美国政府依托其不断发展完善的威胁情报共享技术,构建了名为“网络天气地图”的威胁情报管理体系,如下图所示:
“网络天气地图”的威胁情报管理体系运行过程以及每个过程中的关键信息如下所述:
-
通过国家网络安全保护系统与互联网中相关的探测器关联,收集相关的威胁情报信息;
-
利用大数据分析技术,并结合外部的其他威胁情报来源,提取形成有价值的威胁情报;
-
根据威胁情报信息,生成相关的安全策略,并下发至防护设备,进行有目标的防护;
-
将获得的威胁情报信息能够快速地在网络中交换共享,并与外部威胁情报源共享。
1、STIX结构化威胁信息表达式
STIX(Structured Threat Information eXpression,结构化威胁信息表达式)由MITRE(一个美国非营利性组织)联合DHS(美国国土安全部)发布,是用来交换威胁情报的一种语言和序列化格式。STIX是开源的、免费的,让那些有兴趣的人做出贡献并自由提问。使用STIX规范,可以通过对象和描述关系清晰地表示威胁情报中的多方面特征,包括威胁因素、威胁活动、威胁属性等。STIX信息可以直观地展示给分析师,或者以JSON形式存储以便快速地进行机器读取。
STIX的适用场景包括以下四种:
-
威胁分析:包括威胁的判断、分析、调查、保留记录等;
-
威胁特征分类:通过人工方式或自动化工具将威胁特征进行分类;
-
威胁及安全事件应急处理: 安全事件的防范、侦测、处理、总结等,对以后的安全事件处置能够有很好的借鉴作用;
-
威胁情报分享:用标准化的框架进行威胁情报描述与共享。
STIX 有两个版本:STIX 1.0基于XML定义,STIX2.0基于JSON定义;STIX 1.0定义了如图所示的8种对象,STIX 2.0定义了12种域对象(将1.0版本中的TTP与Exploit Target拆分为Attack Pattern, Malware, Tool,Vulnerability;删去了Incident;新增了Report,Identity, Intrusion Set)和2种关系对象(Relationship, Sighting)。
2、TAXII情报信息的可信自动化交换
TAXII(Trusted Automated Exchange of Intelligence Information,情报信息的可信自动化交换)是用来基于HTTPS交换威胁情报信息的一个应用层协议。TAXII是为支持使用STIX描述的威胁情报交换而专门设计的,但是也可以用来共享其他格式的数据。需要注意的是,STIX和TAXII是两个相互独立的标准,也就是说,STIX的结构和序列化不依赖于任何特定的传输机制,而TAXII也可用于传输非STIX数据。
使用TAXII规范,不同的组织机构之间可以通过定义与通用共享模型相对应的API来共享威胁情报。TAXII定义了一个服务信息交换集合和一个TAXII客户端服务器需求集,以及如下两种主要服务来支持多种通用共享模型。
-
汇聚服务(Collections):由TAXII服务器作为情报中心汇聚威胁情报,TAXII客户端和服务器以请求-响应模型交换信息,多个客户端可以向同一服务器请求威胁情报信息。
-
通道服务(Channels):由TAXII服务器作为通道,TAXII客户端之间以发布-订阅模型交换信息。通道服务允许一个情报源将数据推送给多个情报用户,同时每个情报用户可接收到多个情报源发送的数据。
汇聚服务和通道服务可以用不同的方式进行组织,比如可以将两种服务组合在一起来支持某一可信组的需求。通过这两种服务,TAXII可支持所有广泛使用的威胁情报共享模型,包括辐射型(hub-and-spoke)、点对点(peer-to-peer),订阅型(source-subscriber)。
3、OpenIOC开放威胁指标
OpenIOC(Open Indicator of Compromise,开放威胁指标)是MANDIANT公司发布的情报共享规范,是开源、灵活的框架。OpenIOC是一个记录、定义以及共享威胁情报的格式,它通过借助机器可读的形式实现不同类型威胁情报的快速共享。
IOC(Indicator of Compromise)是MANDIANT在长期的数字取证实践中定义的可以反映主机或网络行为的技术指示器,IOC以XML文档类型描述捕获多种威胁的事件响应信息,包括病毒文件的属性、注册表改变的特征、虚拟内存等,是一种入侵后可以取证的指标,可以识别一台主机或整个网络。而OpenIOC是一个威胁情报共享的标准,通过遵循该标准,可以建立IOC的逻辑分组,在机器中以一种可读的格式进行通信,从而实现威胁情报的交流共享。比如事件响应团队可以使用OpenIOC的规范编写多个IOCs来描述一个威胁的技术共性。
IOC的工作流程如图所示,是一个迭代过程,描述如下:
-
获取初始证据:根据主机或网络的异常行为获取最初的数据;
-
建立主机或网络的IOCs:分析初步获得的数据,根据可能的技术特征建立IOCs;
-
在企业中部署IOCs:在企业的其它机器或网络中部署IOCs,开始检测;
-
发现更多的可疑主机;
-
IOCs优化:通过初步检测可获取的新证据,并进行分析,优化已有的IOCs。
4、NIST SP800-150
2014 年10 月,美国国家标准技术研究所(NIST)发布了《NIST SP800-150: Guide to Cyber Threat Information Sharing》草案,2016年10月发布终稿。NIST SP800-150是对 NIST SP 800-61的扩充,将信息共享、协调、协同扩展至事件响应的全生命期中。该标准旨在帮助组织在事故应急响应生命周期过程中建立、参与和维护信息共享、协同合作关系。
该标准中提出事件协同和信息共享的全生命期包括创建、处理、传播、使用、存储、部署六个阶段;网络攻击生命期包括探测、准备、传送、入侵、植入、逃逸和控制、操纵七个阶段;威胁情报应具备时效性、相关性、准确性、具体性、可执行性等特征。
该标准还提出了在信息共享过程中应当注意的一些隐私问题,关注信息的敏感性。比如域名、IP 地址、文件名、URL 等信息不能暴露被攻击者的身份;捕获的报文信息不能包含登陆凭据、财务信息、健康信息、案件信息及Web 表单提交数据等内容;钓鱼文件样本中不能包含任何与事件响应人员无关的敏感信息等等。