文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

网络安全威胁情报标准收集整理

2024-11-29 23:57

关注

网络安全威胁情报标准是指用于描述和交换网络安全威胁情报的标准化格式和协议。这些标准旨在促进不同组织之间的威胁情报共享和协作,以提高整个网络安全生态系统的防御能力。本着学习的目的,我对目前国内外网络安全的威胁情报标准进行收集整理,如有错误之处,欢迎批评指正。


1.1国际标准

1.1.1STIX (Structured Threat Information eXpression)

STIX (Structured Threat Information eXpression) 是由 MITRE 以协作方式开发的一种标准化语言,是用于表示网络威胁的结构化信息。易于被共享、存储,并以一致的方式使用,从而促进自动化和人工辅助分析,它是由美国国家标准技术研究所(NIST)资助开发的。STIX提供了一套标准化的数据模式和属性,用于描述各种类型的威胁情报,包括威胁漏洞、攻击方法、恶意软件、恶意行为等。

1.它的主要组成部分

STIX Core Objects:STIX核心对象定义了一组标准化的数据模式和属性,用于描述威胁情报的各个方面,如攻击者、目标、威胁情报等。

STIX Relationship Objects:STIX关系对象定义了不同核心对象之间的关联关系,如攻击者与目标之间的关系、攻击方法与攻击实例之间的关系等。

STIX Schemas:STIX模式定义了一套XML和JSON格式的数据模式,用于表示和交换STIX数据。

STIX Patterns:STIX模式定义了一种用于描述威胁情报特征的语言,可以用于编写用于检测和防御安全攻击的规则和策略。

STIX还与其他相关标准和协议密切相关,如CybOX(用于描述安全可观测数据的语言)、TAXII(用于在安全系统之间交换威胁情报的协议)等。通过使用STIX,安全从业人员和组织可以更加方便地共享和交换威胁情报,加强网络安全防御和应对威胁攻击的能力

2.STIX样例

{
  "type": "indicator",
  "spec_version": "2.1",
  "id": "indicator--d5f8a4e3-ba61-45e8-a7e5-cb21c2e0f14f",
  "created": "2024-0¾-17T15:34:56.000Z",
  "modified": "2024-04-17T15:34:56.000Z",
  "name": "Malicious IP Address",
  "description": "IP address associated with known malicious activity.",
  "pattern": "[ipv4-addr:value = '198.51.100.10']",
  "pattern_type": "stix",
  "valid_from": "2024-04-17T00:00:00Z",
  "labels": ["malicious-activity", "ip-watchlist"],
  "indicator_types": ["malware-command-and-control"],
  "kill_chain_phases": [
    {
      "kill_chain_name": "misp-category",
      "phase_name": "network"
    }
  ],
  "created_by_ref": "identity--45249584-f3f7-4c91-a34c-5c5910c4a27f",
  "object_marking_refs": [
    "marking-definition--fa42a846-8d90-4e5d-bc29-71d5b4802168"
  ]
}

这个样本解析如下:

请注意,实际的STIX数据交换通常会包含更为复杂的结构和关联关系,例如与其他STIX对象(如Observable、Threat Actor、Campaign等)的关联,以及使用STIX Relationships来描述这些对象之间的逻辑联系。要查看完整的STIX文档样本或了解更多复杂示例,建议访问官方文档或相关开源项目网站https://stixproject.github.io/

1.1.2TAXII (Trusted Automated eXchange of Indicator Information)

TAXII (Trusted Automated eXchange of Indicator Information) 是一种标准化协议,旨在促进安全组织之间自动化、安全且可信的网络威胁情报(CTI)交换。它为情报生产者和消费者提供了一套通用的框架和接口,使得各方能够在保护隐私和确保数据完整性的前提下,高效地共享威胁指标(Indicators)、警告(Alerts)、情境信息(Contextual Information)以及其他相关CTI内容。

以下是TAXII的主要特点和功能概述:

  1. 标准化接口:
  1. 版本支持:
  1. 安全传输:
  1. 订阅与推送:
  1. 查询与检索:
  1. 版本管理与更新:
  1. 与STIX集成:

总的来说,TAXII通过提供标准化、安全、自动化的信息交换机制,极大地提升了网络安全社区在应对快速演变的网络威胁时的协作效率和响应速度。它为构建分布式、互操作的威胁情报平台和生态系统奠定了坚实的基础。

1.1.3CybOX

CybOX (Cyber Observable eXpression) 是一种专门用于描述网络安全领域中可观察对象(Cyber Observable Objects,COOs)的标准数据模型和交换格式。它为网络安全事件、威胁情报、日志记录等场景中涉及的各种数字证据和网络行为提供了标准化、结构化的表示方法,旨在提高数据的互操作性和自动化处理能力。

以下是CybOX的主要特点和组成部分:

  1. 数据模型:
  1. 对象类型:
  1. 属性与属性值:
  1. 复合对象与关联:
  1. 标准化格式:
  1. 与STIX集成:

通过使用CybOX,网络安全从业者、研究人员和工具开发者可以:

尽管STIX 2.x已经将CybOX的部分概念整合到STIX Observed Data对象中,但CybOX作为早期的网络可观测对象标准化努力,对后续标准的发展产生了重要影响,并在一些遗留系统和特定场景中继续发挥作用。

1.1.4MITRE相关系列标准

MITRE Corporation是一家美国非营利性组织,在网络安全领域,它开发了一系列与威胁情报相关的标准和框架,其中最为知名的是:

  1. STIX (Structured Threat Information eXpression): STIX是一种标准化语言和数据格式,用于描述、分享、汇总和分析网络威胁情报。它允许安全专业人员以结构化的形式表达各种威胁元素,包括但不限于恶意软件、攻击指标(IOCs)、攻击战术、技术和过程(TTPs)、威胁行为者(也称为威胁组或演员)、漏洞利用、影响评估等。STIX通过定义一组可扩展的XML或JSON对象来标准化情报交换,使得不同组织、工具和平台间能够无缝、高效且准确地共享威胁信息。
  2. TAXII (Trusted Automated eXchange of Indicator Information): TAXII是与STIX配套的传输协议,旨在安全、自动化地交换基于STIX格式的威胁情报。它定义了服务接口、消息格式和协议规范,允许情报生产者、消费者和服务提供商之间建立实时或近乎实时的情报交换通道。TAXII支持订阅、查询、推送等多种情报共享模式,确保情报能够在需要时快速、可靠地送达,并且支持多种安全机制以保护情报交换过程中的隐私和机密性。
  3. MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge): MITRE ATT&CK是一个详细记录网络攻击者常用战术、技术和过程的知识库与框架。它基于实际观察到的攻击活动,将攻击者的战术分解为一系列具体的技术和子技术,并按照攻击生命周期(如侦察、初始访问、持久化、防御规避、权限提升、Credential Access、发现、横向移动、收集、命令与控制、 exfiltration、Impact)进行组织。ATT&CK不仅帮助安全团队理解攻击者的行为模式,还为威胁建模、防御策略制定、安全控制评估、威胁狩猎、事件响应等提供了通用语言和参考框架。

这些标准和框架相互配合,共同构成了一个完整的威胁情报生态系统:

通过采纳和应用这些标准,安全社区能够更有效地协作、共享威胁情报,从而提升整体的威胁感知、预防和响应能力。这些标准在全球范围内得到广泛应用,成为构建威胁情报平台、集成安全产品、进行安全运营和研究的重要基石。

1.1.5SCAP (Security Content Automation Protocol)

SCAP (Security Content Automation Protocol) 是一套由美国国家标准与技术研究院(NIST)制定的标准化规程,旨在促进网络安全管理中自动化内容(如安全配置、漏洞评估、合规性检查等)的创建、交换、集成和应用。SCAP的核心价值在于通过标准化的安全数据表示和处理方式,提升安全工具之间的互操作性,简化安全管理流程,以及增强对系统安全状况的量化评估和持续监控。

