为什么FBI的调查活动受制于安全企业的黑客研究?

简介:

公开发布对于黑客活动的研究成果虽然能够有效提升网络安全企业的声誉,但同时却有可能扰乱联邦政府执法机构的相关活动,这一问题似乎仍有进一步恶化的趋势。

来自各大网络安全厂商的威胁情报报告往往包含大量信息(且多数公开发布)足以详尽到可以彻底打乱由政府主导的网络调查工作详尽,这已经过各行业专家、前任执法机构工作人员以及情报官员的证实。FBI网络部前任副主任詹姆斯-特雷纳(James Trainor)表示此类问题“每过几个月”就会出现一次。

特雷纳及其他多位官员在接受采访时拒绝透露具体企业与事件名称,但他们强调称此类问题的严重程度正在逐日增加。

为什么FBI的调查活动受制于安全企业的黑客研究?-E安全

FBI调查活动与企业黑客研究之间的矛盾分析(专家观点)

马克-库尔(Mark Kuhr)

Synack公司联合创始人兼前任美国国安局分析师马克-库尔(Mark Kuhr)解释称,目前安全行业对于恶意活动与政府调查活动的分类还不够公平,而这也是造成当前状况的主要原因。如果能够及时得到消息,政府往往会要求安全厂商停止进一步披露。然而在大多数情况下,要么是政府对此毫不知情、要么是相关企业根本不打算予以理会。

约翰-雷吉(John Riggi)

FBI前任网络部外联主管约翰-雷吉(John Riggi)的证实,随着新兴资本与情报界的人才大量流入更具规模的网络安全行业,如今各安全厂商已经拥有更为强大的黑客活动追踪能力。目前已经有多家企业拥有足以同美国政府相抗衡的数据情报收集与分析水平。但由于当前还没有任何法规乃至其它形式的制度以指导各私营企业应何时及如何向私营公司披露其研究结果,因此部分事件的公开报道最终阻碍了正在进行的执法调查。

雷吉接受采访时表示,这种情况确实时有发生,尽管频率还不是很高,但他们曾经经历过多次由于特定白皮书与情报报告披露而导致调查工作被迫中断的状况。

不同私营网络安全企业在其动机、洞察能力、所面向客户以及与联邦政府间的协作关系等层面存在巨大差异。在某种程度上讲,这些因素都会影响到此类企业披露及发布相关研究结果的决定。

尼克-罗斯曼(Nick Rossman)

FireEye公司情报生成高级经理尼克-罗斯曼(Nick Rossman)表示,目前安全行业在发布任何威胁评估报告之前主要考量三大核心问题,分别为报告是否会对公众产生告知与影响效果、其是否会为其它研究工作提供情报价值以及是否会破坏或者以其它方式对合作伙伴追踪特定人员的能力产生负面影响。

罗斯曼进一步解释称,具体决策仍然受到其它因素的影响。每一家厂商都拥有自己的一套决策流程。而在正式报告出炉之前,FireEye公司的报告内容就已经被多个相关方所知晓。

总体来讲,执法机构当然不希望失去对目标的持续追踪能力。他们会尽可能将相关事项通知给CERT、政府、各执法机构以及来自世界各地的其它合作伙伴,从而保障各方间的沟通与合作。

FBI与黑客们存在的“矛盾”目前只能通过“私人关系”解决

黑客们经常受到政府与私营部门所使用之特殊技术方案、签名与工具的追踪。这些不同的取证学特征在广义上被称为违规指标,调查人员有时可以利用其判断特定攻击者以往与当前的恶意活动。黑客们对这一点也是非常清楚。

iSight公司间谍分析事务主管约翰-哈特奎斯特(John Hultquist)在接受采访时表示,各高级黑客集团(例如曾于2016年对美国民主党全国委员会进行入侵的攻击方)会定期监控网络安全公司发布的相关新闻报道与研究报告,并将此作为其应对活动的重要依据。

Rendition InfoSec公司联合创始人杰克-威廉姆斯(Jake Williams)解释称,如果针对特定黑客组织的IOC被披露在威胁情报报告当中,那么被点名的攻击者们往往会“修改其代码库以确保对应IOC无法起效”。

雷吉表示,他也曾经参与过一系列旨在解决此类问题的讨论,且对话中经常出现一些复杂难题。如果一家安全厂商发布的内容可能有助于企业客户但却会妨碍调查员的分析工作时,甚至往往会引发冲突。雷吉同样拒绝讨论具体的相关事件。

雷吉指出,一部分较为负责的大型企业至少会向FBI方面提供高级副本以作为提醒,但其中的内容往往并不全面,仅可作为基本参考。

然而,此类案例中的执法合作与盲目发布敏感资料之间仍然存在着细微的差别。

目前惟一能够阻止安全厂商发布可能导致调查类取证分析工作中断的威胁情报报告的举措,在于由私营企业网络安全人员与执法部门乃至美国情报界人士进行接触,但这种接触往往使用非正式性个人关系以及并不明确的人际对接网络。

特雷纳表示,这一切都取决于人际关系,而且完全取决于人际关系。

多位内部人士在接受采访时指出,各与联邦政府签订有业务合同并拥有曾任执法及情报职务之员工的网络安全企业一般更倾向于提前向政府方面提供通知。然而这种作法还远远没有成为行业标准,而且早期通知往往并不能阻止研究成果对于调查工作的影响。

为什么FBI的调查活动受制于安全企业的黑客研究?-E安全.jpg

研究成果披露与否,是个鱼和熊掌不可兼得的问题

研究成果披露或带动整个安全行业的技术能力进一步提升,但却无益于美国情报界。

位于弗吉尼亚州亚历山卓拉的网络安全企业Mandiant公司曾于2013年2月发布了一份关于APT1黑客集团的74页报告,该网络间谍组织据信由中国设立,且很可能由中国政府提供资助。当时Mandiant公司(目前已经成为FireEye的下辖子公司)在多份报告中提供了非常详尽的IOC,同时对APT1集团的黑客活动与操作方式进行了广泛概述。在不到一年时间内,美国司法部指责五名中国军方黑客入侵了美方计算机网络。这五名黑客目前仍驻留在中国国内。

尽管Mandiant公司当时曾经通知FBI称其即将发布APT1研究报告,但其它多家私营安全厂商证实称相关披露确实对美国政府追踪中国威胁活动者的能力产生了负面影响。APT1集团曾对多家不同企业及政府机构(包括非FireEye公司客户)构成严重威胁。

Area 1公司首席战略官、前任美国国安局计算机网络安全漏洞分析师布雷克-达奇(Blake Darche)解释称,该集团在Mandiant方面发布报告之后即彻底消失,且之后再未露面。

在APT1报告正式发布之前,其它多家安全厂商都有能力追踪到这批中国黑客。威廉姆斯表示,这些IOC资料在安全行业中得到了广泛分发。他同时指出,作为行业内第一家发表这项研究成果的企业,Mandiant公司确实借此实现了可观的竞争优势,他们在这批中国攻击者身上收集并整理到的情报确实远超其它厂商。

Mandiant公司的报告无疑有助于提升其自身业绩,同时亦为整个安全行业的入侵应对能力有所助益,然而美国情报界却因此遭受巨大损失。

威廉姆斯总结称,在这样的两难冲突当中,Mandiant公司如果选择放弃发布相关结果,亦会导致其它安全厂商陷入困境。



   


 


  

本文转自d1net(转载)

目录
相关文章
|
安全 网络安全
入侵中国长达 3 个月,越南黑客组织欲窃取新冠肺炎情报
近日,FireEye 发布了一份研究报告,报告称:为收集 COVID-19(新型冠状病毒肺炎)的相关情报,至少从 2020 年 1 月至 4 月,越南黑客组织 APT32 针对中国目标开展持续的入侵活动。
|
云安全 机器学习/深度学习 人工智能
金融安全资讯精选 2017年第十期 中国台湾远东银行遭黑客入侵被盗六千万美元,GDPR成了欧洲企业“最担心的挑战”,CISO在企业中的位置会变得更加重要
中国台湾远东银行遭黑客入侵被盗六千万美元,GDPR成了欧洲企业“最担心的挑战”,CISO在企业中的位置会变得更加重要,DNSMASQ多高危漏洞公告,阿里云安全数据智能团队负责人观点:安全算法,时代风口的交叉点
2124 0
|
安全 网络安全
美国军方再度更新漏洞赏金计划,这次邀请你黑进空军基地
本文讲的是美国军方再度更新漏洞赏金计划,这次邀请你黑进空军基地,本周三(4月26日),美国空军成为美国军方中又一个面向公众发布漏洞悬赏计划的部门。该漏洞悬赏项目名为“Hack the Air Force”,将邀请符合审核要求的白帽安全专家攻击面向公众的关键空军网站,寻找漏洞,保障空军系统安全。
1329 0