為什麼FBI的調查活動受制於安全企業的黑客研究？

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全4月5日文 公開發布對於黑客活動的研究成果雖然能夠有效提升網路安全企業的聲譽，但同時卻有可能擾亂美國聯邦政府執法機構的相關活動，這一問題似乎仍有進一步惡化的趨勢。

來自各大網路安全廠商的威脅情報報告往往包含大量信息（且多數公開發布）足以詳盡到可以徹底打亂由政府主導的網路調查工作詳盡，這已經過各行業專家、前任執法機構工作人員以及情報官員的證實。FBI網路部前任副主任詹姆斯·特雷納表示此類問題「每過幾個月」就會出現一次。

特雷納及其他多位官員在接受採訪時拒絕透露具體企業與事件名稱，但他們強調稱此類問題的嚴重程度正在逐日增加。

馬克-庫爾（Mark Kuhr）

Synack公司聯合創始人兼前任美國國安局分析師馬克-庫爾（Mark Kuhr）解釋稱，目前安全行業對於惡意活動與政府調查活動的分類還不夠公平，而這也是造成當前狀況的主要原因。如果能夠及時得到消息，政府往往會要求安全廠商停止進一步披露。然而在大多數情況下，要麼是政府對此毫不知情、要麼是相關企業根本不打算予以理會。

約翰-雷吉（John Riggi）

FBI前任網路部外聯主管約翰-雷吉（John Riggi）的證實，隨著新興資本與情報界的人才大量流入更具規模的網路安全行業，如今各安全廠商已經擁有更為強大的黑客活動追蹤能力。目前已經有多家企業擁有足以同美國政府相抗衡的數據情報收集與分析水平。但由於當前還沒有任何法規乃至其它形式的制度以指導各私營企業應何時及如何向私營公司披露其研究結果，因此部分事件的公開報道最終阻礙了正在進行的執法調查。

雷吉接受採訪時表示，這種情況確實時有發生，儘管頻率還不是很高，但他們曾經經歷過多次由於特定白皮書與情報報告披露而導致調查工作被迫中斷的狀況。

不同私營網路安全企業在其動機、洞察能力、所面向客戶以及與聯邦政府間的協作關係等層面存在巨大差異。在某種程度上講，這些因素都會影響到此類企業披露及發布相關研究結果的決定。

尼克-羅斯曼（Nick Rossman）

FireEye公司情報生成高級經理尼克-羅斯曼（Nick Rossman）表示，目前安全行業在發布任何威脅評估報告之前主要考量三大核心問題，分別為報告是否會對公眾產生告知與影響效果、其是否會為其它研究工作提供情報價值以及是否會破壞或者以其它方式對合作夥伴追蹤特定人員的能力產生負面影響。

羅斯曼進一步解釋稱，具體決策仍然受到其它因素的影響。每一家廠商都擁有自己的一套決策流程。而在正式報告出爐之前，FireEye公司的報告內容就已經被多個相關方所知曉。

總體來講，執法機構當然不希望失去對目標的持續追蹤能力。他們會儘可能將相關事項通知給CERT、政府、各執法機構以及來自世界各地的其它合作夥伴，從而保障各方間的溝通與合作。

黑客們經常受到政府與私營部門所使用之特殊技術方案、簽名與工具的追蹤。這些不同的取證學特徵在廣義上被稱為違規指標，調查人員有時可以利用其判斷特定攻擊者以往與當前的惡意活動。黑客們對這一點也是非常清楚。

iSight公司間諜分析事務主管約翰-哈特奎斯特（John Hultquist）在接受採訪時表示，各高級黑客集團（例如曾於2016年對美國民主黨全國委員會進行入侵的攻擊方）會定期監控網路安全公司發布的相關新聞報道與研究報告，並將此作為其應對活動的重要依據。

Rendition InfoSec公司聯合創始人傑克-威廉姆斯（Jake Williams）解釋稱，如果針對特定黑客組織的IOC被披露在威脅情報報告當中，那麼被點名的攻擊者們往往會「修改其代碼庫以確保對應IOC無法起效」。

雷吉表示，他也曾經參與過一系列旨在解決此類問題的討論，且對話中經常出現一些複雜難題。如果一家安全廠商發布的內容可能有助於企業客戶但卻會妨礙調查員的分析工作時，甚至往往會引發衝突。雷吉同樣拒絕討論具體的相關事件。

雷吉指出，一部分較為負責的大型企業至少會向FBI方面提供高級副本以作為提醒，但其中的內容往往並不全面，僅可作為基本參考。

然而，此類案例中的執法合作與盲目發布敏感資料之間仍然存在著細微的差別。

目前惟一能夠阻止安全廠商發布可能導致調查類取證分析工作中斷的威脅情報報告的舉措，在於由私營企業網路安全人員與執法部門乃至美國情報界人士進行接觸，但這種接觸往往使用非正式性個人關係以及並不明確的人際對接網路。

特雷納表示，這一切都取決於人際關係，而且完全取決於人際關係。

多位內部人士在接受採訪時指出，各與聯邦政府簽訂有業務合同並擁有曾任執法及情報職務之員工的網路安全企業一般更傾向於提前向政府方面提供通知。然而這種作法還遠遠沒有成為行業標準，而且早期通知往往並不能阻止研究成果對於調查工作的影響。

研究成果披露或帶動整個安全行業的技術能力進一步提升，但卻無益於美國情報界。

位於弗吉尼亞州亞歷山卓拉的網路安全企業Mandiant公司曾於2013年2月發布了一份關於APT1黑客集團的74頁報告，該網路間諜組織據信由中國設立，且很可能由中國政府提供資助。當時Mandiant公司（目前已經成為FireEye的下轄子公司）在多份報告中提供了非常詳盡的IOC，同時對APT1集團的黑客活動與操作方式進行了廣泛概述。在不到一年時間內，美國司法部指責五名中國軍方黑客入侵了美方計算機網路。這五名黑客目前仍駐留在中國國內。

儘管Mandiant公司當時曾經通知FBI稱其即將發布APT1研究報告，但其它多家私營安全廠商證實稱相關披露確實對美國政府追蹤中國威脅活動者的能力產生了負面影響。APT1集團曾對多家不同企業及政府機構（包括非FireEye公司客戶）構成嚴重威脅。

Area 1公司首席戰略官、前任美國國安局計算機網路安全漏洞分析師布雷克-達奇（Blake Darche）解釋稱，該集團在Mandiant方面發布報告之後即徹底消失，且之後再未露面。

在APT1報告正式發布之前，其它多家安全廠商都有能力追蹤到這批中國黑客。威廉姆斯表示，這些IOC資料在安全行業中得到了廣泛分發。他同時指出，作為行業內第一家發表這項研究成果的企業，Mandiant公司確實藉此實現了可觀的競爭優勢，他們在這批中國攻擊者身上收集並整理到的情報確實遠超其它廠商。

Mandiant公司的報告無疑有助於提升其自身業績，同時亦為整個安全行業的入侵應對能力有所助益，然而美國情報界卻因此遭受巨大損失。

威廉姆斯總結稱，在這樣的兩難衝突當中，Mandiant公司如果選擇放棄發布相關結果，亦會導致其它安全廠商陷入困境。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱eapp@easyaq.com