威胁情报的“结构化”“可机读”—TAXII标准
TAXII(Trusted Automated eXchangeof Indicator Information)主要定义了网络威胁情报共享的协议、服务和信息格式等。是对STIX在传输层面的补充。
TAXII(Trusted Automated eXchangeof Indicator Information)主要定义了网络威胁情报共享的协议、服务和信息格式等。是对STIX在传输层面的补充。
个人的认知和理解有限,关于其中的一些重要观点,样例以及一些思考和认识总结如下,不足之处欢迎交流。
0 引言 提供结构化、可机读的威胁情报库
目前的网络威胁的情报共享方法,主要有手工的方式,网站订阅的方式以及自动化的方式。
Accuvant的Threat Intellgence白皮书也谈到Threat Intellgence相关组成包括
1.Intellgence源;
2.融合及分析平台;
3.响应系统(即利用情报数据自动或手工执行响应动作的工具和系统)。从“第二步”到“关键的第三步”,提供结构化、可被设备识别的安全威胁库必不可少。
(一)TAXII关于威胁情报共享的模型分类
TAXII主要可供安全情报的生产者(信息源thesource)、安全情报的使用者(subscribers订阅者),同时供威胁管理机构包括政府、学术界、产业界等。
主要的威胁情报共享模型包括了点对点(Peer to Peer)、订阅型(Source/Subscriber)、辐射型(Hub and Spoke )等三种方式。
上图一看就明白了。
点对点(Peer to Peer)
订阅型(Source/Subscriber)
辐射型(Hub and Spoke )
(二)TAXII关于威胁情报服务的类型划分
TAXII关于威胁信息交换的服务类型以及如何获得服务的通信格式都给了明确的说明。主要有以下几种类型。
Discovery –(发现服务)允许订阅者了解TAXII服务方提供的服务类型以及如何获得服务。A way to learn what services an entity supports and how to interact with them
Collection Management – A way tolearn about and request subscriptions to Data Collections
Inbox Service – (推送信息服务)A wayto receive pushed content (push messaging)
Poll Service– (拉回信息服务)A way to request content (pull messaging)
在辐射型(Hub and Spoke)模式下,不同服务类型的使用场景如下:
(三)TAXII Specifications andDocumentation
TAXII规格和文件主要包含:
服务规范:定义了TAXII的服务类型、TAXII情报类型以及情报交流格式
消息规范:采用XML格式
协议规范:确定了HTTP/HTTPS作为TAXII传送的协议。从安全角度考虑可采用https协议传输。
查询格式规范:定义了缺省的查询格式和处理规则。
内容及参考样例:列举了常用的样例。
(四)Source/Subscriber案例
主要描述了在订阅者签署购买合同,订阅信息,信息共享的几个过程。直接上图来展示整个过程。