辩论主动防御法…因为争论很有趣

John Strand //
我想花点时间讨论一下让业界不安的“黑客反击”法案。人们有充分理由担心该法案会导致大规模混乱、附带损害，甚至有人称可能引发战争。

“至少他们还没在这场辩论中提起我…暂时没有。”——A. 希特勒

尽管部分担忧可能有些过度，但它们仍然合理且需要清晰讨论。此外，我们需要远离这场辩论的极端立场。不幸的是，讨论已陷入“黑客反击是好是坏”的非此即彼局面，缺乏中间立场。

明确地说，我认为现行法案版本是个糟糕的主意。但我相信通过一些调整，它不仅可以被挽救，甚至可能变得有用。

法案中有两个部分让我停顿，我认为这也是大多数安全专业人士担忧的根源。主要是允许以下行为的条款：

(bb) 中断针对防御者自身网络的持续未授权活动；或
(cc) 监控攻击者行为以协助开发未来入侵预防或网络防御技术；

是的，这正是该法案越界的地方。通过删除这两行（可能还需其他调整），法案仍可挽救。

让我们先退一步看看它可能允许什么。首先，在第3节中，法案允许使用归因技术。这类技术可使组织采取措施识别攻击者位置。在主动防御先兆分发（ADHD）中，我们通过Word网页漏洞及各种回调应用和程序实现类似功能。

ADHD中实现此功能的组件设计符合先前判例（如Susan-Clements诉Absolute软件案），其中Rice法官裁定：

让被盗计算机报告其IP地址或地理位置以追踪是一回事，但通过截取使用被盗笔记本电脑者的电子通信违反联邦窃听法则是完全不同的行为。

这为防御者划定了清晰合理的界限。

公平地说，该法案遵循了这一推理思路——直到第3-2-bb和3-2-cc节。

这条线…你越界了。

我认为这两节条款让法案跨过了危险界限。持续监控系统很可能导致防御者监控到攻击者不知情的第三方受害者活动。而降低攻击者攻击能力很可能损害第三方系统。

无论如何，我认为业界应停止简单地将讨论划分为“好”与“不好”阵营。中间存在足够空间寻找创新方法检测恶意行为，同时不违反现有法律或影响第三方。

想要向John本人学习更多技能？
可查看以下课程：

• SOC核心技能
• 主动防御与网络欺骗
• 通过BHIS和MITRE ATT&CK入门安全
• 渗透测试入门

支持直播/虚拟点播参与