日前，美國(guó)發(fā)布了《Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources1》(從非法來(lái)源收集網(wǎng)絡(luò)威脅情報(bào)和購(gòu)買(mǎi)數(shù)據(jù)時(shí)的法律參考指南)，為信息安全從業(yè)人員如何在不違反美國(guó)法律的情況下開(kāi)展威脅情報(bào)收集，提供了一些參考。

指南是根據(jù)美國(guó)司法部各部門(mén)、聯(lián)邦調(diào)查局、美國(guó)特勤局和美國(guó)財(cái)政部外國(guó)資產(chǎn)控制辦公室的意見(jiàn)而編制的。

內(nèi)容的重點(diǎn)放在信息安全從業(yè)人員的網(wǎng)絡(luò)威脅情報(bào)工作，其中也涉及了討論和計(jì)劃計(jì)算機(jī)犯罪并買(mǎi)賣(mài)被盜數(shù)據(jù)的在線論壇。它還考慮了個(gè)人想在黑市中購(gòu)買(mǎi)惡意軟件，安全漏洞或他們自己的被盜數(shù)據(jù)(或在數(shù)據(jù)所有者授權(quán)下屬于他人的被盜數(shù)據(jù))的情況。

威脅情報(bào)收集者如果不注意的話，很容易違反美國(guó)聯(lián)邦刑法。所以指南的目的就使讓信息安全人員合法規(guī)范地開(kāi)展情報(bào)收集。

能做什么

• 被動(dòng)收集網(wǎng)絡(luò)威脅情報(bào)
• 合法訪問(wèn)論壇(通過(guò)合法獲取登錄憑據(jù)，用于完全偽造的角色)
• 在論壇上提問(wèn)和征求意見(jiàn)(但要記錄這樣做只是為了收集信息，而不是犯罪)

不能做什么

• 非法訪問(wèn)論壇(使用被竊取的憑據(jù)，冒充包括政府官員在內(nèi)的實(shí)際人員的身份或使用漏洞利用程序)
• 暗中攔截論壇上發(fā)生的通信
• 向論壇操作員提供惡意軟件或被盜的個(gè)人信息，以便獲得對(duì)論壇的訪問(wèn)權(quán)限，或向其他論壇參與者提供可用于犯罪的有用的信息、服務(wù)或工具以贏得他們的信任
• 要求或誘使計(jì)算機(jī)犯罪
• 協(xié)助他人從事犯罪行為(通過(guò)建議或?qū)嶋H行動(dòng))

此外，在數(shù)據(jù)泄露常態(tài)化的當(dāng)下，如果組織發(fā)現(xiàn)數(shù)據(jù)泄露并試圖與犯罪分子交涉來(lái)檢索被盜數(shù)據(jù)的流向，則需要注意，組織從犯罪實(shí)體購(gòu)買(mǎi)自己的被盜數(shù)據(jù)，可能幾乎沒(méi)有法律風(fēng)險(xiǎn)，但是如果賣(mài)方不小心將其他被盜數(shù)據(jù)包括在其中，尤其是涉及到被盜知識(shí)產(chǎn)權(quán)類(lèi)的數(shù)據(jù)，那么組織會(huì)面臨很大的麻煩。此外，如果組織進(jìn)行接觸/交易的犯罪實(shí)體是恐怖組織或與出口管制相關(guān)，那么組織也會(huì)面臨調(diào)查。

總體來(lái)說(shuō)，安全研究人員和組織在收集威脅情報(bào)或與暗網(wǎng)市場(chǎng)中的罪犯打交道時(shí)常常冒著一定風(fēng)險(xiǎn)。指南的發(fā)布一定程度上幫助組織和信息安全從業(yè)人員識(shí)別了潛在的法律問(wèn)題。

指南全文鏈接：

《Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources1》