SCAP主要包含以下组成部分:

  1. 数据交换格式:
  1. 数据内容:
  1. 工具支持:

通过使用SCAP,组织可以:

总之,SCAP为网络安全管理提供了统一的数据模型和处理框架,有助于提高安全操作的标准化、自动化和协作水平,是现代企业、政府机构等进行系统安全管理、漏洞管理、合规性检查等不可或缺的工具和标准。

1.1.6 IODEF (Incident Object Description and Exchange Format)

IODEF(安全事件描述交换格式)是一种专门用于描述和交换网络安全事件信息的标准格式。

是一种标准化的数据格式,专为计算机安全事件响应设计,用于在 Computer Security Incident Response Teams (CSIRTs) 及其合作伙伴之间交换安全事件相关信息。其主要目标在于促进跨组织、跨团队之间的信息共享与协作,提高安全事件的识别、分析、响应及预防能力。

关键特性与优势

  1. 统一数据结构
  1. 增强协作效果
  1. 支持自动化处理
  1. 简化系统构建与集成

应用流程与环境

生成与传输

接收与处理

总结 IODEF 作为一种关键的标准化通信协议,为全球 CSIRTs 及相关组织搭建起一座桥梁,确保了安全事件信息的高效、准确、标准化交换。其统一的数据结构、对协作的强化、对自动化处理的支持以及对系统构建的简化,共同构成了现代网络安全事件管理不可或缺的基石。

IODEF的应用环境

官方规范文档

一个典型的IODEF威胁情报样本可能包含以下部分:



  
    
  
  
    
  
  
    
  
  
    
  
  
    
  
  
    
  
  
    
  
  

1.1.7Open Indicators of Compromise (OpenIOC)

Open Indicators of Compromise (OpenIOC) 是一种标准化的格式,用于表示和共享网络安全威胁指标(Indicators of Compromise, IOCs)。IOCs 是指在网络安全事件或潜在攻击中,可以作为攻击活动存在或发生证据的具体数据点,如恶意文件的哈希值、恶意域名、特定的网络流量特征等。OpenIOC 的目标是提供一种结构化、机器可读且易于共享的方式来描述这些 IOCs,以便安全团队能够快速识别和响应潜在威胁。

以下是对 OpenIOC 的详细介绍:

核心概念与结构

  1. XML 格式:OpenIOC 使用 XML(eXtensible Markup Language)作为数据交换格式,这是一种结构化、层次化的文本格式,易于解析和处理。每个 OpenIOC 文档本质上是一个遵循特定 XML 架构的 XML 文件。
  2. IndicatorIndicator 是 OpenIOC 的核心概念,代表一个具体的威胁指标。每个 Indicator 由一系列 Criterion(标准)组成,用于描述攻击活动的某一特定特征。例如,一个 Indicator 可能包含一个 Criterion 来描述恶意文件的 MD5 哈希值,另一个 Criterion 描述与攻击相关的域名。
  3. CriterionCriterion 是 Indicator 内部的一个逻辑单元,用于描述一个具体可检测的属性或条件。每个 Criterion 包括一个或多个 Context(上下文)元素,用于指定检测的上下文信息(如文件、注册表键、网络流量等),以及一个或多个 Content 元素,用于定义具体的检测值或模式。例如,一个 Criterion 可能包含以下结构:
Xml

  
  123abcde123abcde123abcde123abcde

上述 Criterion 表示:在文件内容中搜索具有特定 MD5 哈希值(123abcde123abcde123abcde123abcde)的文件。

  1. 逻辑运算:OpenIOC 支持逻辑运算符(AND、OR、NOT),允许在 Indicator 内部或多个 Indicator 之间定义复杂的逻辑关系。这有助于描述需要同时满足多个条件或存在多种可能性的复杂威胁场景。

主要特点与优势

  1. 结构化与机器可读:OpenIOC 的 XML 结构使得威胁指标数据具有高度的结构化和标准化,便于自动化工具进行解析、处理和集成。
  2. 灵活性与可扩展性:OpenIOC 支持自定义 Context 类型和 Content 类型,允许适应不断变化的威胁环境和新型攻击手法。通过扩展 XML 架构,可以添加新的检测上下文和条件。
  3. 易共享与互操作性:由于遵循统一的格式规范,OpenIOC 文件可以方便地在不同安全工具、平台和组织之间交换,促进了威胁情报的共享和协作。
  4. 支持自动化响应:由于 OpenIOC 文件可以直接被安全工具解析并转化为检测规则,它们可以用于自动化安全系统(如 SIEM、EDR、防火墙等)中,实现对威胁的快速识别和响应。

应用与使用场景

  1. 事件响应:安全团队在应对网络安全事件时,可以使用 OpenIOC 文件来描述已知的攻击特征,辅助进行威胁检测、隔离、清理等工作。
  2. 威胁狩猎:安全分析师在进行主动威胁搜寻时,可以依据 OpenIOC 标准编制威胁狩猎规则,用于在大量日志数据中寻找攻击线索。
  3. 威胁情报共享:安全组织、ISACs(Information Sharing and Analysis Centers)、ISAOs(Information Sharing and Analysis Organizations)等可以使用 OpenIOC 格式发布和交换威胁情报,提升整个社区的威胁感知能力。
  4. 安全产品集成:许多安全产品(如 EDR、SIEM、防火墙等)支持直接导入和解析 OpenIOC 文件,将其转化为内部的检测规则或警报条件。

相关资源

总结起来,Open Indicators of Compromise (OpenIOC) 是一种标准化的威胁情报格式,通过提供结构化、机器可读的 IOC 描述,促进了威胁情报的共享、自动化处理和响应。其在事件响应、威胁狩猎、情报共享和安全产品集成等方面有着广泛的应用。

1.1.8Managed Incident Lightweight Exchange (MILE)

Managed Incident Lightweight Exchange (MILE) 是一个由北约军事工程中心(Military Engineering Centre of Excellence, MILENG COE)开发的标准化框架,旨在促进军事和民用组织之间在网络安全事件管理方面的信息共享和协作。MILE 重点关注轻量级、快速响应的需求,特别是在军事行动和危机响应场景中,提供了一种简洁、高效的事件报告和响应信息交换格式。

以下是 MILE 的主要特点和组成部分:

  1. 事件报告格式: MILE 定义了一种简化的事件报告格式,包括必需的字段和可选的扩展字段。这些字段涵盖了事件的基本信息、受影响资产、事件描述、影响评估、初步响应措施、请求援助等内容。报告格式设计简洁,易于填写和快速交换,适用于紧急情况下快速上报和响应网络安全事件。
  2. 标准化数据元素: MILE 使用标准化的数据元素来描述事件相关信息,如资产类型、事件类别、威胁类型、影响等级等。这些元素基于现有的标准和最佳实践(如 NATO's Cyber Defence Lexicon),确保各方对报告内容有共同的理解和解读。
  3. 层级结构: MILE 支持事件报告的层级结构,允许创建包含多个子事件的主事件报告。这种结构有助于在处理复杂、多面的事件时保持信息的条理性和关联性。
  4. 轻量级交换机制: MILE 强调轻量级的信息交换,支持通过电子邮件、即时消息、文件传输等方式快速传递事件报告。报告可以以纯文本、CSV 或 JSON 等简单易处理的格式提供,便于快速集成到各种信息系统和工作流程中。
  5. 扩展性和互操作性: 虽然 MILE 本身保持轻量级,但它设计时考虑了与其他标准和框架(如 STIX、IODEF、MISP 等)的兼容性和互操作性。通过映射和转换机制,MILE 报告可以与这些标准进行双向转换,实现与更广泛的安全生态系统的对接。
  6. 培训与工具支持: MILE 提供了培训材料和实用工具,如模板、指南、演示数据集等,帮助用户快速熟悉并应用 MILE 标准。此外,MILE 也鼓励开发与之兼容的软件工具,以进一步简化报告生成、交换和处理过程。

总之,Managed Incident Lightweight Exchange (MILE) 作为一个专为快速响应和军事环境定制的网络安全事件信息交换标准,通过提供简洁的报告格式、标准化数据元素、层级结构和轻量级交换机制,促进了军事和民用组织在网络安全事件管理中的高效协作与信息共享。虽然其定位与 STIX、IODEF 等标准有所不同,但在特定场景下,MILE 可作为这些标准的有效补充或过渡方案,特别是在需要快速响应和有限通信资源的情况下。

1.1.9NIST SP 800-150

NIST SP 800-150 是美国国家标准与技术研究院(National Institute of Standards and Technology, NIST)发布的网络安全标准文档,全称为《网络安全威胁信息共享指南》(Guide to Cyber Threat Information Sharing)。该指南旨在为组织提供一套全面、实用的方法论,帮助他们建立、维护和参与有效的网络安全威胁信息共享机制,以提高整体的网络安全防护能力。

以下为 NIST SP 800-150 的主要内容和要点:

  1. 信息共享的价值与挑战
  1. 建立信息共享伙伴关系
  1. 信息共享政策与程序
  1. 使用标准化格式与协议
  1. 保护共享信息的安全与隐私
  1. 信息共享效果评估与持续改进

1.1.10 MILE

MILE(Managed Incident Lightweight Exchange)是由北约军事工程中心(Military Engineering Centre of Excellence, MILENG COE)开发的一种标准化框架,主要用于促进军事和民用组织在网络安全事件管理中的信息共享与协作。MILE 特别关注在军事行动和危机响应场景中对轻量级、快速响应的需求,提供了一种简洁、高效的事件报告和响应信息交换格式。

以下是 MILE 的主要特点和组成部分:

  1. 事件报告格式:MILE 定义了一种简化的事件报告格式,仅包含必要的基本信息和可选的扩展字段。这些字段涵盖了事件的基本属性(如时间、地点、类型等)、受影响资产、事件描述、影响评估、初步响应措施、请求援助等内容。报告格式设计得简洁易填,利于在紧急情况下快速生成和传递网络安全事件报告。
  2. 标准化数据元素:MILE 使用标准化的数据元素来描述事件相关信息,如资产类型、事件类别、威胁类型、影响等级等。这些元素通常基于现有标准(如北约的网络防御词汇表)制定,确保各方对报告内容有共同的理解和解释。
  3. 层级结构:MILE 支持事件报告的层级结构,允许创建包含多个子事件的主事件报告。这种结构有助于在处理复杂、多面的事件时保持信息的条理性,便于分析和响应。
  4. 轻量级交换机制:MILE 强调轻量级的信息交换,支持通过电子邮件、即时消息、文件传输等方式快速传递事件报告。报告可以以纯文本、CSV 或 JSON 等简单易处理的格式提供,便于快速集成到各种信息系统和工作流程中。
  5. 扩展性和互操作性:尽管 MILE 本身保持轻量级,但它设计时考虑了与其他标准和框架(如 STIX、IODEF、MISP 等)的兼容性和互操作性。通过映射和转换机制,MILE 报告可以与这些标准进行双向转换,实现与更广泛的安全生态系统的对接。
  6. 培训与工具支持:MILE 提供了培训材料和实用工具,如模板、指南、演示数据集等,帮助用户快速熟悉并应用 MILE 标准。此外,MILE 也鼓励开发与之兼容的软件工具,以进一步简化报告生成、交换和处理过程。

综上所述,MILE(Managed Incident Lightweight Exchange)作为一个专为快速响应和军事环境定制的网络安全事件信息交换标准,通过提供简洁的报告格式、标准化数据元素、层级结构和轻量级交换机制,促进了军事和民用组织在网络安全事件管理中的高效协作与信息共享。虽然其定位与 STIX、IODEF 等标准有所不同,但在特定场景下,MILE 可作为这些标准的有效补充或过渡方案,特别是在需要快速响应和有限通信资源的情况下。

1.1.11 Vocabulary for Event Recording and Incident Sharing (VERIS)

Vocabulary for Event Recording and Incident Sharing (VERIS) 是一种结构化框架和方法论,旨在标准化组织记录和分享网络安全事件信息的方式。它提供了一种通用语言和分类体系,用于捕获和分析与事件相关的数据,从而实现更有效的风险管理、趋势分析和跨行业的基准比对。以下是 VERIS 的关键组件和特点:

  1. 事件分类体系
  1. 数据模型
  1. VERIS Community Database (VCDB)
  1. 工具与资源

     通过采用 VERIS,组织能够以一致、系统化的方式记录网络安全事件,不仅有助于内部事件管理、风险评估和持续改进,还能参与到更广泛的行业数据共享中,从宏观视角理解威胁格局、学习最佳实践、对比自身安全绩效。VERIS 为网络安全事件的信息标准化记录与共享提供了有力支撑,有助于基于实证数据进行安全决策。

1.1.12 Traffic Light Protocol (TLP)

      Traffic Light Protocol (TLP) 是一种用于管理敏感信息分发与共享的标识系统,旨在保护信息源的隐私和敏感性,同时促进在安全社区内有限度、有针对性地共享威胁情报和网络安全事件信息。TLP 以交通信号灯的颜色(红、黄、绿、白)为符号,对应四种不同的信息共享级别,明确了信息接收者可以如何处理和传播收到的信息。

以下是 TLP 四个级别的详细说明:

  1. TLP: RED(红灯):
  1. TLP: AMBER(黄灯):
  1. TLP: GREEN(绿灯):
  1. TLP: WHITE(白灯):

     使用 TLP 时,应在共享信息的文档、邮件、报告等载体上明确标注相应的 TLP 级别,确保接收者清楚了解可以如何处理这些信息。TLP 不仅有助于保护信息源的权益,也有助于接收者判断信息的敏感性和传播范围,避免无意间泄露敏感信息,同时促进在适当范围内有效共享威胁情报,提升整个安全社区的防御能力。

1.2国内标准

1.2.1GB/T 36643-2018《信息安全技术 网络安全威胁信息格式规范》

GB/T 36643-2018《信息安全技术 网络安全威胁信息格式规范》是中国国家标准化管理委员会制定的一份国家标准,旨在为网络安全领域提供一套统一、规范的威胁信息表述和交换格式。该标准对于促进国内网络安全威胁情报的标准化、系统化收集、分析、共享和响应具有重要意义。以下是该标准的主要内容和特点:

  1. 适用范围
  1. 术语定义
  1. 威胁信息模型
  1. 数据格式与编码规则
  1. 信息交换机制
  1. 信息安全要求
  1. 实施与维护

GB/T 36643-2018《信息安全技术 网络安全威胁信息格式规范》为中国网络安全威胁情报工作提供了重要的技术标准支撑,有助于提升国内网络安全威胁管理的整体效能,促进跨部门、跨行业的信息共享与协同防御,同时也有利于与国际接轨,参与全球网络安全威胁情报的交流与合作。

总结

      国际上,美国在威胁情报标准制定方面处于领先地位,推出了STIX、TAXII、CybOX等一系列关键标准,以及SCAP这一涵盖多个子标准的安全内容自动化协议。此外,还有诸多针对特定威胁类型或安全要素的标准,如IODEF、CWE、CAPEC等,共同构成了全面的威胁情报标准体系。我国方面,GB/T 36643-2018作为首个威胁情报国家标准,为国内威胁情报的生成、共享和使用提供了规范依据,确保威胁情报的质量和隐私保护,推动了国内威胁情报工作的标准化进程。这些标准的广泛应用促进了全球范围内威胁情报的高效、准确交流,增强了网络安全防御能力。

参考文献&文章:

https://www.sohu.com/a/278537983_99909589

来源:小兵搞安全内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