注册管理运行机构应对安全威胁的框架
注:所有语种版本中,英文版为官方版本,其他语种版本仅供参考.
目的
制定此框架是为了履行 ICANN 董事会新 gTLD 项目委员会 (NGPC) 对政府咨询委员会 (GAC) 做出的一项承诺,NGPC 承诺 ICANN 将邀请社群参与制定一个框架,用于指导注册管理运行机构 (RO) 如何应对发现的安全威胁。此框架是自愿性质的非约束性文件,旨在详细说明注册管理机构在面对发现的安全威胁时可以采取的应对方法。
此框架并不涵盖注册管理运行机构无权自行处理的情况(例如,注册管理机构需遵从对其具有合法管辖权的法院所下达法庭指令的情况)。此框架不代表影响注册管理机构的任何共识性政策。
适用范围
此框架说明注册管理机构在收到安全威胁通知时可以做出的响应。
注册管理机构为应对安全威胁可采取的措施类别
注册管理运行机构的通用顶级域 (gTLD) 政策或服务条款通常会对注册管理运行机构可采用的响应类型做出规定。这些政策根据适用法律、运营要求和技术要求而制定,并且因注册管理机构和管辖区的不同而异。根据新出现的情况和从之前的安全威胁中总结的经验教训,注册管理运行机构可以在符合共识性政策和法律要求的情况下,自行对政策进行修订。1
下面列出了注册管理运行机构针对滥用问题可能采取的多数响应方式。
现有域名
-
将问题交由注册服务机构来处理。
注册管理运行机构通常最先采取的响应是将问题交由注册服务机构来处理,因为与域名注册人之间存在合同关系的是注册服务机构。应给注册服务机构一定的时间来调查安全威胁,并相应地做出响应。即使注册服务机构的调查结果是不存在安全威胁,注册管理机构仍然可以采取措施。
-
暂停域名以使其无法解析。
应用 serverHold 状态可将域名从 TLD 域文件中移除,从而使该域名在公共互联网中无法解析。2 此措施还有一个优势,也就是在处理不当的情况下,很容易撤消。
-
锁定域名以使其无法更改。
尽管在应对安全威胁问题时很少用到,但应用锁定状态3 就意味着域名不能转让、删除或修改详细信息,但仍可解析。人们有时会将应用锁定状态视为如下操作的一个步骤:锁定域名,同时劫持其域名服务器。
-
重定向域名的域名服务。
注册管理机构有技术能力来更改域名的域名服务器。通过更改域名的域名服务器,可以为"槽洞攻击检测"(日志流量)重定向与域名关联的服务,从而确定受害者,以便进行补救。
-
转让域名。
将域名转让给具备适当资格的注册服务机构可以避免滥用情况的发生,同时又可以管理域名的生命周期、可扩展供应协议 (EPP) 状态代码和到期时间。
-
删除域名。
删除域名是一种较为极端的操作,如果不经过仔细慎重的考虑,或者没有相关权威机构的指示,通常不建议这样做。如果发现删除域名不妥当,恢复域名的过程可能会很复杂,不像将域名置于 serverHold 状态的情况那样简单。在抵御安全威胁方面,删除域名通常也不像暂停域名那样有效,因为在域名从域文件中删除后,注册人还可以轻松地重新注册该域名。
-
不采取任何措施。
此选项始终可用。在某些特定情况下,注册管理机构政策可能会限制这样做,或者当其他响应方式都不合适时,这可以做为默认的措施。此外,注册管理运行机构可能会认为所提到的情况并不构成安全威胁,或者采取措施的后果比威胁本身更严重。出于礼节,注册管理运行机构应该对安全威胁的提出者做出回应,说明对所报告安全威胁采取此响应方式的原因。
未注册(DGA 类型)域名
安全威胁可能会涉及到未注册的域名。如果域名是僵尸网络活动通过自动域名生成算法 (DGA) 而生成,便可能会发生这种情况。这种威胁往往涉及成千上万个域名。
-
创建域名。
注册潜在的恶意域名似乎有悖常理;但在控制得当的条件下,通过这种方法,研究人员和公共安全组织(例如,计算机紧急响应小组 (CERT))可以对域名采取适当的措施(例如,槽洞攻击检测4)。与上面的转让域名选项类似,创建域名也可以帮助确定受攻击的计算机,以便抵御安全威胁。此外,通过下文中的阻止域名注册措施,可以阻止不良分子使用域名。5
注册管理运行机构通常有权自行决定是否将以前未注册的域名授权给具有适当资格的注册服务机构,或授权给其内部的注册服务机构。注册管理运行机构应确保针对其相应的《注册管理机构协议》中的特定合同条款,从 ICANN 获得适当或必要的豁免。当前可通过 ICANN 的注册管理机构加急安全请求 (ERSR) 流程获得此豁免。注册管理运行机构获得豁免的时间取决于 ICANN。
-
阻止域名注册。
注册管理运行机构在获得同意后可保留请求的域名。请求方应与注册管理运行机构一起确定阻止域名注册的适当时间限制(如果有)。
报告安全威胁
尽管信息来源的可信度应由注册管理运行机构来评估,安全威胁的严重程度可以划分为几个级别。注册管理运行机构还必须注意信息提供方在报告中所提供信息的质量和标准,同时考虑以前的报告情况。举例而言,在以下情况下,注册管理运行机构应根据相关政策决定予以重视并快速采取措施:注册管理运行机构所在地的相关执法机构 (LEA) 提出报告,或对注册管理运行机构拥有管辖权的法庭下达法院指令。
-
执法机构提供的报告
如果已确认通知方是政府执法机构(包括国家执法机构或对注册管理运行机构拥有管辖权的其他政府公共安全机构),本框架支持注册管理运行机构将此类报告视为具备较高可信度,对于这样的报告应予以优先处理。对于执法机构 (LEA) 提供的报告,尽管注册管理运行机构在处理时可以认为这类报告具有较高的可信度,但还是应该执行他们认为必要的调查,以确定报告的情况确实构成了安全威胁,并确认报告方的身份真实有效。
-
注册管理运行机构认可的机构提供的报告
注册管理运行机构可以自行决定将来自其认可的实体的报告视为要优先处理的情况,这些实体通常在相关领域具备必要的专业知识,例如,国家 CERT 和安全问题报告组织。
-
其他信息源提供的报告
在适当情况下,注册管理运行机构应妥善处理公共信息来源提供的 DNS 技术滥用报告。此外,还建议注册管理运行机构制定相应的规程,以确保对任何已经确定存在的威胁予以适当的重视。这包括妥善处理用户和公众人员报告的威胁以及通过注册管理运行机构自行选用的技术分析确定的威胁。对于任何来自匿名来源的报告,为避免留下疑问,不得仅仅因为报告是以匿名方式提供便不予重视。注册管理运行机构应根据所提供的证明和证据,审核所有出于善意目的而提供的报告,无论报告是否采用匿名方式,都应如此。
注册管理机构响应
需要指明的是,下文中的"响应"是指,在收到安全威胁报告后,如果注册管理运行机构根据其政策认定报告的情况确实构成了安全风险,则注册管理运行机构将采取相应行动,包括但不仅限于向报告的公共安全机构做出回复,说明注册管理运行机构正在对其报告的安全威胁展开调查。
建议注册管理运行机构在收到报告后及时予以响应,初步确认收到报告,并说明是否正在考虑报告的请求。注册管理运行机构应在初步确认收到报告后的 24 小时内,通过合理的方法对请求进行评估,并在可能的情况下根据评估结果告知其选择采取的措施。如果可能,还可以提供采取措施的预计时间表,这样方便双方对预期的工作进行管理。
注册管理运行机构可以根据他们的政策对请求进行评估,并根据以下因素做出后续响应:
-
优先级别
初步就可以评估为"高优先级"的请求应该是十分明显的问题,不需要特别的技能就能确定它是影响到公共安全的威胁。"高优先级"是指报告的情况对人们的生活或重要基础设施产生直接威胁,或者涉及到剥削儿童的情况。造成 DNS 中断的重要威胁也可以视为"高优先级"问题。注册管理机构应根据其内部政策来做出这些判断。对于任何其他不能评为"高优先级"的事件,如果与 DNS 技术滥用有关,应由注册管理机构在法律允许的范围内,根据其反滥用政策进行处理。
-
报告的来源
每个注册管理运行机构都应根据自己的内部政策和流程,对请求来源的合法性进行审查、询问或其他方式的调查。
-
内容
注册管理运行机构应对每个请求的内容进行详细审阅,因为其中可能包含确认信息,或包含对注册管理运行机构的具体请求。高优先级的报告应该包含证明性信息,能够表明所报告的问题明显会对人们的生活或重要基础设施造成潜在危害,或者涉及到剥削儿童的情况。注册管理运行机构应根据各自的内部政策对此类内容(包括向注册管理运行机构提出的任何此类请求)进行评估,并在可能的情况下确定补救措施。
-
负责方
对于某些安全威胁,注册管理运行机构可能并不是解决问题的最佳机构。针对安全威胁确定最相关、最合适的解决方对于及时解决问题至关重要。例如,如果是滥用性注册,那么由注册服务机构或经销商来审查和解决注册问题最合适。但如果是系统被攻击,注册人或其托管服务提供商对受影响的系统拥有管理访问权限,他们能更好地解决问题;不过,对于涉及到很多注册人或注册服务机构的大规模威胁,由注册管理运行机构来解决最为合适。
如果请求被评为"高优先级",并且来自合法的可信机构,那么注册管理运行机构在确认收到问题后的 24 小时内,可以尽快确定威胁并提供其应对安全威胁的计划措施。如果事件的级别不是"高优先级",建议注册管理运行机构也在 24 小时内做出回复,详细说明他们将采取的措施,包括可能不采取任何措施。建议注册管理运行机构将他们对威胁的分析结果告知请求方,以说明他们采取或不采取进一步措施的原因,或说明应由其他方来应对此问题。
建议注册管理运行机构与其所在管辖区内的一个或多个具有管辖权的执法机构(例如,国家高科技犯罪专案组)或相应的公共安全机构合作,请求这类机构提供以下帮助:
- 帮助对安全威胁报告进行评估。
- 帮助确定合适的执法机构和公共安全机构。
- 帮助协调注册管理运行机构和参与调查的执法机构官员进行合作。
建议注册管理运行机构在适当的情况下与其他注册管理运行机构和有管辖权的执法机构共享被滥用的域名信息,以防止 DNS 滥用。
-
尊重隐私和保密信息
在报告和处理发现的安全威胁的过程中,通常需要由注册管理运行机构、执法机构或具有管辖权的相关机构处理个人身份信息 (PII)。在对发现的安全威胁做出响应时,注册管理运行机构应高度注意各自的隐私政策,以及机密信息、数据安全、数据传输和数据保留方面的公认最佳做法,还要注意当地法律、合同要求或其他具有约束力的要求。
以后可能会根据需要按照 ICANN 流程对本框架进行修订和更新。
1 本框架未涉及到要求注册管理运行机构定期执行技术分析来评估其 gTLD 中的域名是否被人用来制造安全威胁,例如,网址嫁接、网络钓鱼、恶意软件和僵尸网络,也未涉及到要求注册管理运行机构针对发现的安全威胁数量和因定期安全检查而采取的措施保留统计报告。因此,对于注册管理运行机构自身在所需的定期技术分析中可能会发现的任何安全威胁,本框架未对其响应做出要求。不过,注册管理运行机构可以选择在对这些安全威胁做出响应时应用本框架。
2 通常称为"暂停",其结果是停止提供由注册管理运行机构控制的相关 DNS 服务,但不劫持域名。
3 注册管理机构"锁定"状态实际上是将以下三个 EPP 状态代码相结合的结果:serverTransferProhibited、serverDeleteProhibited 和 serverUpdateProhibited。
4 此技术可用于防止直接恶意流量到达指定服务器。
5 记录的数据可能包含个人身份信息 (PII)。所有操作都应按照注册管理运行机构所在管辖区的相关要求来执行。