网络安全威胁情报标准是指用于描述和交换网络安全威胁情报的标准化格式和协议。这些标准旨在促进不同组织之间的威胁情报共享和协作,以提高整个网络安全生态系统的防御能力。本着学习的目的,我对目前国内外网络安全的威胁情报标准进行收集整理,如有错误之处,欢迎批评指正。
1.1国际标准
1.1.1STIX (Structured Threat Information eXpression)
STIX (Structured Threat Information eXpression) 是由 MITRE 以协作方式开发的一种标准化语言,是用于表示网络威胁的结构化信息。易于被共享、存储,并以一致的方式使用,从而促进自动化和人工辅助分析,它是由美国国家标准技术研究所(NIST)资助开发的。STIX提供了一套标准化的数据模式和属性,用于描述各种类型的威胁情报,包括威胁漏洞、攻击方法、恶意软件、恶意行为等。
1.它的主要组成部分
STIX Core Objects:STIX核心对象定义了一组标准化的数据模式和属性,用于描述威胁情报的各个方面,如攻击者、目标、威胁情报等。
STIX Relationship Objects:STIX关系对象定义了不同核心对象之间的关联关系,如攻击者与目标之间的关系、攻击方法与攻击实例之间的关系等。
STIX Schemas:STIX模式定义了一套XML和JSON格式的数据模式,用于表示和交换STIX数据。
STIX Patterns:STIX模式定义了一种用于描述威胁情报特征的语言,可以用于编写用于检测和防御安全攻击的规则和策略。
STIX还与其他相关标准和协议密切相关,如CybOX(用于描述安全可观测数据的语言)、TAXII(用于在安全系统之间交换威胁情报的协议)等。通过使用STIX,安全从业人员和组织可以更加方便地共享和交换威胁情报,加强网络安全防御和应对威胁攻击的能力
2.STIX样例
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--d5f8a4e3-ba61-45e8-a7e5-cb21c2e0f14f",
"created": "2024-0¾-17T15:34:56.000Z",
"modified": "2024-04-17T15:34:56.000Z",
"name": "Malicious IP Address",
"description": "IP address associated with known malicious activity.",
"pattern": "[ipv4-addr:value = '198.51.100.10']",
"pattern_type": "stix",
"valid_from": "2024-04-17T00:00:00Z",
"labels": ["malicious-activity", "ip-watchlist"],
"indicator_types": ["malware-command-and-control"],
"kill_chain_phases": [
{
"kill_chain_name": "misp-category",
"phase_name": "network"
}
],
"created_by_ref": "identity--45249584-f3f7-4c91-a34c-5c5910c4a27f",
"object_marking_refs": [
"marking-definition--fa42a846-8d90-4e5d-bc29-71d5b4802168"
]
}
这个样本解析如下:
- type: 表示这是一个STIX Indicator对象。
- spec_version: 指定STIX规范版本,这里是2.1。
- id: 为该Indicator提供全局唯一的标识符。
- created 和 modified: 记录Indicator创建和最后修改的时间。
- name 和 description: 分别提供Indicator的简短和详细描述。
- pattern: 使用STIX Pattern语言定义了具体的威胁指标,这里表示的是一个恶意IP地址(198.51.100.10)。
- pattern_type: 指明使用的Pattern类型,这里是STIX标准Pattern。
- valid_from: 指定该Indicator的有效起始时间。
- labels: 一组标签,用于快速分类和检索。
- indicator_types: 描述Indicator的性质或类别,如“malware-command-and-control”表示该IP可能被用于恶意软件的命令与控制通信。
- kill_chain_phases: 关联到特定攻击链(Kill Chain)的阶段,这里引用了"MISP-category"的"network"阶段。
- created_by_ref: 引用创建此Indicator的实体身份标识。
- object_marking_refs: 引用标记(Markings),如敏感度级别或分发限制等。
请注意,实际的STIX数据交换通常会包含更为复杂的结构和关联关系,例如与其他STIX对象(如Observable、Threat Actor、Campaign等)的关联,以及使用STIX Relationships来描述这些对象之间的逻辑联系。要查看完整的STIX文档样本或了解更多复杂示例,建议访问官方文档或相关开源项目网站https://stixproject.github.io/
1.1.2TAXII (Trusted Automated eXchange of Indicator Information)
TAXII (Trusted Automated eXchange of Indicator Information) 是一种标准化协议,旨在促进安全组织之间自动化、安全且可信的网络威胁情报(CTI)交换。它为情报生产者和消费者提供了一套通用的框架和接口,使得各方能够在保护隐私和确保数据完整性的前提下,高效地共享威胁指标(Indicators)、警告(Alerts)、情境信息(Contextual Information)以及其他相关CTI内容。
以下是TAXII的主要特点和功能概述:
- 标准化接口:
- TAXII定义了一系列基于HTTP(S)的API端点(如Collection Management Service, Discovery Service, and Poll Service),使得不同系统可以无缝对接,实现情报的发布、订阅、查询和更新。
- 版本支持:
- TAXII目前有两个主要版本:TAXII 1.x和TAXII 2.x。TAXII 2.x引入了更强大的功能和更灵活的设计,与STIX 2.x紧密集成,提供更好的互操作性。
- 安全传输:
- TAXII支持使用HTTPS进行加密通信,确保情报在传输过程中的保密性和完整性。此外,还可以通过认证机制(如OAuth 2.0)控制访问权限,确保只有授权用户和系统才能访问敏感的威胁情报。
- 订阅与推送:
- TAXII支持订阅机制,允许消费者指定感兴趣的威胁情报类型或主题,一旦有匹配的新情报产生,生产者会自动推送给订阅者。这种方式减少了冗余查询,提高了情报的时效性。
- 查询与检索:
- TAXII提供查询接口,允许消费者根据特定条件(如时间范围、标签、指标类型等)检索已发布的威胁情报。这种按需获取的能力有助于满足不同场景下的情报需求。
- 版本管理与更新:
- TAXII支持情报版本管理,当情报内容发生变化或得到更新时,可以通过TAXII协议通知消费者,并提供更新后的版本。这样可以确保各方始终掌握最新、最准确的威胁情报。
- 与STIX集成:
- TAXII与STIX紧密结合,STIX提供标准化的数据格式来表述威胁情报内容,而TAXII则负责这些内容的安全、高效传输。二者结合,构成了完整的威胁情报共享生态系统。
总的来说,TAXII通过提供标准化、安全、自动化的信息交换机制,极大地提升了网络安全社区在应对快速演变的网络威胁时的协作效率和响应速度。它为构建分布式、互操作的威胁情报平台和生态系统奠定了坚实的基础。
1.1.3CybOX
CybOX (Cyber Observable eXpression) 是一种专门用于描述网络安全领域中可观察对象(Cyber Observable Objects,COOs)的标准数据模型和交换格式。它为网络安全事件、威胁情报、日志记录等场景中涉及的各种数字证据和网络行为提供了标准化、结构化的表示方法,旨在提高数据的互操作性和自动化处理能力。
以下是CybOX的主要特点和组成部分:
- 数据模型:
- CybOX定义了一组通用的数据模型,涵盖了各种网络环境中可观察的对象,如文件、进程、网络连接、注册表键值、电子邮件、DNS查询等。每个对象模型都包含了描述其特性和行为的标准化属性。
- 对象类型:
- CybOX定义了一系列具体的对象类型(Object Types),如FileObjectType、ProcessObjectType、NetworkConnectionObjectType等,每个类型对应一类可观察的网络实体。
- 属性与属性值:
- 对象类型由一系列标准化的属性(Properties)组成,如文件的file_name、size、hashes,进程的pid、command_line等。属性值采用统一的数据类型和编码规则,确保数据的一致性和可解析性。
- 复合对象与关联:
- CybOX支持复合对象(Composite Objects),即由多个基础对象组成的高级结构,如Bundle对象可以包含多个不同类型的CybOX对象。此外,CybOX还支持对象之间的关联(Relationships),如文件被某个进程打开,或网络连接涉及特定的IP地址和端口。
- 标准化格式:
- CybOX数据通常以XML或JSON格式进行编码和交换,这两种格式均有明确的Schema定义,确保数据结构的严谨性和解析的便利性。
- 与STIX集成:
- CybOX是STIX(Structured Threat Information eXpression)标准的一部分,STIX中的许多对象(如Indicator、Observed Data等)都会引用或嵌入CybOX对象,以详细描述威胁相关的可观测现象。
通过使用CybOX,网络安全从业者、研究人员和工具开发者可以:
- 以统一的方式描述网络行为和证据:无论是在事件响应、威胁狩猎、日志分析还是威胁情报共享中,都可以使用同一套数据模型来描述和记录各种网络现象。
- 增强数据互操作性:不同系统和工具生成的CybOX数据可以轻松交换和整合,无需关心底层数据格式的差异。
- 支持自动化处理:结构化的CybOX数据便于进行自动化分析、过滤、关联和可视化,有助于提升威胁检测、调查和响应的效率。
尽管STIX 2.x已经将CybOX的部分概念整合到STIX Observed Data对象中,但CybOX作为早期的网络可观测对象标准化努力,对后续标准的发展产生了重要影响,并在一些遗留系统和特定场景中继续发挥作用。
1.1.4MITRE相关系列标准
MITRE Corporation是一家美国非营利性组织,在网络安全领域,它开发了一系列与威胁情报相关的标准和框架,其中最为知名的是:
- STIX (Structured Threat Information eXpression): STIX是一种标准化语言和数据格式,用于描述、分享、汇总和分析网络威胁情报。它允许安全专业人员以结构化的形式表达各种威胁元素,包括但不限于恶意软件、攻击指标(IOCs)、攻击战术、技术和过程(TTPs)、威胁行为者(也称为威胁组或演员)、漏洞利用、影响评估等。STIX通过定义一组可扩展的XML或JSON对象来标准化情报交换,使得不同组织、工具和平台间能够无缝、高效且准确地共享威胁信息。
- TAXII (Trusted Automated eXchange of Indicator Information): TAXII是与STIX配套的传输协议,旨在安全、自动化地交换基于STIX格式的威胁情报。它定义了服务接口、消息格式和协议规范,允许情报生产者、消费者和服务提供商之间建立实时或近乎实时的情报交换通道。TAXII支持订阅、查询、推送等多种情报共享模式,确保情报能够在需要时快速、可靠地送达,并且支持多种安全机制以保护情报交换过程中的隐私和机密性。
- MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge): MITRE ATT&CK是一个详细记录网络攻击者常用战术、技术和过程的知识库与框架。它基于实际观察到的攻击活动,将攻击者的战术分解为一系列具体的技术和子技术,并按照攻击生命周期(如侦察、初始访问、持久化、防御规避、权限提升、Credential Access、发现、横向移动、收集、命令与控制、 exfiltration、Impact)进行组织。ATT&CK不仅帮助安全团队理解攻击者的行为模式,还为威胁建模、防御策略制定、安全控制评估、威胁狩猎、事件响应等提供了通用语言和参考框架。
这些标准和框架相互配合,共同构成了一个完整的威胁情报生态系统:
- STIX 提供了标准化的情报表示和交换格式,确保情报内容的准确性和互操作性。
- TAXII 实现了情报在不同系统、组织间的安全、自动化传输,确保情报的时效性和可达性。
- ATT&CK 则为分析威胁行为、规划防御措施、评估威胁态势提供了详细的战术和技术参考,增强了对威胁的理解和应对能力。
通过采纳和应用这些标准,安全社区能够更有效地协作、共享威胁情报,从而提升整体的威胁感知、预防和响应能力。这些标准在全球范围内得到广泛应用,成为构建威胁情报平台、集成安全产品、进行安全运营和研究的重要基石。
1.1.5SCAP (Security Content Automation Protocol)
SCAP (Security Content Automation Protocol) 是一套由美国国家标准与技术研究院(NIST)制定的标准化规程,旨在促进网络安全管理中自动化内容(如安全配置、漏洞评估、合规性检查等)的创建、交换、集成和应用。SCAP的核心价值在于通过标准化的安全数据表示和处理方式,提升安全工具之间的互操作性,简化安全管理流程,以及增强对系统安全状况的量化评估和持续监控。
SCAP主要包含以下组成部分:
- 数据交换格式:
- CPE (Common Platform Enumeration): 用于标准化地描述软件平台(操作系统、应用程序等)的名称、版本、更新级别等信息。
- OVAL (Open Vulnerability and Assessment Language): 一种用于定义和交换系统配置、漏洞检查和合规性验证规则的语言。
- XCCDF (Extensible Configuration Checklist Description Format): 一种用于描述安全配置检查列表、基准和报告的格式,包括检查项、结果、修复指南等。
- CCE (Common Configuration Enumeration): 为安全配置项提供唯一的标识符,便于跨工具和平台追踪和管理配置状态。
- CVSS (Common Vulnerability Scoring System): 一种量化评估漏洞严重程度的标准方法,包括基础评分系统和环境评分系统。
- 数据内容:
- CVE (Common Vulnerabilities and Exposures): 为已知网络安全漏洞和暴露提供唯一标识符和基本信息。
- CCE (Common Configuration Enumeration): 为安全配置项提供唯一的标识符,便于跨工具和平台追踪和管理配置状态。
- CAPEC (Common Attack Pattern Enumeration and Classification): 描述常见攻击模式和方法的知识库。
- CWSS (Common Weakness Scoring System): 量化评估软件弱点严重程度的系统。
- 工具支持:
- SCAP兼容的工具可以生成、解析、验证和应用SCAP数据内容,如扫描器、配置核查工具、补丁管理工具、合规性审计工具等。
通过使用SCAP,组织可以:
- 标准化安全数据表示:确保不同工具、平台和组织之间使用的安全数据具有统一的格式和语义,减少误解和混淆。
- 自动化安全评估:利用兼容工具自动执行配置核查、漏洞扫描、合规性检查等任务,提高效率,减少人工错误。
- 量化风险评估:借助CVSS、CWSS等评分系统,对漏洞、弱点和配置问题的风险进行量化评估,支持决策制定。
- 跨工具集成:简化不同安全工具之间的数据交换和集成,实现安全数据的集中管理和分析。
- 合规性管理:根据XCCDF定义的安全基准,检查系统是否符合特定的安全标准或政策要求,生成合规性报告,并提供修复指导。
总之,SCAP为网络安全管理提供了统一的数据模型和处理框架,有助于提高安全操作的标准化、自动化和协作水平,是现代企业、政府机构等进行系统安全管理、漏洞管理、合规性检查等不可或缺的工具和标准。
1.1.6 IODEF (Incident Object Description and Exchange Format)
IODEF(安全事件描述交换格式)是一种专门用于描述和交换网络安全事件信息的标准格式。
是一种标准化的数据格式,专为计算机安全事件响应设计,用于在 Computer Security Incident Response Teams (CSIRTs) 及其合作伙伴之间交换安全事件相关信息。其主要目标在于促进跨组织、跨团队之间的信息共享与协作,提高安全事件的识别、分析、响应及预防能力。
关键特性与优势
- 统一数据结构:
- IODEF 提供了一个统一的框架,用于描述各类安全事件的详细信息,包括但不限于事件类型、发生时间、涉及的网络实体、攻击手段、影响范围、证据资料等。
- 采用单一标准格式,使得来自不同来源的安全事件数据得以无缝整合,减少了数据处理的复杂性和成本。
- 增强协作效果:
- 通过广泛采纳 IODEF,不同安全团队间能基于共同的语言和理解进行沟通,减少信息传递过程中的歧义和误解。
- 通用格式简化了跨组织合作,特别是在联合调查、协同防御及全球威胁情报共享等场景中,显著提升集体应对网络安全威胁的能力。
- 支持自动化处理:
- IODEF 结构化的设计支持自动化工具的高效解析与处理,有利于快速集成到事件响应工作流和自动化系统中。
- 自动化的数据交换和分析有助于加速事件响应速度,减轻人工负担,并支持实时或近实时的威胁检测与响应。
- 简化系统构建与集成:
- IODEF 提供了事件关联的基础,使得安全系统能够轻松识别并分析多个事件之间的关联关系,有助于揭示潜在的攻击模式和趋势。
- 由于数据结构标准化,基于 IODEF 的统计分析系统开发更为便捷,便于组织进行事件量化管理、风险评估以及策略制定。
应用流程与环境
生成与传输
- CSIRTs 使用专用软件工具,根据收集到的安全事件信息,按照 IODEF 规范生成结构化的事件报告。
- 这些报告可通过常见的通信协议(如 HTTP、SMTP)发送给其他 CSIRTs、网络服务提供商、受害用户或企业等利益相关方。
接收与处理
- 接收方的事件响应系统对接收到的 IODEF 报告进行解析,将其转换为内部使用的数据格式。
- 转换后的数据被存储在本地事件数据库中,进入正常的事件处理流程,包括分析、响应、记录、报告以及威胁情报的进一步分发。
总结 IODEF 作为一种关键的标准化通信协议,为全球 CSIRTs 及相关组织搭建起一座桥梁,确保了安全事件信息的高效、准确、标准化交换。其统一的数据结构、对协作的强化、对自动化处理的支持以及对系统构建的简化,共同构成了现代网络安全事件管理不可或缺的基石。
IODEF的应用环境
官方规范文档
- RFC 5070: 这是IODEF的原始规范文档,详细描述了IODEF的数据模型、XML Schema定义以及使用案例。您可以在IETF官方网站上的RFC库中找到这份文件:
一个典型的IODEF威胁情报样本可能包含以下部分:
1.1.7Open Indicators of Compromise (OpenIOC)
