隐私保护法律越来越严的时代,运用威胁情报卓有成效地打击虚假信息,创建安全上网环境,是十分必要的。
网络语境下谈到关键基础设施,人们大多想到的是电厂、污水处理厂的工业控制系统。但现代社会中,虚假信息也是攸关国家安全的主要威胁,必须扩展人们对关键基础设施的理解。
民智是国家繁荣富强的基础,这个意义上讲,商业或娱乐之外的某些信息源也可以被认为是关键基础设施。比如早已威名赫赫的报纸,以及报纸的现代版本——广播、电视和互联网媒体。这些机构在塑造公众舆论和影响政策制定上起着举足轻重的作用。
尽管新闻消息来源总是带有某种程度的编辑偏好,但无论这种偏向是什么,期刊杂志所报道的信息的基础是个人观察和所记录的事实。由于现在“可选择的事实”已成主流,了解虚假信息源和对抗公然的信息战行动就需要严密保护关键基础设施了。
隐私监管规定的意外后果
在虚假新闻和大选干扰兴起的关头颁布实施的一系列隐私保护规定也产生了一些意料之外的不良效果。欧盟的《通用数据保护条例》(GDPR)、美国的《2018加州消费者隐私法案》和加拿大《个人信息保护与电子文档法案》都是在公民隐私保护方面迈出的积极步伐。但好心办坏事的案例并不少见,这些出于善意的努力带来了计划外的后果。
毫无疑问,这些隐私法律旨在保护公民隐私数据,但新法案确实妨碍了网络工作的进行,尤其阻碍了安全分析师收集和共享有关恶意或可疑网络基础设施的威胁情报。其中典型例子就是Whois服务被迫下线了很多有用数据,让安全调查人员难以看清域名拥有者的真实身份。这一点很关键,因为通过关联DNS和注册数据对攻击者基础设施进行分析一直都是威胁情报操作的支柱。
攻击者用Whois隐私权掩盖自身踪迹是不争的事实。但他们也经常会用虚假注册信息达到同样效果。或迟或早,他们总会失手,而这些失误就给了调查人员和分析师勘破新兴攻击或进行中攻击行动的突破点。这就是为什么安全研究人员必须能够访问域名注册信息和基础设施信息的原因,这些信息能够标识出各种网络事件背后的黑手,包括假新闻散布行动和公然的大选干扰活动。安全公司火眼对伊朗网络行动的威胁研究进一步凸显了此类威胁情报的重要性。
棘手,但并非不可解决
想在隐私立法越来越严的时代创建安全网上环境,必须有效运用威胁情报打败虚假信息散布行动。域名Whois记录中的身份标识信息被删除给对手基础设施分析工作造成了一定障碍,这绝不是什么好事。当前隐私立法对数据使用及共享上的限制,令网络安全人员不得不考虑自己抗击黑帽子的工作会受到怎样的影响。
值得庆幸的是,分析师和威胁猎手依然能有效识别和对抗网络威胁。只不过,需要摆脱对Whois的依赖,转换到更深入细致的对手分析操作上。比如说:
1. 注册信息显然是比较容易入手的描摹攻击者或攻击行动的材料。但还有其他很多数据也具备同样功效。比如DNS记录(包含以电子邮件地址呈现的起始授权(SOA)记录)和网页内容记录(SSL/TLS证书、跟踪节点、网站名称和屏幕快照)。攻击者建立攻击行动的基础设施时往往会在多个域名上重复使用这些元素——每个域名单独用一套的时间和精力成本太高了。这就给了分析师关联攻击者资产的机会。
2. 牢记网络揭私不是你的目标(除非你在司法部门工作)。尝试了解新兴攻击行动时,归因溯源最重要的价值在于发现与攻击域名、IP地址、网络资产、恶意软件和其他攻击元素相关联的人。你不需要挖出一个真实的身份。即便是在Whois记录可用的时代,也是很难确定给定身份是否合法有效的。
3. 一旦攻击者或相关攻击基础设施被识别出来,在日志存档或SIEM里搜索这些条目(域名、IP、URL等等),创建相关阻止规则,或者建立监视列表观察攻击进展之类的工作就很容易进行了。
接下来做什么
2016年的美国总统大选和刚刚过去的中期选举让很多人开始关注民主投票机制的安全性。计票结束后,取证分析师将探寻这些敌对网络行为的影响,情报分析师也将评估虚假信息行动在影响选举结果中的有效性。全面、准确、有效地分析攻击者基础设施及行动的能力就是此类工作的核心要求。
幸而有很好的数据源、工具和最佳实践让安全及情报人员得窥究竟,并最终挡住蹲守在互联网暗处的攻击者。
火眼2018年3月的伊朗网络钓鱼行动报告: