公開發(fā)布對于黑客活動的研究成果雖然能夠有效提升網(wǎng)絡(luò)安全企業(yè)的聲譽(yù)，但同時卻有可能擾亂聯(lián)邦政府執(zhí)法機(jī)構(gòu)的相關(guān)活動，這一問題似乎仍有進(jìn)一步惡化的趨勢。

來自各大網(wǎng)絡(luò)安全廠商的威脅情報(bào)報(bào)告往往包含大量信息（且多數(shù)公開發(fā)布）足以詳盡到可以徹底打亂由政府主導(dǎo)的網(wǎng)絡(luò)調(diào)查工作詳盡，這已經(jīng)過各行業(yè)專家、前任執(zhí)法機(jī)構(gòu)工作人員以及情報(bào)官員的證實(shí)。FBI網(wǎng)絡(luò)部前任副主任詹姆斯-特雷納（James Trainor）表示此類問題“每過幾個月”就會出現(xiàn)一次。

特雷納及其他多位官員在接受采訪時拒絕透露具體企業(yè)與事件名稱，但他們強(qiáng)調(diào)稱此類問題的嚴(yán)重程度正在逐日增加。

馬克-庫爾（Mark Kuhr）

Synack公司聯(lián)合創(chuàng)始人兼前任美國國安局分析師馬克-庫爾（Mark Kuhr）解釋稱，目前安全行業(yè)對于惡意活動與政府調(diào)查活動的分類還不夠公平，而這也是造成當(dāng)前狀況的主要原因。如果能夠及時得到消息，政府往往會要求安全廠商停止進(jìn)一步披露。然而在大多數(shù)情況下，要么是政府對此毫不知情、要么是相關(guān)企業(yè)根本不打算予以理會。

約翰-雷吉（John Riggi）

FBI前任網(wǎng)絡(luò)部外聯(lián)主管約翰-雷吉（John Riggi）的證實(shí)，隨著新興資本與情報(bào)界的人才大量流入更具規(guī)模的網(wǎng)絡(luò)安全行業(yè)，如今各安全廠商已經(jīng)擁有更為強(qiáng)大的黑客活動追蹤能力。目前已經(jīng)有多家企業(yè)擁有足以同美國政府相抗衡的數(shù)據(jù)情報(bào)收集與分析水平。但由于當(dāng)前還沒有任何法規(guī)乃至其它形式的制度以指導(dǎo)各私營企業(yè)應(yīng)何時及如何向私營公司披露其研究結(jié)果，因此部分事件的公開報(bào)道最終阻礙了正在進(jìn)行的執(zhí)法調(diào)查。

雷吉接受采訪時表示，這種情況確實(shí)時有發(fā)生，盡管頻率還不是很高，但他們曾經(jīng)經(jīng)歷過多次由于特定白皮書與情報(bào)報(bào)告披露而導(dǎo)致調(diào)查工作被迫中斷的狀況。

不同私營網(wǎng)絡(luò)安全企業(yè)在其動機(jī)、洞察能力、所面向客戶以及與聯(lián)邦政府間的協(xié)作關(guān)系等層面存在巨大差異。在某種程度上講，這些因素都會影響到此類企業(yè)披露及發(fā)布相關(guān)研究結(jié)果的決定。

尼克-羅斯曼（Nick Rossman）

FireEye公司情報(bào)生成高級經(jīng)理尼克-羅斯曼（Nick Rossman）表示，目前安全行業(yè)在發(fā)布任何威脅評估報(bào)告之前主要考量三大核心問題，分別為報(bào)告是否會對公眾產(chǎn)生告知與影響效果、其是否會為其它研究工作提供情報(bào)價(jià)值以及是否會破壞或者以其它方式對合作伙伴追蹤特定人員的能力產(chǎn)生負(fù)面影響。

羅斯曼進(jìn)一步解釋稱，具體決策仍然受到其它因素的影響。每一家廠商都擁有自己的一套決策流程。而在正式報(bào)告出爐之前，F(xiàn)ireEye公司的報(bào)告內(nèi)容就已經(jīng)被多個相關(guān)方所知曉。

總體來講，執(zhí)法機(jī)構(gòu)當(dāng)然不希望失去對目標(biāo)的持續(xù)追蹤能力。他們會盡可能將相關(guān)事項(xiàng)通知給CERT、政府、各執(zhí)法機(jī)構(gòu)以及來自世界各地的其它合作伙伴，從而保障各方間的溝通與合作。

黑客們經(jīng)常受到政府與私營部門所使用之特殊技術(shù)方案、簽名與工具的追蹤。這些不同的取證學(xué)特征在廣義上被稱為違規(guī)指標(biāo)，調(diào)查人員有時可以利用其判斷特定攻擊者以往與當(dāng)前的惡意活動。黑客們對這一點(diǎn)也是非常清楚。

iSight公司間諜分析事務(wù)主管約翰-哈特奎斯特（John Hultquist）在接受采訪時表示，各高級黑客集團(tuán)（例如曾于2016年對美國民主黨全國委員會進(jìn)行入侵的攻擊方）會定期監(jiān)控網(wǎng)絡(luò)安全公司發(fā)布的相關(guān)新聞報(bào)道與研究報(bào)告，并將此作為其應(yīng)對活動的重要依據(jù)。

Rendition InfoSec公司聯(lián)合創(chuàng)始人杰克-威廉姆斯（Jake Williams）解釋稱，如果針對特定黑客組織的IOC被披露在威脅情報(bào)報(bào)告當(dāng)中，那么被點(diǎn)名的攻擊者們往往會“修改其代碼庫以確保對應(yīng)IOC無法起效”。

雷吉表示，他也曾經(jīng)參與過一系列旨在解決此類問題的討論，且對話中經(jīng)常出現(xiàn)一些復(fù)雜難題。如果一家安全廠商發(fā)布的內(nèi)容可能有助于企業(yè)客戶但卻會妨礙調(diào)查員的分析工作時，甚至往往會引發(fā)沖突。雷吉同樣拒絕討論具體的相關(guān)事件。

雷吉指出，一部分較為負(fù)責(zé)的大型企業(yè)至少會向FBI方面提供高級副本以作為提醒，但其中的內(nèi)容往往并不全面，僅可作為基本參考。

然而，此類案例中的執(zhí)法合作與盲目發(fā)布敏感資料之間仍然存在著細(xì)微的差別。

目前惟一能夠阻止安全廠商發(fā)布可能導(dǎo)致調(diào)查類取證分析工作中斷的威脅情報(bào)報(bào)告的舉措，在于由私營企業(yè)網(wǎng)絡(luò)安全人員與執(zhí)法部門乃至美國情報(bào)界人士進(jìn)行接觸，但這種接觸往往使用非正式性個人關(guān)系以及并不明確的人際對接網(wǎng)絡(luò)。

特雷納表示，這一切都取決于人際關(guān)系，而且完全取決于人際關(guān)系。

多位內(nèi)部人士在接受采訪時指出，各與聯(lián)邦政府簽訂有業(yè)務(wù)合同并擁有曾任執(zhí)法及情報(bào)職務(wù)之員工的網(wǎng)絡(luò)安全企業(yè)一般更傾向于提前向政府方面提供通知。然而這種作法還遠(yuǎn)遠(yuǎn)沒有成為行業(yè)標(biāo)準(zhǔn)，而且早期通知往往并不能阻止研究成果對于調(diào)查工作的影響。

研究成果披露或帶動整個安全行業(yè)的技術(shù)能力進(jìn)一步提升，但卻無益于美國情報(bào)界。

位于弗吉尼亞州亞歷山卓拉的網(wǎng)絡(luò)安全企業(yè)Mandiant公司曾于2013年2月發(fā)布了一份關(guān)于APT1黑客集團(tuán)的74頁報(bào)告，該網(wǎng)絡(luò)間諜組織據(jù)信由中國設(shè)立，且很可能由中國政府提供資助。當(dāng)時Mandiant公司（目前已經(jīng)成為FireEye的下轄子公司）在多份報(bào)告中提供了非常詳盡的IOC，同時對APT1集團(tuán)的黑客活動與操作方式進(jìn)行了廣泛概述。在不到一年時間內(nèi)，美國司法部指責(zé)五名中國軍方黑客入侵了美方計(jì)算機(jī)網(wǎng)絡(luò)。這五名黑客目前仍駐留在中國國內(nèi)。

盡管Mandiant公司當(dāng)時曾經(jīng)通知FBI稱其即將發(fā)布APT1研究報(bào)告，但其它多家私營安全廠商證實(shí)稱相關(guān)披露確實(shí)對美國政府追蹤中國威脅活動者的能力產(chǎn)生了負(fù)面影響。APT1集團(tuán)曾對多家不同企業(yè)及政府機(jī)構(gòu)（包括非FireEye公司客戶）構(gòu)成嚴(yán)重威脅。

Area 1公司首席戰(zhàn)略官、前任美國國安局計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞分析師布雷克-達(dá)奇（Blake Darche）解釋稱，該集團(tuán)在Mandiant方面發(fā)布報(bào)告之后即徹底消失，且之后再未露面。

在APT1報(bào)告正式發(fā)布之前，其它多家安全廠商都有能力追蹤到這批中國黑客。威廉姆斯表示，這些IOC資料在安全行業(yè)中得到了廣泛分發(fā)。他同時指出，作為行業(yè)內(nèi)第一家發(fā)表這項(xiàng)研究成果的企業(yè)，Mandiant公司確實(shí)借此實(shí)現(xiàn)了可觀的競爭優(yōu)勢，他們在這批中國攻擊者身上收集并整理到的情報(bào)確實(shí)遠(yuǎn)超其它廠商。

Mandiant公司的報(bào)告無疑有助于提升其自身業(yè)績，同時亦為整個安全行業(yè)的入侵應(yīng)對能力有所助益，然而美國情報(bào)界卻因此遭受巨大損失。

威廉姆斯總結(jié)稱，在這樣的兩難沖突當(dāng)中，Mandiant公司如果選擇放棄發(fā)布相關(guān)結(jié)果，亦會導(dǎo)致其它安全廠商陷入困境。