Open Indicators of Compromise (OpenIOC) 是一种标准化的格式,用于表示和共享网络安全威胁指标(Indicators of Compromise, IOCs)。IOCs 是指在网络安全事件或潜在攻击中,可以作为攻击活动存在或发生证据的具体数据点,如恶意文件的哈希值、恶意域名、特定的网络流量特征等。OpenIOC 的目标是提供一种结构化、机器可读且易于共享的方式来描述这些 IOCs,以便安全团队能够快速识别和响应潜在威胁。
以下是对 OpenIOC 的详细介绍:
核心概念与结构
- XML 格式:OpenIOC 使用 XML(eXtensible Markup Language)作为数据交换格式,这是一种结构化、层次化的文本格式,易于解析和处理。每个 OpenIOC 文档本质上是一个遵循特定 XML 架构的 XML 文件。
- Indicator: Indicator 是 OpenIOC 的核心概念,代表一个具体的威胁指标。每个 Indicator 由一系列 Criterion(标准)组成,用于描述攻击活动的某一特定特征。例如,一个 Indicator 可能包含一个 Criterion 来描述恶意文件的 MD5 哈希值,另一个 Criterion 描述与攻击相关的域名。
- Criterion: Criterion 是 Indicator 内部的一个逻辑单元,用于描述一个具体可检测的属性或条件。每个 Criterion 包括一个或多个 Context(上下文)元素,用于指定检测的上下文信息(如文件、注册表键、网络流量等),以及一个或多个 Content 元素,用于定义具体的检测值或模式。例如,一个 Criterion 可能包含以下结构:
Xml
123abcde123abcde123abcde123abcde
上述 Criterion 表示:在文件内容中搜索具有特定 MD5 哈希值(123abcde123abcde123abcde123abcde)的文件。
- 逻辑运算:OpenIOC 支持逻辑运算符(AND、OR、NOT),允许在 Indicator 内部或多个 Indicator 之间定义复杂的逻辑关系。这有助于描述需要同时满足多个条件或存在多种可能性的复杂威胁场景。
主要特点与优势
- 结构化与机器可读:OpenIOC 的 XML 结构使得威胁指标数据具有高度的结构化和标准化,便于自动化工具进行解析、处理和集成。
- 灵活性与可扩展性:OpenIOC 支持自定义 Context 类型和 Content 类型,允许适应不断变化的威胁环境和新型攻击手法。通过扩展 XML 架构,可以添加新的检测上下文和条件。
- 易共享与互操作性:由于遵循统一的格式规范,OpenIOC 文件可以方便地在不同安全工具、平台和组织之间交换,促进了威胁情报的共享和协作。
- 支持自动化响应:由于 OpenIOC 文件可以直接被安全工具解析并转化为检测规则,它们可以用于自动化安全系统(如 SIEM、EDR、防火墙等)中,实现对威胁的快速识别和响应。
应用与使用场景
- 事件响应:安全团队在应对网络安全事件时,可以使用 OpenIOC 文件来描述已知的攻击特征,辅助进行威胁检测、隔离、清理等工作。
- 威胁狩猎:安全分析师在进行主动威胁搜寻时,可以依据 OpenIOC 标准编制威胁狩猎规则,用于在大量日志数据中寻找攻击线索。
- 威胁情报共享:安全组织、ISACs(Information Sharing and Analysis Centers)、ISAOs(Information Sharing and Analysis Organizations)等可以使用 OpenIOC 格式发布和交换威胁情报,提升整个社区的威胁感知能力。
- 安全产品集成:许多安全产品(如 EDR、SIEM、防火墙等)支持直接导入和解析 OpenIOC 文件,将其转化为内部的检测规则或警报条件。
相关资源
- XML Schema Definition (XSD):定义 OpenIOC 格式的 XML 架构文件,用于验证 OpenIOC 文档的正确性。链接:http://schemas.mandiant.com/OpenIOC/1.1/OpenIOC.xsd
- 社区资源:开源项目、博客文章、技术论坛等可能提供 OpenIOC 示例文件、解析示例代码或使用教程。
- 第三方工具文档:支持 OpenIOC 的安全工具(如 Mandiant Redline、TheHive 等)在其官方文档中通常会提供 OpenIOC 示例和使用说明。
总结起来,Open Indicators of Compromise (OpenIOC) 是一种标准化的威胁情报格式,通过提供结构化、机器可读的 IOC 描述,促进了威胁情报的共享、自动化处理和响应。其在事件响应、威胁狩猎、情报共享和安全产品集成等方面有着广泛的应用。
1.1.8Managed Incident Lightweight Exchange (MILE)
