本期关键词:俄罗斯 网络安全 威胁情报 漏洞
网络安全厂商发现APT组织网络攻击线索后,是否可以与外国政府或者国际组织共享威胁情报?白帽黑客发现零日漏洞后,是否可以向微软等外国网络厂商或者漏洞平台通报?俄罗斯强力部门通过实际行动给出了答案---“网络威胁情报和漏洞是有国界的”。
前几天,我在国外网络安全网站,看到该信息整理了一篇公众号文章“网络安全公司Group-IB创始人Sachkov因涉嫌叛国罪在莫斯科被捕”,其实对此理解以及讲解都还不是太深刻,今天借助三正科技公众号文章,和大家一起再探讨一下这个话题。
俄罗斯以叛国罪逮捕明星级网络安全大佬
2021年9月29日,现年35岁的俄罗斯网络安全巨头---Group-IB的创始人兼首席执行官伊利亚·萨奇科夫(Ilya Sachkov)在莫斯科被拘留。据莫斯科法院官员称,伊利亚·萨奇科夫是根据俄罗斯刑法第275条以叛国罪被起诉,并被拘留两个月,直至2021年11月28日。俄罗斯塔斯社报道称,该项叛国罪指控与Group-IB公司与外国情报机构共享数据有关。如果伊利亚·萨奇科夫被定罪为叛国罪,他或将面临最高20年的监禁。目前伊利亚·萨奇科夫拒绝承认将情报数据传输给外国特殊服务部门。
Group-IB首席执行官伊利亚·萨奇科夫 图片来源于网络
Group-IB证实了其首席执行官被捕的消息,但Group-IB的发言人除了在公司网站上发表声明外没有发表其他评论,该声明称公司正在审查莫斯科法院的裁决,并对萨奇科夫的清白“有信心”。Group-IB在声明中说,该公司的首席技术官德米特里·沃尔科夫(Dmitry Volkov)将在萨奇科夫缺席的情况下管理公司。
Group-IB是俄罗斯最大的网络安全公司之一。2018年,在美国政府指控俄罗斯干预2016年美国总统大选后,Group-IB将其总部迁至新加坡。该公司经常与欧洲刑警组织和国际刑警组织合作开展调查。Group-IB公司的产品销往全球60多个国家,并与俄罗斯特勤局、国际刑警组织和欧洲刑警组织合作。Group-IB在莫斯科、鞑靼斯坦共和国、新加坡、阿姆斯特丹和迪拜设有办事处,总共有超过550名员工。Group-IB的威胁情报和归因系统被Gartner、Forrester和IDC评为同类最佳系统之一,其威胁狩猎框架也被公认为是网络检测和响应领域的领军者之一。Group-IB也是国际刑警组织、欧洲刑警组织、欧安组织推荐的网络安全解决方案提供商。
2020年,一家美国法院指控Group-IB分析师Nikita Kislitsin接收并试图出售从美国公司Formspring窃取的数据。由于这些指控是针对Kislitsin加入该公司之前的行为,因此美国检察官没有指控Group-IB,但该公司为Kislitsin辩护说,公司“没有发现”他有不当行为。
伊利亚·萨奇科夫在2003年创立了Group-IB公司。2016年,萨奇科夫入选福布斯全球30岁以下最聪明企业家名单。萨奇科夫是俄罗斯国家杜马、外交部、欧洲委员会和欧安组织专家委员会的成员。2017年起,萨奇科夫兼任莫斯科国立技术大学信息安全系副教授。据俄罗斯媒体报道,萨奇科夫曾3次会见俄罗斯总统普京,并参加了总理米哈伊尔·米舒斯京与IT代表的会晤,可谓真实存在的网络安全明星级人物。
在2020年的彭博特刊中,萨奇科夫曾公开表示,俄罗斯并不认真对待黑客,这是他为什么将公司搬到新加坡的原因,以保持公司的“独立性”。Group-IB最著名的客户之一是巴克莱银行。在俄罗斯,该公司的客户包括俄罗斯联邦储蓄银行(Sberbank)和俄罗斯阿尔法银行(Alfa-Bank)等金融巨头,以及国防公司---俄罗斯国家技术集团公司(Rostec)。2021年4月,萨奇科夫宣布Group-IB计划在证券交易所上市。
Group-IB官网
以零日漏洞为核心的网络威胁情报成为国家战略资源
分析人士指出,作为一家网络威胁情报厂商,Group-IB积累了大量涉及俄罗斯APT组织的资料,有可能向国外提供了相关网络威胁情报,惹怒了俄罗斯强力部门。
广义上的网络威胁情报不仅包含APT组织的人员、技战术、网络基础设施等,还包括网络攻防领域的“核武器”---零日漏洞等信息。网络威胁情报,尤其是零日漏洞情报是有国界的,美俄等国都采取了严格的管控措施。
