挽救民主:重新定义信息时代的关键基础设施

在一个严格的隐私法时代,创建一个有效利用威胁情报来打击虚假宣传活动和支持民主的在线环境非常重要。在当今的环境中,当虚假信息成为主要的威胁载体时,实践这些观点是急切的。

虽然新闻来源总是带有一定程度的编辑偏见,但是记录期刊的偏见是基于这样一种假设:无论偏见如何,报告信息的基础都应该是个人观察和记录的事实。然而现在“替代事实”已经成为了主流,了解(错误)信息的来源和打击明显的信息战操作需要严格的关键基础设施保护。

我们也看到了善意的隐私立法产生的潜在不利影响(如上述&2中关联)。欧盟的通用数据保护条例(GDPR)、2018年的加利福尼亚州消费者隐私法案、以及加拿大个人信息保护和电子文件法案都是保护公民的积极步骤,但是,正如通常情况所显示的那样,这些善意的努力会产生意想不到的后果。

虽然毫无疑问隐私法规旨在保护公民的私人数据,但这些新法律也阻碍了网络安全工作 — — 特别是在安全分析师收集和分享有关可疑或恶意在线基础设施的威胁情报的能力方面。作为一个特别令人关注的例子,隐私规则对通过 Whois 提供的数据进行了大量讨论,使域名所有权对调查人员来说基本上不透明。这很关键,因为通过 DNS 和注册数据的组合对基础设施的分析多年来一直是威胁情报操作的支柱。

确实,威胁行为者多年来一直使用 Whois privacy 来掩盖他们的踪迹。但他们也经常使用伪造的注册信息来掩盖他们的踪迹。迟早,他们中的许多人都会栽跟头,而这些错误有助于调查人员和分析人员破解新兴或持续的攻击行为。这就是安全研究人员获得注册和基础设施信息的重要性所在,这些信息可以识别各种网络事件背后的行为者 — — 包括虚假新闻活动和彻底的选举篡改。 FireEye 对伊朗的威胁研究进一步强调了它的重要性。

在努力打败虚假宣传活动中有效利用威胁情报对于创建一个在严格的隐私法律时代支持民主的在线环境非常重要。虽然从 Whois 记录中删除识别信息已经对对手基础设施分析工作流程产生了影响,但不会一直如此。由于当前隐私限制如何使用和共享数据,网络安全专业人员只需要了解他们打击威胁行为者的努力是如何受到影响的。

好消息是,分析师仍然可以非常有效地识别和打击网络威胁。但它需要超越 Whois,在对抗分析中使用的长期根深蒂固的工作流程和实践。例如:

注册细节对识别来说肯定有效,但是,有大量其他数据往往同样有效。示例包括 DNS 记录(包括权限启动或 SOA,记录,即电子邮件地址),以及 Web 内容,如 SSL / TLS 证书,跟踪代码,网站标题和屏幕截图。当参与者为攻击活动创建基础架构时,他们通常会重用这些元素中的许多元素。在关联威胁参与者资产时,这对您有利。

请记住,doxing 不是你的目标(除非你在执法,否则不要)。在尝试了解新兴或不断演变的攻击活动时,归因的最有价值的方面是识别一个角色(如实体犯罪调查中的“John Doe”个人资料),将域名,IP 地址,网络资产,恶意软件文件捆绑在一起,以及活动的其他组成部分。您不需要真实身份。即使在开放 Whois 记录的日子里,也很难确定给定的身份是否合法。

一旦识别出一个角色或一组相关的攻击基础架构,就可以更容易地采取具体行动,例如在日志档案或 SIEM 中搜索发现的项目(域名,IP,URL 等),创建阻止规则以覆盖整个活动,或创建监视列表以监控攻击基础架构的持续演进或扩展。

美国的最近两次大选由于缺乏安全性而成为焦点。在计票后很久,研究人员一直在分析对抗性在线活动所产生的影响(如果有的话),而情报分析将同样检查虚假宣传活动是否有效影响了选举结果。全面准确和有效地分析威胁行为者基础设施和活动的能力是此类工作的核心要求。

好消息是,有一些优秀的数据源、工具和实践可以使安全和情报专业人员能够了解并最终防止那些试图隐藏在互联网阴影中的对手。

Redefining Critical Infrastructure for the Age of Disinformation: In an era of tighter privacy laws, it’s important to create an online environment that uses threat intelligence productively to defeat disinformation campaigns and bolster democracy.

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据