Managed Incident Lightweight Exchange (MILE) 是一个由北约军事工程中心(Military Engineering Centre of Excellence, MILENG COE)开发的标准化框架,旨在促进军事和民用组织之间在网络安全事件管理方面的信息共享和协作。MILE 重点关注轻量级、快速响应的需求,特别是在军事行动和危机响应场景中,提供了一种简洁、高效的事件报告和响应信息交换格式。
以下是 MILE 的主要特点和组成部分:
- 事件报告格式: MILE 定义了一种简化的事件报告格式,包括必需的字段和可选的扩展字段。这些字段涵盖了事件的基本信息、受影响资产、事件描述、影响评估、初步响应措施、请求援助等内容。报告格式设计简洁,易于填写和快速交换,适用于紧急情况下快速上报和响应网络安全事件。
- 标准化数据元素: MILE 使用标准化的数据元素来描述事件相关信息,如资产类型、事件类别、威胁类型、影响等级等。这些元素基于现有的标准和最佳实践(如 NATO's Cyber Defence Lexicon),确保各方对报告内容有共同的理解和解读。
- 层级结构: MILE 支持事件报告的层级结构,允许创建包含多个子事件的主事件报告。这种结构有助于在处理复杂、多面的事件时保持信息的条理性和关联性。
- 轻量级交换机制: MILE 强调轻量级的信息交换,支持通过电子邮件、即时消息、文件传输等方式快速传递事件报告。报告可以以纯文本、CSV 或 JSON 等简单易处理的格式提供,便于快速集成到各种信息系统和工作流程中。
- 扩展性和互操作性: 虽然 MILE 本身保持轻量级,但它设计时考虑了与其他标准和框架(如 STIX、IODEF、MISP 等)的兼容性和互操作性。通过映射和转换机制,MILE 报告可以与这些标准进行双向转换,实现与更广泛的安全生态系统的对接。
- 培训与工具支持: MILE 提供了培训材料和实用工具,如模板、指南、演示数据集等,帮助用户快速熟悉并应用 MILE 标准。此外,MILE 也鼓励开发与之兼容的软件工具,以进一步简化报告生成、交换和处理过程。
总之,Managed Incident Lightweight Exchange (MILE) 作为一个专为快速响应和军事环境定制的网络安全事件信息交换标准,通过提供简洁的报告格式、标准化数据元素、层级结构和轻量级交换机制,促进了军事和民用组织在网络安全事件管理中的高效协作与信息共享。虽然其定位与 STIX、IODEF 等标准有所不同,但在特定场景下,MILE 可作为这些标准的有效补充或过渡方案,特别是在需要快速响应和有限通信资源的情况下。
1.1.9NIST SP 800-150
NIST SP 800-150 是美国国家标准与技术研究院(National Institute of Standards and Technology, NIST)发布的网络安全标准文档,全称为《网络安全威胁信息共享指南》(Guide to Cyber Threat Information Sharing)。该指南旨在为组织提供一套全面、实用的方法论,帮助他们建立、维护和参与有效的网络安全威胁信息共享机制,以提高整体的网络安全防护能力。
以下为 NIST SP 800-150 的主要内容和要点:
- 信息共享的价值与挑战:
- 强调信息共享在早期预警、威胁响应、资源优化、风险降低等方面的重要作用。
- 分析信息共享面临的障碍,如信任缺失、法律与隐私顾虑、信息质量与有效性问题等。
- 建立信息共享伙伴关系:
- 指导组织选择合适的共享伙伴,如行业联盟、ISACs(Information Sharing and Analysis Centers)、政府机构等。
- 建议建立清晰的共享目的、范围、责任划分和合作模式。
- 信息共享政策与程序:
- 提倡制定明确的信息共享政策,包括信息类型、共享方式、敏感信息处理规则等。
- 描述信息共享流程的各个环节,包括信息收集、分析、发布、接收、验证、利用等。
- 使用标准化格式与协议:
- 推荐采用标准化的语言(如STIX、TAXII)来描述、封装和交换威胁信息,以提高互操作性和效率。
- 引导组织如何集成标准化工具与平台,以支持信息共享活动。
- 保护共享信息的安全与隐私:
- 提供关于敏感信息去标识化、数据最小化、访问控制、传输加密等安全措施的建议。
- 解释如何在共享过程中遵守法律法规(如美国的CFAA、ECPA、GLBA等)以及隐私原则。
- 信息共享效果评估与持续改进:
- 建议定期评估信息共享的效果,包括信息质量、响应速度、风险降低程度等指标。
- 鼓励根据评估结果调整共享策略、改进流程、更新工具,以持续优化信息共享能力。
1.1.10 MILE
MILE(Managed Incident Lightweight Exchange)是由北约军事工程中心(Military Engineering Centre of Excellence, MILENG COE)开发的一种标准化框架,主要用于促进军事和民用组织在网络安全事件管理中的信息共享与协作。MILE 特别关注在军事行动和危机响应场景中对轻量级、快速响应的需求,提供了一种简洁、高效的事件报告和响应信息交换格式。
以下是 MILE 的主要特点和组成部分:
- 事件报告格式:MILE 定义了一种简化的事件报告格式,仅包含必要的基本信息和可选的扩展字段。这些字段涵盖了事件的基本属性(如时间、地点、类型等)、受影响资产、事件描述、影响评估、初步响应措施、请求援助等内容。报告格式设计得简洁易填,利于在紧急情况下快速生成和传递网络安全事件报告。
- 标准化数据元素:MILE 使用标准化的数据元素来描述事件相关信息,如资产类型、事件类别、威胁类型、影响等级等。这些元素通常基于现有标准(如北约的网络防御词汇表)制定,确保各方对报告内容有共同的理解和解释。
- 层级结构:MILE 支持事件报告的层级结构,允许创建包含多个子事件的主事件报告。这种结构有助于在处理复杂、多面的事件时保持信息的条理性,便于分析和响应。
- 轻量级交换机制:MILE 强调轻量级的信息交换,支持通过电子邮件、即时消息、文件传输等方式快速传递事件报告。报告可以以纯文本、CSV 或 JSON 等简单易处理的格式提供,便于快速集成到各种信息系统和工作流程中。
- 扩展性和互操作性:尽管 MILE 本身保持轻量级,但它设计时考虑了与其他标准和框架(如 STIX、IODEF、MISP 等)的兼容性和互操作性。通过映射和转换机制,MILE 报告可以与这些标准进行双向转换,实现与更广泛的安全生态系统的对接。
- 培训与工具支持:MILE 提供了培训材料和实用工具,如模板、指南、演示数据集等,帮助用户快速熟悉并应用 MILE 标准。此外,MILE 也鼓励开发与之兼容的软件工具,以进一步简化报告生成、交换和处理过程。
综上所述,MILE(Managed Incident Lightweight Exchange)作为一个专为快速响应和军事环境定制的网络安全事件信息交换标准,通过提供简洁的报告格式、标准化数据元素、层级结构和轻量级交换机制,促进了军事和民用组织在网络安全事件管理中的高效协作与信息共享。虽然其定位与 STIX、IODEF 等标准有所不同,但在特定场景下,MILE 可作为这些标准的有效补充或过渡方案,特别是在需要快速响应和有限通信资源的情况下。
1.1.11 Vocabulary for Event Recording and Incident Sharing (VERIS)
Vocabulary for Event Recording and Incident Sharing (VERIS) 是一种结构化框架和方法论,旨在标准化组织记录和分享网络安全事件信息的方式。它提供了一种通用语言和分类体系,用于捕获和分析与事件相关的数据,从而实现更有效的风险管理、趋势分析和跨行业的基准比对。以下是 VERIS 的关键组件和特点:
- 事件分类体系:
- Actor(行为者):描述发起攻击的实体,如外部黑客、内部员工、第三方承包商等。
- Action(动作):记录攻击者采取的具体行动,如网络钓鱼、恶意软件传播、SQL注入等。
- Asset(资产):指出遭受攻击或受到影响的资源,如服务器、数据库、用户账户、敏感数据等。
- Attribute(属性):描述资产的特征,如数据类型、系统类型、地理位置等。
- Consequence(后果):评估事件造成的损失,如数据泄露的数量、停机时间、经济损失、声誉损害等。
- 数据模型:
- VERIS Data Model (VDM):一种标准化的数据结构,用于记录和存储事件信息。VDM 包括上述分类体系中的各项元素,以及事件的时间线、响应行动、补救措施等附加信息。数据以 JSON 或 CSV 格式存储,便于数据交换和分析。
- VERIS Community Database (VCDB):
- 一个公开的、匿名化的事件数据集合,由自愿提交事件信息的组织和个人贡献。VCDB 使用 VDM 结构存储数据,可供研究人员、安全从业者和政策制定者免费访问和分析,以获取行业趋势、威胁概况、风险指标等有价值的信息。
- 工具与资源:
- VERIS Lite:简化版的事件报告工具,适合初次接触 VERIS 的用户快速记录事件基本信息。
- VERIS Taxonomy Spreadsheet:电子表格模板,方便用户按照 VDM 结构详细记录事件的所有要素。
- VERIS API:应用程序编程接口,支持自动化导入和导出 VDM 格式的事件数据。
通过采用 VERIS,组织能够以一致、系统化的方式记录网络安全事件,不仅有助于内部事件管理、风险评估和持续改进,还能参与到更广泛的行业数据共享中,从宏观视角理解威胁格局、学习最佳实践、对比自身安全绩效。VERIS 为网络安全事件的信息标准化记录与共享提供了有力支撑,有助于基于实证数据进行安全决策。
1.1.12 Traffic Light Protocol (TLP)
Traffic Light Protocol (TLP) 是一种用于管理敏感信息分发与共享的标识系统,旨在保护信息源的隐私和敏感性,同时促进在安全社区内有限度、有针对性地共享威胁情报和网络安全事件信息。TLP 以交通信号灯的颜色(红、黄、绿、白)为符号,对应四种不同的信息共享级别,明确了信息接收者可以如何处理和传播收到的信息。
以下是 TLP 四个级别的详细说明:
- TLP: RED(红灯):
- 含义:严格限制。仅限于原始信息接收者及其组织内部使用。不得与任何外部个人或组织共享,除非得到信息源的明确书面许可。
- 适用场合:高度敏感、可能引发重大负面影响或法律问题的信息,如未公开的漏洞细节、正在进行的执法行动信息等。
- TLP: AMBER(黄灯):
- 含义:限制性共享。信息可以与信任的合作伙伴和同行组织(如ISACs、ISAOs)共享,前提是对方同意遵守 TLP 规则,并仅限于其组织内部使用。不得公开披露或广泛传播。
- 适用场合:具有一定敏感性,但允许在一定范围内共享以增强防御能力的信息,如已知攻击手法、针对性攻击的迹象等。
- TLP: GREEN(绿灯):
- 含义:普遍共享。信息可以广泛传播,包括在公开会议上讨论、发布在非受限网站或社交媒体上,但不得透露信息源的身份或联系信息,除非得到信息源的明确许可。
- 适用场合:对公众安全有益且不涉及敏感来源、方法或个人隐私的信息,如威胁预警、一般性安全建议、已公开的漏洞信息等。
- TLP: WHITE(白灯):
- 含义:无限制共享。信息可以不受任何限制地公开传播,包括媒体发布、公开报告、学术论文等。
- 适用场合:已经公开或旨在公开发布的信息,如官方公告、新闻稿、公开研究报告等。
使用 TLP 时,应在共享信息的文档、邮件、报告等载体上明确标注相应的 TLP 级别,确保接收者清楚了解可以如何处理这些信息。TLP 不仅有助于保护信息源的权益,也有助于接收者判断信息的敏感性和传播范围,避免无意间泄露敏感信息,同时促进在适当范围内有效共享威胁情报,提升整个安全社区的防御能力。
1.2国内标准
1.2.1GB/T 36643-2018《信息安全技术 网络安全威胁信息格式规范》
GB/T 36643-2018《信息安全技术 网络安全威胁信息格式规范》是中国国家标准化管理委员会制定的一份国家标准,旨在为网络安全领域提供一套统一、规范的威胁信息表述和交换格式。该标准对于促进国内网络安全威胁情报的标准化、系统化收集、分析、共享和响应具有重要意义。以下是该标准的主要内容和特点:
- 适用范围:
- 适用于网络安全威胁信息的产生、采集、处理、交换、存储、分析、展示和利用等各个环节。
- 适用于政府、企业、研究机构、网络安全服务提供商等相关组织在网络安全威胁管理工作中使用。
- 术语定义:
- 明确了网络安全威胁信息、威胁指标(Indicators of Compromise, IoC)、威胁事件、威胁情报等关键术语的定义,为后续内容提供统一的语言基础。
- 威胁信息模型:
- 定义了网络安全威胁信息的结构化模型,包括基础信息、威胁指标、威胁事件、威胁情报等核心组成部分。
- 基础信息:包括威胁信息的标识、类型、来源、时间戳、严重性等基本属性。
- 威胁指标:描述具体的攻击手段、痕迹、特征,如恶意域名、IP地址、文件哈希、攻击签名等。
- 威胁事件:记录具体的攻击事件,包括攻击者、受害者、攻击手段、影响范围、后果等详细信息。
- 威胁情报:整合分析后的威胁信息,包含对威胁的评估、预测、建议等高级认知。
- 数据格式与编码规则:
- 规定了网络安全威胁信息的标准化数据格式,通常采用JSON或XML等结构化数据格式进行表示。
- 设定了各组成部分的数据类型、编码规则、属性值范围等具体要求,确保信息的准确性和互操作性。
- 信息交换机制:
- 提供了威胁信息交换的接口定义和协议规范,支持威胁信息的安全、高效传输。
- 可与现有的威胁情报交换标准(如STIX、TAXII)兼容或映射,便于国内外信息共享。
- 信息安全要求:
- 规定了威胁信息在采集、处理、存储、交换等过程中应遵循的安全原则和保护措施,如数据脱敏、访问控制、加密传输等,以确保敏感信息的安全。
- 实施与维护:
- 对标准的实施步骤、系统建设、测试验证、持续改进等进行了指导,确保标准在实际工作中的有效落地。
GB/T 36643-2018《信息安全技术 网络安全威胁信息格式规范》为中国网络安全威胁情报工作提供了重要的技术标准支撑,有助于提升国内网络安全威胁管理的整体效能,促进跨部门、跨行业的信息共享与协同防御,同时也有利于与国际接轨,参与全球网络安全威胁情报的交流与合作。
总结
国际上,美国在威胁情报标准制定方面处于领先地位,推出了STIX、TAXII、CybOX等一系列关键标准,以及SCAP这一涵盖多个子标准的安全内容自动化协议。此外,还有诸多针对特定威胁类型或安全要素的标准,如IODEF、CWE、CAPEC等,共同构成了全面的威胁情报标准体系。我国方面,GB/T 36643-2018作为首个威胁情报国家标准,为国内威胁情报的生成、共享和使用提供了规范依据,确保威胁情报的质量和隐私保护,推动了国内威胁情报工作的标准化进程。这些标准的广泛应用促进了全球范围内威胁情报的高效、准确交流,增强了网络安全防御能力。
参考文献&文章: