Концепция порядка действий операторов регистратур при возникновении угроз безопасности

Задача

Цель разработки концепции — исполнить обязательство Комитета Правления ICANN по программе New gTLD (NGPC) перед Правительственным консультативным комитетом (GAC) относительно привлечения Интернет-корпорацией по присвоению имен и номеров (ICANN) сообщества к участию в разработке концепции порядка действий, предпринимаемых операторами регистратур (RO) при выявлении угроз безопасности. Данная концепция носит рекомендательный, необязательный характер, в ней описываются возможные ответные действия регистратур при выявлении угроз безопасности.

Концепция не касается ситуаций, в которых оператор регистратуры не имеет выбора относительно ответных действий (например, если регистратура подпадает под действие распоряжения суда компетентной юрисдикции). В ней не отражается какая бы то ни было согласованная политика в отношении регистратур.

Предмет

Данная концепция касается ответных действий регистратур при получении уведомлений об угрозах безопасности.

Категории действий, предпринимаемых регистратурами в ответ на угрозы безопасности

Как правило, в условиях предоставления услуг или в политике оператора регистратуры в отношении домена общего пользования верхнего уровня (gTLD) определяются виды ответных действий, которые оператор регистратуры может предпринять. Такая политика разрабатывается на основании применимых юридических, оперативных и технических требований, которые различаются в зависимости от регистратуры и юрисдикции. В политику могут на усмотрение RO вноситься поправки, соответствующие согласованной политике и юридическим требованиям, для отражения новых обстоятельств и опыта, полученного в результате прошлых угроз безопасности.¹

В данном списке, хоть он и не является полным, представлены многие из возможных действий RO в ответ на злоупотребление.

Существующие доменные имена

• Передать вопрос на рассмотрение регистратору.

  Зачастую передача — первый ответ RO, потому что договорные отношения имеют место между регистратором и владельцем доменного имени. Регистратору следует предоставить ограниченную по времени возможность разобраться с угрозой безопасности и предпринять надлежащие ответные действия. Отрицательный ответ или отсутствие ответа со стороны регистратора не должно мешать действиям регистратуры.

• Удерживать доменное имя для исключения его преобразования.

  Применение статуса serverHold убирает доменное имя из файла зоны домена верхнего уровня (TLD), вследствие чего исключаются дальнейшие преобразования доменного имени в открытой части интернета.² Дополнительное преимущество состоит в том, что в случае ошибки это действие легко отменить.

• Заблокировать доменное имя для исключения его изменения.

  Хотя этот способ редко применяется при угрозах безопасности, использование статуса блокирования³ означает, что домен невозможно будет передать, удалить или изменить его данные, но при этом он по-прежнему будет преобразовываться. Иногда этот способ применяется для блокирования домена в связи с конфискацией его DNS-серверов.

• Перенаправить обслуживание доменного имени.

  У регистратуры есть техническая возможность изменить DNS-серверы доменного имени. При смене DNS-серверов доменного имени связанные с этим именем услуги могут быть перенаправлены для «синкхолинга» (трафик ввода) с целью определения жертв и устранения последствий.

• Передать доменное имя.

  Передача домена подходящему регистратору может исключить эксплуатацию, оставив при этом контроль над жизненным циклом, статусом домена и окончанием срока его регистрации.

• Удалить доменное имя.

  Удаление — радикальное действие, которое, как правило, не рекомендуется применять без тщательной комплексной проверки и указания со стороны соответствующих органов. Если окажется, что удаление было ненадлежащим, восстановление доменного имени может повлечь за собой дополнительную нагрузку, которая отсутствует в случае присвоения доменному имени статуса serverHold. Обычно удаление не является столь эффективным методом борьбы с угрозами безопасности, как приостановление, поскольку после устранения доменного имени из зоны его владелец может вновь его зарегистрировать.

• Не предпринимать никаких действий.

  Этот вариант возможен всегда. Политика регистратуры может ограничивать действия при определенных обстоятельствах, или это может быть вариант по умолчанию, если другие ответные действия не подходят. Схожим образом, RO может прийти к выводу, что в данном случае угроза безопасности отсутствует или последствия предпринятых действий будут опаснее самой угрозы. В порядке любезности RO следует дать знать стороне, сообщившей об угрозе безопасности, почему ответ на уведомление об этой угрозе именно таков.

Незарегистрированные доменные имена (вида DGA)

Угроза безопасности может быть связана с доменным именем, которое в данный момент не зарегистрировано. Такое может случиться, если доменное имя появилось в результате работы автоматического алгоритма создания доменных имен (DGA), связанного с деятельностью ботнета. Зачастую к такой угрозе имеют отношение тысячи или более доменных имен.

• Создать доменное имя.

  Регистрация потенциально вредоносного доменного имени может показаться нелогичной, но при выполнении в контролируемых условиях это позволяет исследователям и организациям по обеспечению общественной безопасности, таким как группы реагирования на инциденты информационной безопасности (группы CERT), предпринять надлежащие действия (например, синкхолинг⁴) в отношении доменного имени. По аналогии с описанной выше передачей, этот способ позволяет выявить компьютеры-жертвы для устранения последствий. Кроме того, возможности пользоваться доменным именем лишаются злоумышленники, как и при описанном ниже блокировании.⁵

  Как правило, RO может решить, делегировать ранее незарегистрированные домены подходящему регистратору или собственному внутреннему регистратору. RO следует постараться получить от ICANN любые надлежащие или необходимые разрешения на отступление от требований, касающихся определенных положений соответствующего Соглашения RO об администрировании домена верхнего уровня. В настоящее время это осуществляется посредством Ускоренного процесса подачи запросов об обеспечении безопасности регистратур (ERSR) ICANN. Время получения разрешения на отступление от требования зависит от ICANN.

• Заблокировать регистрацию доменного имени.

  В оговоренных случаях RO может зарезервировать запрашиваемое доменное имя. Просителю следует согласовать с RO надлежащее ограничение блокирования по времени, если таковое можно согласовать.

Сообщение об угрозах безопасности

Хотя оценка достоверности источника и является прерогативой индивидуальных RO, существует градация серьезности угроз безопасности. RO также должен обращать внимание на качество и уровень информации, содержащейся в сообщении источника и в предыдущих сообщениях. Очевидный пример случая, когда следует уделять первоочередное внимание и быстрее предпринимать действия, в зависимости от решений и политики RO, — сообщения, надлежащим образом передаваемые соответствующими государственными правоохранительными органами (LEA) по местонахождению RO или по месту отказа на запрос распоряжением суда той юрисдикции, под которую подпадает RO.

1. Сообщения от правоохранительных органов

   В данной концепции в случаях, когда сторона-уведомитель точно является правительственным правоохранительным органом (включая государственные правоохранительные и другие правительственные органы по обеспечению общественной безопасности соответствующей юрисдикции, под которую подпадает RO), RO призывают рассматривать такие сообщения как более достоверные и уделять им надлежащее первоочередное внимание. Хотя RO и следует доверять обращениям от LEA больше, всё равно рекомендуется проводить любые расследования, которые будут сочтены нужными для проверки наличия угрозы безопасности и для проверки достоверности источника сведений.

2. Сообщения из источников, признанных RO

   RO могут на свое усмотрение уделять первоочередное внимание сообщениям от субъектов, опыт и знания которых в соответствующей области они признают, например от групп CERT и организаций, занимающихся ведением отчетности о безопасности.

3. Сообщения из других источников

   RO следует надлежащим образом учитывать сообщения о техническом злоупотреблении системой доменных имен (DNS), поступающие из открытых источников. Кроме того, RO следует обеспечить наличие соответствующих процедур, чтобы могло быть уделено необходимое внимание подтвержденным угрозам. К таковым относятся фигурирующие в сообщениях и запросах пользователей, членов общественности и выявленные в результате собственного технического анализа RO. Во избежание сомнений никакими сообщениями, полученными из анонимных источников, не следует пренебрегать только потому, что источник анонимный. RO следует рассматривать все поступившие сообщения объективно, вне зависимости от их анонимности, основываясь на обосновании и представленных доказательствах.

Ответ регистратуры

Для внесения ясности стоит отметить, что в данном контексте под «ответом» подразумеваются действия, предпринимаемые после получения сообщения об угрозе безопасности, которая, согласно выводу RO, сопряжена с явным и определенным риском нанесения вреда в соответствии с политикой RO; к таким действиям может относиться, в числе прочих, ответ сообщившему государственному органу по обеспечению безопасности, что угроза безопасности изучается RO.

При получении сообщения RO следует в кратчайшие сроки отправить первый ответ, подтвердив получение и дав понять, что запрос рассматривается. В течение 24 часов после подтверждения получения RO следует приложить адекватные усилия для отправки ответа с оценкой запроса и, если это возможно и уместно, описанием своих дальнейших действий, основанных на этой оценке. По возможности стоит привести временные рамки действий — это способствует сдержанности ожиданий с обеих сторон.

RO может, в соответствии со своей политикой, оценивать запрос и свой ответ, основываясь на следующих факторах:

1. Значимость

   Определение запроса при начальной оценке как «первоочередного» должно говорить само за себя; не требуется уникальных умений, чтобы определить связь данного запроса с общественной безопасностью. «Первоочередными» следует считать прямые угрозы человеческой жизни, объектам жизнеобеспечения или угрозу эксплуатации детей. Серьезная угроза нарушения работы DNS тоже может рассматриваться как «первоочередная». Регистратурам следует давать такие определения в рамках собственной внутренней политики. Любые другие происшествия, не относящиеся к «первоочередным» и не связанные с техническим злоупотреблением DNS, рассматриваются регистратурой в соответствии со своей политикой противодействия злоупотреблениям, когда соответствующие юридические аспекты остаются на усмотрение регистратуры.

