日前,美国发布了《Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources1》(从非法来源收集网络威胁情报和购买数据时的法律参考指南),为信息安全从业人员如何在不违反美国法律的情况下开展威胁情报收集,提供了一些参考。
指南是根据美国司法部各部门、联邦调查局、美国特勤局和美国财政部外国资产控制办公室的意见而编制的。
内容的重点放在信息安全从业人员的网络威胁情报工作,其中也涉及了讨论和计划计算机犯罪并买卖被盗数据的在线论坛。它还考虑了个人想在黑市中购买恶意软件,安全漏洞或他们自己的被盗数据(或在数据所有者授权下属于他人的被盗数据)的情况。
威胁情报收集者如果不注意的话,很容易违反美国联邦刑法。所以指南的目的就使让信息安全人员合法规范地开展情报收集。
能做什么
- 被动收集网络威胁情报
- 合法访问论坛(通过合法获取登录凭据,用于完全伪造的角色)
- 在论坛上提问和征求意见(但要记录这样做只是为了收集信息,而不是犯罪)
不能做什么
- 非法访问论坛(使用被窃取的凭据,冒充包括政府官员在内的实际人员的身份或使用漏洞利用程序)
- 暗中拦截论坛上发生的通信
- 向论坛操作员提供恶意软件或被盗的个人信息,以便获得对论坛的访问权限,或向其他论坛参与者提供可用于犯罪的有用的信息、服务或工具以赢得他们的信任
- 要求或诱使计算机犯罪
- 协助他人从事犯罪行为(通过建议或实际行动)
此外,在数据泄露常态化的当下,如果组织发现数据泄露并试图与犯罪分子交涉来检索被盗数据的流向,则需要注意,组织从犯罪实体购买自己的被盗数据,可能几乎没有法律风险,但是如果卖方不小心将其他被盗数据包括在其中,尤其是涉及到被盗知识产权类的数据,那么组织会面临很大的麻烦。此外,如果组织进行接触/交易的犯罪实体是恐怖组织或与出口管制相关,那么组织也会面临调查。
总体来说,安全研究人员和组织在收集威胁情报或与暗网市场中的罪犯打交道时常常冒着一定风险。指南的发布一定程度上帮助组织和信息安全从业人员识别了潜在的法律问题。
指南全文链接:
《Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources1》