在信息安全领域,美国发现零日漏洞的能力首屈一指。美政府一方面斥巨资在全球范围内购买零日漏洞;另一方面,根据《瓦森纳协定》要求美国的企业和研究人员在发现零日漏洞后先与政府共享漏洞细节,才能通知境外受影响的厂商,以此限制这些漏洞的有关信息流向境外。通过这“一收”和“一堵”,美国有效增强了对漏洞的国家掌控的力度,不断地为自己的网络战武器库“填充弹药”。
零日漏洞情报已经成为名副其实的兵家必争之地,引起了包括我国在内的各国政府的高度重视。经过反复酝酿,2021年7月13日,工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》。《规定》旨在维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行。《规定》明确提出,从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动;不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。网络产品提供者应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
《规定》所要求的产品安全漏洞发现、修补、管理流程,对网络产品提供者和运营者处理漏洞的方式提出了更为精细化的要求,无论是对第一方SRC(Security Response Center安全应急响应中心)平台还是第三方漏洞平台,都有利于其在发现与发布安全漏洞时,进行更为统一的规范和管理。
值得注意的是,本次发布的《规定》对专门从事网络漏洞发现、发布的“白帽黑客”进行了规范。《规定》第九条指出:从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则。
“白帽”黑客,是相对于从事出于破坏信息系统、窃取机密数据等不法目的,未经授权入侵或攻击他人计算机系统的“黑帽”黑客所提出的概念,与之相反,“白帽”黑客虽然也会侵入与攻击计算机系统,但往往是出于检查系统漏洞、维护网络安全或磨练自身计算机技术等正当目的而开展网络行为。
中国互联网应急中心于2019年发布的《2018年中国互联网网络安全报告显示》,18年全年来自CNVD白帽子、补天平台、斗象科技的漏洞盒子等平台的民间报告漏洞数多达45322个,我国的民间网络安全研究者表现活跃。
针对“白帽”黑客发布安全漏洞可能存在违法风险的问题,各国也在摸索如何推动“白帽”黑客出于善意目的攻击、检测网络系统行为合规。2018年日本防卫省宣布将起用民间企业的网络人才,并将研究以特定任期制的形式招募具有高级专业技术的专家型人才。2019年,美国网络安全与基础设施安全局 (CISA)发布了一份指令草案,要求所有民间机构设立安全研究人员友好的漏洞披露策略,以便“白帽”黑客能够有明确的过程供其报告漏洞。
俄罗斯要拿军事博主“开刀”
除了严打向外国提供网络威胁情报的叛国行为,为了维护国家安全,俄罗斯联邦安全局还瞄准了提供各类军事信息的论坛,准备拿军事博主“开刀”。俄罗斯联邦安全局(FSB)局长亚历山大·博特尼科夫2021 年 9月28日签署了第379 号命令:“关于核准俄罗斯联邦军事、军事技术活动领域的信息清单,当发布信息清单所列诸项时,外国及其国家机构、国际或外国组织、外国公民或国籍不明人员可以利用其危害俄罗斯联邦安全”。FSB编列的清单包括“不构成国家机密的俄罗斯联邦军事活动领域的信息”、“不构成国家机密的俄罗斯联邦军事技术活动领域的信息”两部分,共60个项目,主要涉及:对军事政治和战略形势的评估和预测,俄罗斯武装部队和安全机构的部署位置,部队遵守法治情况和道德心理风气情况,部队和安全机构使用的通信手段和网络的信息,部队设施建设资金投资需求信息,部队人员及其家庭成员的个人资料,武装部队的战斗训练方法,部队、军事组织和机构使用的通信手段和网络的信息,军工企业产业合作信息,关于使用量子技术和人工智能制造新武器的数据,计算机攻击预警中心的工作情况,军工企业信息化与信息保护软硬件采购信息等等。 按照FSB的这项新规定,俄罗斯所有的军事博主,军事媒体以及各种军事评论员,甚至普通军事爱好者,或都有可能成为“外国代理人,或者为外国利益服务的叛国贼”。
(参考来源:俄罗斯FSB官网、rg.ru网站、中国政府网等)
原文始发于微信公众号(祺印说信安):俄罗斯逮捕网络安全大佬 凸显网络威胁情报有国界
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论