2. Происхождение сообщения

   Каждый RO должен тщательно изучать, задавать вопросы и иными способами выяснять правильность происхождения запроса в соответствии с собственной внутренней политикой и процессами.

3. Информационное наполнение

   Информационное наполнение каждого запроса должно рассматриваться в полном объеме, поскольку может содержать подтверждающую информацию или конкретные просьбы к RO. В первоочередных сообщениях должны содержаться сведения, свидетельствующие о явной возможности нанесения вреда человеческой жизни, объектам жизнеобеспечения или о возможности детской эксплуатации. Такое наполнение, в том числе любые конкретные просьбы к RO, следует оценивать, основываясь на внутренней политике соответствующей RO, и, если уместно, определять действия по устранению проблемы.

4. Ответственные стороны

   RO могут быть не лучшими сторонами для борьбы с определенными угрозами безопасности. Определение сторон, имеющих самое прямое отношение к угрозе безопасности и наиболее подходящих для ее устранения, очень важно для скорейшего решения проблемы. Например, если говорить о злонамеренной регистрации, то регистратор или реселлер находится в наилучшем положении для анализа и решения проблем регистрации. Если же говорить о нарушениях в системе, то владелец домена или его хостинг-провайдер имеет административный доступ к затронутым системам и является наилучшим кандидатом для решения проблем; однако оператор регистратуры может быть наилучшим кандидатом для устранения масштабных угроз, касающихся многих владельцев доменов или регистраторов.

   Если запрос отнесен к «первоочередным», имеет правильное и достоверное происхождение, то в кратчайшие сроки и не позднее чем через 24 часа после подтверждения получения оператор регистратуры может признать наличие угрозы безопасности и сообщить о планируемых им действиях по ее устранению. Если происшествие не относится к «первоочередным», RO рекомендуется в течение 24 часов дать ответ с информацией о своих предполагаемых дальнейших действиях, в том числе и об отсутствии таковых. RO следует проанализировать угрозу и сообщить результаты анализа просителю, объяснив, почему будут или не будут предприниматься дальнейшие действия, или что устранения данной угрозы следует добиваться через другую сторону.

   RO следует взаимодействовать с одним или более компетентными правоохранительными органами в своей юрисдикции (например, с государственным подразделением по борьбе с высокотехнологичной преступностью) или с надлежащими органами по обеспечению общественной безопасности, которые могут:

   • помочь оценить сообщения об угрозах безопасности.
   • помочь с определением и уточнением надлежащих правоохранительных органов и органов по обеспечению общественной безопасности.
   • выступить в роли посредников между RO и должностными лицами из правоохранительных органов, ведущих расследование.

   RO рекомендуется, когда это уместно, передавать информацию о случаях злоупотребления доменными именами другим RO и компетентным правоохранительным органам для предотвращения злоупотребления DNS.

5. Соблюдение конфиденциальности

   Сообщение об угрозах безопасности и устранение выявленных угроз, как правило, подразумевает обработку информации, позволяющей установить личность, (PII) RO, правоохранительными или другими соответствующими компетентными органами. При ответе на выявленную угрозу безопасности RO следует учитывать свою политику конфиденциальности, общепринятую практику в отношении конфиденциальности, безопасности, передачи и хранения данных, а также любое местное законодательство, договорные обязательства и иные обязательные требования.

   При необходимости в рамках процесса ICANN в будущем возможно появление новых версий данной концепции и ее изменение.

---

¹ В данной концепции не говорится об обязанности операторов регистратур периодически проводить технический анализ для определения того, не используются ли домены в их gTLD для создания угроз безопасности, таких как фарминг, фишинг, вредоносное ПО и ботнеты, и не говорится о требовании к операторам регистратур хранить статистические отчеты о количестве выявленных угроз безопасности и действий, предпринятых в результате проведения периодических проверок безопасности. Как следствие, в концепции не описан ответ на какие-либо угрозы безопасности, которые могут быть выявлены оператором регистратуры самостоятельно в ходе обязательного периодического технического анализа. Однако оператор регистратуры может применять ту же концепцию к своему ответу и на такие угрозы безопасности.

² Зачастую называется «приостановлением» — предоставление соответствующих услуг DNS, контролируемых RO, приостанавливается без конфискации домена.

³ Статус регистратуры «блокирование» фактически представляет собой сочетание следующих трех статусов домена: serverTransferProhibited, serverDeleteProhibited и serverUpdateProhibited.

⁴ Прием, который можно использовать для защиты от прямого потока вредоносного трафика на конкретный сервер.

⁵ Вводимые данные могут содержать информацию, позволяющую установить личность (PII). Любые действия следует предпринимать в соответствии с надлежащими требованиями, действующими в юрисдикции RO.