安全村 – 独立思考 协奏成章

楔子:“威胁情报国家标准的发布,像一把金钥匙开启了我国威胁情报进入分享时代的大门”

双十,一个注定会被人们记住的日子,《网络安全威胁信息格式规范》(以下简称“威胁情报标准”)正式发布。

这是我国第一部关于网络安全的标准,笔者认为威胁情报标准的发布,像一把金钥匙开启了我国威胁情报进入分享时代的大门,同时也将为众多网络安全从业人员揭开威胁情报的神秘面纱。

在国际上,威胁情报的分享已经出现众多国际标准,例如STIX、TAXII、CybOX等,有些标准已经在实践中积累了丰富的应用经验,并不断优化。这些标准为国际间威胁情报交流提供了沟通语言。然而,我们的国标却姗姗来迟,广大网络安全从业者和厂商翘首期待,希望能够有统一的规范来进行网络安全情报的分享,从而提高网络安全的整体基准。

现代安全产生了大量的网络安全信息,这些信息呈现分散性、碎片化、隐形关联等特性,已经超出人力所能处理的范围,因此机读情报就成为现代网络安全发展的瓶颈,为了能够支持威胁情报的自动化,网络威胁情报标准应运而生,为机读情报提供了沟通语言。

分散性:从地理位置上来看,威胁情报信息分布于全球,典型的例子是潜在的威胁方处于各种未知的地区;从设备上来看,威胁情报分布于防火墙、NGFW、WAF、IDS/IPS等设备,以及各种系统日志中;从威胁情报的产生时间上来看,也具有典型的时序分散性;

碎片化:威胁情报的分散性是决定了大量的威胁情报以碎片方式存在;

隐形关联:由于威胁情报的分散性和碎片化,从而形成了对威胁情报进行关联分析的困难,尤其是威胁方可能会利用网络特性故意隐藏其攻击手法,因此就形成了威胁情报的隐形关联,对综合分析形成了挑战,大数据和人工智能技术为隐形关联的分析提供了可能性。

在威胁情报标准中,给出了如下模型:

模型采用可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施八个组件来进行描述,并可以泛化为对象、方法和事件三个域。

威胁主体通常是攻击方,攻击目标则通常是被攻击方,也常称为受害者,它们可以被泛化为对象域;

攻击活动,通常以经济或政治为攻击目标;安全事件是指对完整信息系统进行渗透的行为;攻击指标用来识别出一个特定“攻击方法”的“可观测数据”组合,例如:对终端或设备实施的单步攻击;可观测数据,是指主机或网络相关的各种带状态的数据或可测量的事件,例如:在网络或主机层面捕获的基础事件。它们可以泛化为事件域;

攻击方法,通常用TTP来表示,即攻击者所采用的方法、技术和过程;而应对措施,是指被从机方所采取的行动,例如:PDRR方法,即防护、检测、响应、恢复等动作。攻击方法和应对措施可以泛化为方法域。

威胁情报标准的出现,为厂商与厂商、厂商与用户、用户与厂商之间的威胁情报交换提供了基础,随着未来终端处理能力的增强(或者可以叫沿用一个叫“雾计算”的称呼?),用户与用户之间进行威胁情报的交换也是可能的。

笔者相信,随着威胁情报标准的发布,一个具有分享精神的网络安全时代正在形成,也代表着本着分享和互惠精神的网络安全新生态环境的萌芽。

或许,有些情报需要在一定范围内进行控制分享,那么,下次我们一起来看看TLP协议(红绿灯协议)。


为您推荐了相关的技术文章:

  1. “同形异义字”钓鱼攻击,钉钉中招
  2. [读书笔记]<Building an Intelligence-Led Security Program> 实施情报先导的信息安全方法与实践  
  3. 软件安全设计初窥 - Powered By Startblog
  4. 2017年网络威胁防御报告
  5. 小密圈精华第一期《云端的威胁检测》和《开源威胁情报的自动整理》

原文链接: www.sec-un.org