,鉴于假新闻和干预选举的增多,该立法的颁布时间特别不合时宜。欧盟的《通用数据保护条例》(GDPR)、《2018年加州消费者隐私法》以及《加拿大个人信息保护和电子文件法》都是在保护公民方面迈出的积极步骤。但是,正如经常发生的情况一样,这些善意的努力会产生意想不到的后果。
毫无疑问,隐私监管旨在保护公民的私人数据,但这些新法律也阻碍了网络安全的努力——具体来说,在安全分析师收集和分享有关可疑或恶意在线基础设施的威胁情报的背景下。作为一个特别令人担忧的例子,隐私规则已经从通过域Whois服务获得的数据中拿走了很大一部分,使得域所有权对调查人员来说很大程度上不透明。这一点意义重大,因为通过DNS和注册数据的组合分析基础设施多年来一直是威胁情报行动的支柱。
确实,威胁者多年来一直利用Whois的隐私来掩盖他们的行踪。但他们也经常使用虚假注册信息来掩盖自己的踪迹。其中很多迟早会出错,而这些错误有助于调查人员和分析人士破解正在出现或正在进行的攻击行动。这就是为什么安全研究人员能够获得注册和基础设施信息至关重要,这些信息可以识别各种网络事件背后的参与者——包括假新闻宣传和直接篡改选举。威胁的研究“火眼”对伊朗行动的报告进一步强调了这种威胁情报的重要性。
拯救民主的一个奇怪伎俩
好吧,“拯救民主”可能有点夸张,但其基本观点是正确的:在打击虚假信息运动的努力中有效地使用威胁情报,对于创建一个在隐私法更加严格的时代支持民主的网络环境非常重要。虽然从域Whois记录中删除识别信息已经在对手基础设施分析工作流程中造成了阻碍,但它绝不是一个表演的停顿。由于目前对如何使用和共享数据的隐私限制,网络安全专业人员只需要了解他们打击威胁行为者的努力是如何受到影响的。
好消息是,分析师和猎人仍然可以非常有效地识别和打击网络威胁。但这需要超越Whois,改变长期以来根深蒂固的工作流程和对手分析中使用的做法。例如:
- 注册细节无疑是塑造演员形象或策划竞选活动最容易实现的目标之一。但还有大量的其他数据通常也同样有效。示例包括DNS记录(包括起始授权机构或SOA记录,即电子邮件地址),以及诸如SSL/TLS证书、跟踪代码、网站标题和屏幕截图等web内容。当参与者为攻击活动创建基础设施时,他们通常会跨多个域重用其中的许多元素。如果他们不这样做,就会付出时间和金钱的代价。在关联威胁主体资产时,这对您是有利的。
- 记住,做坏事并不是你的目标(除非你在执法部门工作)。当试图理解一个正在出现或发展的攻击活动时,归因最有价值的方面是识别一个人物(就像物理犯罪调查中的“John Doe”简介),它将域名、IP地址、web资产、恶意软件文件和活动的其他组件联系在一起。你不需要一个真实的,真实的身份。即使在Whois公开记录的年代,也很难确定一个给定的身份是合法的。
- 一旦确定了攻击基础设施的角色或相关集合,就可以更容易地采取具体行动,例如在日志档案或SIEMs中搜索发现的项目(域、ip、url等),创建覆盖整个活动的屏蔽规则,或创建监视列表以监视攻击基础设施的持续发展或扩展。
接下来是什么
最近两届美国大选将人们的目光聚焦在了允许民主运作的机制的安全(或缺乏安全)问题上。在计票工作结束很久之后,法医分析将试图了解敌对的在线活动是否产生了影响,而情报分析也将同样检查虚假信息运动是否有效地影响了选举结果。全面、准确和有效地分析威胁主体基础设施和活动的能力是此类工作的核心要求。
好消息是,有优秀的数据源、工具和实践,使安全和情报专业人员能够了解并最终抵御那些试图隐藏在互联网阴影中的对手。
注:本文最初发表于黑暗的阅读
