虛假信息時代重新定義關鍵基礎設施
責編:gltian |2019-01-11 15:29:59隱私保護法律越來越嚴的時代,運用威脅情報卓有成效地打擊虛假信息,創建安全上網環境,是十分必要的。
網絡語境下談到關鍵基礎設施,人們大多想到的是電廠、污水處理廠的工業控制系統。但現代社會中,虛假信息也是攸關國家安全的主要威脅,必須擴展人們對關鍵基礎設施的理解。
民智是國家繁榮富強的基礎,這個意義上講,商業或娛樂之外的某些信息源也可以被認為是關鍵基礎設施。比如早已威名赫赫的報紙,以及報紙的現代版本——廣播、電視和互聯網媒體。這些機構在塑造公眾輿論和影響政策制定上起著舉足輕重的作用。
盡管新聞消息來源總是帶有某種程度的編輯偏好,但無論這種偏向是什么,期刊雜志所報道的信息的基礎是個人觀察和所記錄的事實。由于現在“可選擇的事實”已成主流,了解虛假信息源和對抗公然的信息戰行動就需要嚴密保護關鍵基礎設施了。
隱私監管規定的意外后果
在虛假新聞和大選干擾興起的關頭頒布實施的一系列隱私保護規定也產生了一些意料之外的不良效果。歐盟的《通用數據保護條例》(GDPR)、美國的《2018加州消費者隱私法案》和加拿大《個人信息保護與電子文檔法案》都是在公民隱私保護方面邁出的積極步伐。但好心辦壞事的案例并不少見,這些出于善意的努力帶來了計劃外的后果。
毫無疑問,這些隱私法律旨在保護公民隱私數據,但新法案確實妨礙了網絡工作的進行,尤其阻礙了安全分析師收集和共享有關惡意或可疑網絡基礎設施的威脅情報。其中典型例子就是Whois服務被迫下線了很多有用數據,讓安全調查人員難以看清域名擁有者的真實身份。這一點很關鍵,因為通過關聯DNS和注冊數據對攻擊者基礎設施進行分析一直都是威脅情報操作的支柱。
攻擊者用Whois隱私權掩蓋自身蹤跡是不爭的事實。但他們也經常會用虛假注冊信息達到同樣效果。或遲或早,他們總會失手,而這些失誤就給了調查人員和分析師勘破新興攻擊或進行中攻擊行動的突破點。這就是為什么安全研究人員必須能夠訪問域名注冊信息和基礎設施信息的原因,這些信息能夠標識出各種網絡事件背后的黑手,包括假新聞散布行動和公然的大選干擾活動。安全公司火眼對伊朗網絡行動的威脅研究進一步凸顯了此類威脅情報的重要性。
棘手,但并非不可解決
想在隱私立法越來越嚴的時代創建安全網上環境,必須有效運用威脅情報打敗虛假信息散布行動。域名Whois記錄中的身份標識信息被刪除給對手基礎設施分析工作造成了一定障礙,這絕不是什么好事。當前隱私立法對數據使用及共享上的限制,令網絡安全人員不得不考慮自己抗擊黑帽子的工作會受到怎樣的影響。
值得慶幸的是,分析師和威脅獵手依然能有效識別和對抗網絡威脅。只不過,需要擺脫對Whois的依賴,轉換到更深入細致的對手分析操作上。比如說:
1. 注冊信息顯然是比較容易入手的描摹攻擊者或攻擊行動的材料。但還有其他很多數據也具備同樣功效。比如DNS記錄(包含以電子郵件地址呈現的起始授權(SOA)記錄)和網頁內容記錄(SSL/TLS證書、跟蹤節點、網站名稱和屏幕快照)。攻擊者建立攻擊行動的基礎設施時往往會在多個域名上重復使用這些元素——每個域名單獨用一套的時間和精力成本太高了。這就給了分析師關聯攻擊者資產的機會。
2. 牢記網絡揭私不是你的目標(除非你在司法部門工作)。嘗試了解新興攻擊行動時,歸因溯源最重要的價值在于發現與攻擊域名、IP地址、網絡資產、惡意軟件和其他攻擊元素相關聯的人。你不需要挖出一個真實的身份。即便是在Whois記錄可用的時代,也是很難確定給定身份是否合法有效的。
3. 一旦攻擊者或相關攻擊基礎設施被識別出來,在日志存檔或SIEM里搜索這些條目(域名、IP、URL等等),創建相關阻止規則,或者建立監視列表觀察攻擊進展之類的工作就很容易進行了。
接下來做什么
2016年的美國總統大選和剛剛過去的中期選舉讓很多人開始關注民主投票機制的安全性。計票結束后,取證分析師將探尋這些敵對網絡行為的影響,情報分析師也將評估虛假信息行動在影響選舉結果中的有效性。全面、準確、有效地分析攻擊者基礎設施及行動的能力就是此類工作的核心要求。
幸而有很好的數據源、工具和最佳實踐讓安全及情報人員得窺究竟,并最終擋住蹲守在互聯網暗處的攻擊者。
火眼2018年3月的伊朗網絡釣魚行動報告: