威胁情报与法律风险

随着威胁情报逐渐演变成更为传统的安全学科，企业为了更好地通过威胁情报产品和服务保护客户，也面临一些成长中的烦恼。通常，这些烦恼出现在分析师的自由行动与法律、公司承诺或合同相冲突的时候。在本文中，我们将探讨这些界限，并讨论帮助威胁情报分析师在追踪、调查和响应中辨识和管理法律风险的策略。

本文主要从法律角度分析了威胁情报面临的风险与挑战。作者通过自己在全球性科技M公司担任副总网络安全法律顾问的经历，剖析了威胁情报行业发展过程中信息共享、与政府合作、事件响应、归因等方面存在的法律隐患。

关键点包括:

（1）威胁情报行业内部信息共享机制还不成熟，存在法律风险。行业需要建立信息分类和共享原则，选择合规的企业共享渠道（而不是私人账号和Slack等工具），并在危机时响应有序。

（2）与M国政府在网络安全领域的合作日益频繁，需要深入理解相关法律政策，以确保遵规。与不同政府机构也需要明确其权限，避免义务约束或信息泄露。

（3）事件响应取证调查获得的信息可能受法律特权保护，需要谨慎对外通报。初期信息判断需审慎，避免言过其实导致法律纠纷。整个流程中需重视保密协议等法律风险防控。

（4）归因机制与标准还不完善，存在错误归因的法律风险。这将促使行业加快推进归因体系建设与标准化，以更好地服务商业需求并降低法律风险。

（5）应对国家行为者需要明确原则和流程以管理法律风险;建立伙伴信息交换和外部沟通安排也至关重要。M公司通过技术和法律途径制裁域名、账号等手段进行干预。

（6）威胁情报人员是维护网络安全的守护者。法律团队需要更多参与技术活动，为其防范法律风险、保障网络安全提供支持。

全文如下：

当这个行业在大约10年前开始蓬勃发展时，我们的互动很大程度上取决于我们认识的人。我曾与某人一起工作。所以威胁情报的共享主要是基于信任。但在过去的十年中，我们也面临着这样的挑战。你可以从会议和像这样的重要讨论的出现和增长中看到。

资金、资源和需求以前所未有的方式涌入了威胁情报领域。这真的非常重要，因为我们行业的发展方式正给我们施加压力。因此，我们必须有意识地以成熟的方式进行发展。举两个快速的例子，M公司和我都不是产品专家，所以我不会谈太多产品细节，但我认为非常令人惊讶的是，我们有高级威胁防护产品，却没有用于告知客户国家级攻击相关情报的威胁情报产品，而这些产品现在都是我们销售的。15年前，我们不必考虑这些问题。因此，我们行业的发展和客户的需求以非常重要的方式推动了变革。

所以，随着我们向更成熟的行业迁移，有意识地这样做是很重要的。这在很大程度上来自法律的压力，政策的压力，合同的压力，因为我们向政府和企业提供产品和服务。我们今天讨论的以及我与客户和行业中其他人合作思考我们如何成熟地成长的例子，这很大程度上与您的公司拥有的信息有关。

这里存在一定的紧张关系，因为当我们参与威胁情报对话时，它通常是分析师与分析师之间的对话。所以这意味着交换的信息是在个人层面上交换的。但是，这不是我们个人可以共享或改变的个人信息。这些信息来源可能来自各种地方。它可以是公司生成的，从客户或其对产品与服务的使用中获取，在协议下与私营或政府部门合作伙伴正式共享，按法律强制提供，通过购买获得，开放获取的公开信息，可以是以TLP形式共享的信息。

所以，当您考虑网络安全信息从威胁情报角度移动时，其来源和上下文变得非常重要。所以，当你考虑交换信息或从威胁情报角度进行交互时，重要的是要记住，这一切都是关于信息的。

这是我们将讨论的法律风险的大纲。我们将深入探讨信息共享，讨论与政府的共享，还将讨论事件响应，然后是成功破坏国家级攻击。

在我看来，这真的是威胁情报的核心，也是我们考虑威胁情报和你可以做的最重要的事情之一。当你分解你在威胁情报方面的信息类别时，它们分为两类。其中一些是你拥有的检测工具或IOC，它们不是机密信息或你在公开渠道中发现的东西。所以你应该可以舒服地与其他行业人员分享这些信息，你不会有任何问题。

然后您会升至信息量表的其他分类。如果您从客户那里获得的内容，或者您通过自己的威胁情报流程或工具开发的内容，这变得更加机密。所以，当您考虑您拥有的内容时，如果您有原则性的共享方法，那么当危机来袭时，您就不必恐慌。

作为一名律师，我真正要做的就是最大限度地降低风险。所以，如果你能够开发一种书面的方法来考虑共享什么是高敏感度，什么是中等敏感度，什么是低敏感度，在我看来，你正在给予分析师规则，当你遇到那些问题时，你有一个地方可以去，一个合作伙伴。

现在，信息共享的生命线之一是我们使用的工具。我在这里放了Slack和Signal，有一点点希望的团队，我会解释原因。我实际上不是你的律师，但我不想举手的人数，你们中的许多人使用个人凭据设置了Slack频道或Slack帐户，因为这非常常见。想象一下，您遇到网络事件，需要将一些威胁情报传递给另一家公司的某个人。

所以你会从公司账户获取有关公司事件的敏感信息，把它放到你的个人账户里，然后通过一个非公司渠道传递给第三方。我们在威胁情报中称之为常见的东西是诉讼律师的噩梦。

所以现在就要进行这次谈话，因为随着我们行业的成熟，我们需要有意识地成熟。将来会有客户或某些事情导致诉讼的情况，如果您事先制定了计划并且您的团队知道您将使用Slack或Signal，那么您将拥有管理的流程和方法。

但对于大多数公司来说，可能有一项政策规定您不应使用个人帐户传输公司数据。所以，与事后解释相比，迫使您的团队和您的律师提前做好准备工作要好得多。我不会说这是吸取教训，但这是重要的需要考虑的事情，并推动您的公司和行业中的其他人制定企业空间，以便发生这种情况时您受到政策、辩护和责任管理的保护系统，您有管理该价值交换的方式，而不会被卷入其中。

让我们聊一聊略微相关的话题，作为律师，我们喜欢去跟法官讨论和会谈。我想讨论一下交通信号协议，这是威胁情报空间的生命线，但从律师的角度来看，这是一个真正的挑战。

TLP是一个由DHS US-CERT网站开发的标准。红黄绿色和它本质上是一个荣誉法则。如果我把信息传递给你，告诉你这是TLP红色的，那么它仅供你自己使用，不能分发。琥珀色则具有更广泛的空间。绿色意味着你可以广泛分享。

现在的难题是，如果您是政府雇员，您在法律上没有能力将某些内容保留在TLP红色下。所以，如果您正在进行对话，并且真正需要某些内容仅与一人保持一致，那么从政府的角度来看，这几乎是不可能的。

在私营部门，我们作为法律界与TLP的概念作斗争，因为某些内容不能部分机密。它要么是机密信息，要么就是不是。我看到许多律师试图将TLP引入合同，但这个概念没有成功。

所以，我认为随着我们作为一个行业的成熟，我们会看到围绕它的更多紧张关系和需要有意识地考虑我们如何成熟地共享的方式，因为这种个人系统将继续面临压力。我没有解决方案。

与M国政府合作

随着威胁情报空间的发展，与M国政府合作变得日益重要。我们将看到政府对信息的请求越来越多，尤其是与选举威胁、关键基础设施威胁等相关的信息。因此，与律师建立良好合作关系，理解提问背景非常重要。

所有政府雇员都有义务确保他们没有未经授权就约束政府（这表示在进行业务或活动时，不应该与政府有未经授权的紧密联系或合作。合法的授权通常是确保与政府相关的活动合规进行的关键。），没有给予私人组织或个人优先处理，也没有违反法律或道德。我提这一点是因为，如果您与一位政府雇员交谈，他们告诉您某些信息属于TLP红色，这可能会是一个挑战，这是您需要与律师讨论的问题。

随着M国政府完善其威胁信息流程，我们看到他们在《网络安全信息共享法》（CISA）中取得了巨大进步。他们为“网络威胁情报”创建了一个定义，也为政府如何使用这些信息设定了范围。这真的很重要，因为我们的行业建立在关系的基础上。现在，CISA告诉我们政府将如何使用我们的信息即用于“识别网络安全威胁，包括此类安全威胁或安全漏洞的来源”。

与M国政府分享

《网络安全信息共享法案》为M国政府如何与私营部门合作确立了基石。它告诉我们政府将如何对待我们的信息，重点是识别下一次攻击并帮助减轻其影响，这其中很大一部分来自于私营部门。但是这也给分析师带来了额外的压力，要求他们理解信息将被如何使用。监管机构如财政部和能源部的利益也在增加，因为他们在更广泛的社区中具有监督职责。

务必记住国会也是一个受害者和参与者。如果您看到影响众议院或参议院的网络迹象，可以与参议院警长办公室或众议院技术办公室联系。国会也有对安全感兴趣的监督委员会和委员会。帮助他们理解这些问题的上下文也很重要。

我建议您制定一个有原则的信息共享方法。将威胁情报中的信息分类，一些是不机密的IOC或公开来源的信息，您应该可以自由分享。另一些更机密的信息可能来自客户、自主威胁情报工具等。如果您有一个原则性的共享方法，当发生危机时，您就不必恐慌。

我们分享信息最重要的工具是Slack、Signal等。我不推荐使用个人账户创建频道分享信息，这在行业内很常见。想象这样一个场景:您需要将公司敏感信息从公司账号传到个人账号，再通过非公司渠道传给第三方。这对诉讼律师来说是一个噩梦。

事先与公司和律师讨论，使用企业级工具，这样您就有政策和系统支持，不会置于个人法律风险之中。我想就“红绿灯协议”这个行业重要标准展开讨论。它是一个荣誉制度，允许不同程度的信息共享。但是这给政府和企业带来了挑战。如果您真的需要信息仅限于一人，这对政府雇员来说几乎是不可能的。企业律师也难以在法律合同中运用“红绿灯协议”，因为信息要么机密要么不机密。我认为随着行业的成熟，我们将在共享方式上看到更多紧张关系和需求。

与其他政府机构接触

理解不同机构的权限也很重要。例如，中情局有外国情报的权限，联邦调查局有一定的国内和国外权限，而国土安全部没有传票权。与您的律师合作可以帮助您了解与不同机构交谈时他们可以用您的信息做什么。

法律高于政策，理解这两者可以帮助您确定背景。我想认识到，从网络安全角度来看，M国政府对国土安全部和国安局做出了一些惊人的投资。看到像克里斯·克雷布斯和安妮·纽伯格这样的领导者开展网络安全社区外联工作并不奇怪。这意味着威胁情报已经成熟到“你看到了什么”和“你知道什么”成为首要问题的地步，这是我们行业的一个重要进步。但是这也给分析师带来了额外的压力，要求他们理解信息将被如何使用。

与执法部门接触

与执法部门接触时要注意的另一点是，根据联邦刑事诉讼规则和最高法院判例，如果M国政府成功起诉某人，辩护律师有权检查所提供的证据。这意味着您提供给探员的IOC、账户或信息有可能会交给被告。在这种情况下，您可能不得不出庭证实证据。所以我强烈建议您考虑与律师联系。

我经常听到威胁情报社区的人说，“我在这个地方办公室有个联络人，我们认识很多年了”。但是有一件事你需要知道:根据联邦调查局的政策，执法人员与私营部门分享信息后，通常在1小时内，案件主管律师就会得知是否有任何有趣的信息。这意味着您不仅与一个朋友打交道，您实际上是一个没有就此事咨询自己律师的机密信息来源。

我并不是说您不应该与执法部门分享信息，这非常重要。我之所以强调这一点，是因为这种互动非常频繁，随着我们接近选举或其他重大事件，政府官员将努力保护国家，他们将寻找信息来推进案件和保护他们担心的问题。在这种情况下，事先联系律师可以大大保护您。

律师客户特权（是一种法律原则，旨在保护律师与其客户之间的通信免受强制性披露。这个特权使得客户能够在与律师进行沟通时，不必担心其言论会在法庭上被揭示。）

当您向律师提出问题时，律师客户特权就开始了。如果您向团队中的一名律师发送电子邮件，在顶部写上“律师客户特权”，这是一个很容易的事情。

你很匆忙，甚至正在工作并提出法律建议。这时，由于你正在与律师咨询，通信将成为特权，因为它涵盖了特权信息。当一家公司被迫披露信息时会发生什么？好吧，如果以不切实际的方式应用信息，就可能发生这种情况。你不能简单地声称律师客户特权，然后长篇大论地讨论威胁情报，然后返回并提出问题。法官可能会推翻特权，只涵盖那个具体的问题。所以你必须谨慎和周到。但它可以保护你的信息不被披露。

当我们看到科恩先生的特权信息在南区法院针对他的刑事案件中公开时，我们了解了律师客户特权的局限性。这是一个极好的例子，说明犯罪活动不能被特权所掩盖。但随着我们看到这个空间的成熟，这将变得越来越重要。所以当你在公司内部工作时，一定要确保你理解这一点。

事件响应就是我们在压力下真正谈论信息共享的时候。你可能被公司聘用进行司法调查，你可能是受害者，所以你可能会对自己进行调查，你可能会了解影响第三方的事件并在自己的系统中寻找信息。事件响应可以来自不同的地方。我们看到的一个有趣的事情是保留服务的增加，比如你的取证服务、响应服务，来帮助遭受勒索软件或其他网络攻击的公司。律师正在保留威胁情报团队或响应团队来清理，这意味着你的所有信息可以被特权所覆盖。所以你可以从那个对话中获得的东西，带回你的公司，带回其他参与者，这变得非常棘手，值得事先考虑，以便您了解自己的律师可以使用和不能使用的内容。

事件响应空间中另一件非常重要的事情是坚持事实。当你分解事件时，尽可能保持事实。在几乎每起事件中，都会向高管通报，向你的公关团队通报，你都在疯狂互相通信，希望这些都是在企业渠道上而不是Slack上。所有这些通信如果是事实的，会更好。

当你对某些事情感到压力并且你真的觉得你需要发泄的时候，拿起电话。作为一名律师，这是一条基本规则。如果有疑问，拿起电话，与某人进行这次对话。然后它在法庭上解决起来要困难得多，而不是你知道的书面记录。所以在这个时候，古德温女士，你写道整个北美互联网要永远关闭了，是这样吗？是的，我写了，这不是法庭上要进行的好对话。所以这些是我们在处理事件时考虑的一些事情。

让我们谈谈归因。这是一个真正在发展的领域，随着威胁情报社区的成熟，我们在这里有很多工作要做。法律真的很难理解这个归因的概念。我们在国际层面上挣扎，在国家层面上也在挣扎。

法律在思考归因（attribution）方面主要涉及到在网络空间中追溯、确认和指认网络攻击行为的责任方。以下是一些相关的考虑：

1.正确的归因问题：确定网络攻击的真正责任方可能是一项复杂的任务。法律体系通常会考虑到在法庭上提供可靠证据，以支持网络攻击责任的归因。这可能涉及到技术分析、网络取证和其他调查手段。

2.错误的归因后果：如果归因是不正确的，可能导致严重后果，包括对错误的实体提起法律诉讼或采取其他制裁措施。因此，确保准确的归因是维护公正和合法性的关键。

3.成熟的归因标准和政策：随着网络威胁的不断演变，法律体系越来越意识到需要成熟的归因标准和政策。这可能包括采用类似于“通用漏洞披露”（CVE）的流程，以更容易理解、共享和处理网络攻击的责任归因。

4.法规和政策的制定：为了提高网络空间中的责任追溯水平，一些国家和国际组织开始制定相关法规和政策。这些法规和政策可能涉及公共部门、私营企业和国际组织之间的协作，以确保网络攻击的正确归因和适当的法律后果。

总体而言，法律体系正逐渐认识到网络攻击责任归因的挑战，并在制定更加成熟的标准和政策方面取得进展，以适应不断演变的网络威胁环境。

目前，在M国法院有一个案例在审理，曼德莱公司与苏黎世保险公司。曼德莱公司遭受了严重的破坏，他们根据苏黎世的保单提出了数百万美元的索赔。苏黎世拒绝了，称不合适攻击是网络战争行为。这是一个非常迷人的案例。我们有7个政府的归因声明，将该攻击归因于俄罗斯政府或俄政府内的各种行为者。很显然，执法部门非常支持找到攻击背后的个人。但我们还没有看到那些起诉书。所以在曼德莱案中，法院正在努力确定何时攻击是网络战争行为，您是否可以从政策角度免除这一点，宣战的能力意味着您必须确定有一个国家的参与。这一领域将继续发展，我们会非常密切地关注这个案件。这将继续推动我们如何思考这件事。

我从威胁情报分析员那里得到的一个问题是，如果归因是错误的会发生什么。现在有可能的。在Twitter上，你可以看到人们总是在辩论。这不是一个大问题。不会有STRONTIUM或APT28给M公司打电话说要起诉诽谤，因为实际上是APT29。但在未来5到10年内，随着我们行业的发展，客户将依赖我们的指导。如果我们告诉客户是APT28，他们会采取步骤反映我们如何建议世界继续缓解APT28的威胁。如果我们错了，他们错过了IOC或TTP，他们本应该在寻找的，就会产生责任。

所以这个归因的概念将继续发展，我们如何思考它也将继续发展，这对我们所有人来说都很重要。这一门槛正在下降，作为一个行业，我们将不得不成熟这一概念，并开始考虑制定标准、政策等。我记得几年前被告知这是不可能的，这个空间太复杂了，我们永远无法获得标准或共同方法。但现在我们有了MITRE ATT&CK框架。这向我们展示了我们可以做到的事情，我们可以在这个空间中拥有一个标准，并且需要为客户寻找一种共同的表达方式，他们将需要并希望更加一致地了解事物的运作方式，并且在我们看到越来越多的攻击以及我们如何相互交谈的情况下，甚至可能是CVE编号，这是我们在成熟的过程中不得不考虑的方式来分离攻击和枚举它们。

让我们谈谈国家。这就是我花大部分时间的地方。我们真的在使M公司如何看待国家的问题上取得了进展。这场对话始于我们查看威胁情报并试图思考威胁情报如何讲述一个故事。现在我们正在招聘威胁情境分析师。我已聘请了一名俄罗斯威胁情境分析师，并正在招聘伊朗、中国和北朝鲜的情境分析师。

我之所以这样做，是因为M公司将国家袭击视为我们需要帮助向全世界解释的东西，即当一个国家启动新的网络攻击时，我们没有规范其行为的规则。因此，我们呼吁需要数字日内瓦公约和政府行为准则以及他们在网络空间中如何行事。

我将使用诸如Stuxnet这样的例子，仍在设备上清除它的痕迹，Conficker是一个我们帮助摧毁的僵尸网络，不是国家级的僵尸网络而是一个网络犯罪的例子，但是恶意软件清除工具仍然每年从数百万台机器上清理。所以我们的看法是我们需要做些什么。我们正在政策方面非常努力地使政府接受数字日内瓦公约的概念。然后，我可以与威胁情报和技术运营团队合作，设法破坏国家支持的网络攻击行为。这是非常有趣的东西。但我们所做的就是必须有一个法律框架来考虑如何进行这些互动。它们具有非常高的风险。你必须确保你有原则性的方法，因为最终的问题是，如果我们错了怎么办？如果我们正在查看的基础设施实际上属于其他人，那么意外后果是什么？

讲一个故事。我总是被告知，当你有一个非常棘手的问题时，始终为你不想回答的五或十件事情制定计划，因为如果你可以想出这些事情的答案，那么你可能正在做一个相当好的工作，以管理你的风险。深入考虑15个层面的事情，这些事情可能让我陷入困境，这将帮助你制定明确的原则和明确的风险管理方法。这样当需要实际行动时，你会更清楚地了解你的风险，并且不会感到惊讶。

另一个非常重要的领域是破坏国家支持的网络攻击行为很难单独进行。所以，如果你要与合作伙伴合作，那么你需要一个非常清晰的法律协议或法律理解备忘录，详细说明你将如何与这些合作伙伴互动，你将交换什么威胁情报，你将做什么，他们将做什么，你是否会进行有关的沟通，你是否会通知政府合作伙伴，你是否会围绕它进行媒体活动。这些都是值得预先考虑的重要事情，因为一旦行动，政府和传票的电话是肯定的。如果你已经为此做好了计划，那么它们就很容易响应，并成为破坏的正常例行公事的一部分。

在M公司，我们进行了法律和技术破坏。这是一个我们的数字犯罪单位帮助开创的领域。第一个例子针对的是STRONTIUM或APT28，我们一直在接管域名。我们已经做了几年了。我们有一个所谓的特殊主管。法官很难安排与他们见面。向他们解释什么是域名已经很难了，更不用说一个域名如何由一个国家行为者拥有了。因此，在这种情况下，我们有一个特殊的主管，一位我们可以培训的法官，他了解技术，可以快速响应。所以在过去几年中，我们看到STRONTIUM或APT28建立新基础设施的10-12次过程中，我们可以去法院，获得命令，接收那个域名，然后通知我们看到的任何受害者。这种理论在我们拥有的不同案例中都适用。

我们还进行了技术破坏。在这些实例中，当我们查看帐户、恶意软件或我们可以在域中识别的任何东西时，如果存在使用条款或服务协议的违反，我们有权关闭这些帐户。所以当我们考虑这一点时，这是一个非常强大的工具。因此，我们必须对此进行令人难以置信的协调。当然，当你在桌子的另一边与一个国家行为体打交道时，移动帐户或攻击基础设施具有破坏性效果，但这不会是终极解决方案。这些是资金充裕的人。他们被称为APT是有原因的。但如果我们足够坚持，如果我们继续关注这一点，那么我们会向国家表明什么是可以接受的网络空间行为，什么不是。我们越能谈论这一点，我们就可以越高调地指出国家和网络空间中存在不可接受的行为，我们可以并且必须做得更多，最终它会打动公众。

我们很乐意邀请其他人加入我们，共同思考破坏这种行为的方法，因为它发送的消息是，对于我们中操作大部分互联网基础设施的人来说，这里确实有规则和后果。我们所有人都必须在新恶意软件启动时更新我们的计算机，这是有成本的，当网络攻击持续存在或者相同的恶意软件清除工具月复一月地从消费者的机器上清除相同的恶意软件时，这是社会成本。最初网络攻击的成本可能很小，但当有效载荷释放到公开互联网并一再使用时，这是我们都在帮助父母从他们的计算机中删除它的社会成本。这是需要考虑的重要事情。我们非常关注如何改变这种对话。

如果我今天能给你们留下一个想法，那就是，你们都是守护这个星系的守卫者。当攻击发生之前，是你们会先发现它们;是你们先有预感;是你们彻夜不眠，牺牲自己的时间，错过家庭活动，因为你们正在狩猎。你们将是守望者，这非常重要。我的工作就是为猎人消除障碍，所以他们可以继续从事他们正在做的事情。但是如果我不理解他们在做什么，我就无法帮助他们发现问题。因此，如果你们团队中有法律顾问，请与他们合作，倾听他们。在我的职业生涯中，我非常幸运地遇到了出色的工程师，他们帮助我理解了技术，这样当时机来临时，我可以提出更好的问题。你们都有这个能力，因为你们理解技术，你们知道你们正在狩猎的内容，你们了解取证，所以请让他们加入你们的团队，成为你们团队的一部分。这样，当你们承受压力，并且问题非常重要时，会有人知道该如何正确回应。非常感谢。我真的很感激你们所有人。谢谢你们允许我来这里。我不知道我们是否会进行提问，如果有的话，我很乐意回答。祝你们未来一切顺利。

参考资料：

关于作者

Cristin Flynn Goodwin是全球公认的网络安全和网络安全法领域的领导者。她在网络安全的各个方面拥有25年的经验，涵盖法律、政策、产品和服务的制定。在M公司工作了17年，其中有15年担任公司的事件响应、网络安全、威胁情报、风险管理、关键基础设施保护、法律与法规、源代码保证、政府合作以及信息共享计划等方面的首席法务官。除了法律经验外，Cristin还开发了国家通知数据，使该公司能够通过与威胁情报中心对攻击活动进行的世界级技术分析合作，讲述有关国家攻击活动受害者的故事。

原文始发于微信公众号（天御攻防实验室）：威胁情报与法律风险