西安,大雁塔夜景。2018年9月

2018年10月10日,我国正式发布威胁情报的国家标准《信息安全技术网络安全威胁信息格式规范Information security technology—Cybersecurity threat information format》(GB/T 36643-2018)。

标准定义了一个通用的网络安全威胁信息模型。威胁信息模型从对象、方法和事件三个维度,对网络安全威胁信息进行了划分,采用包括可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施在内的八个信息组件进行描述。威胁信息模型中八个组件可以划分到三个域中:

  1. 对象域:描述网络安全威胁的参与角色,包括两个组件:“威胁主体”(一般是攻击者)和“攻击目标”(一般是受害者);

  2. 方法域:描述网络安全威胁中的方法类元素,包括两个组件:“攻击方法”(攻击者实施入侵所采用的方法、技术和过程),以及“应对措施”(包括针对攻击行为的预警、检测、防护、响应等动作);

  3. 事件域:在不同的层面描述网络安全威胁相关的事件,包括四个组件:“攻击活动”(以经济或政治为攻击目标)“安全事件”(对完整信息系统进行渗透的行为)、“攻击指标”(对终端或设备实施的单步攻击)和“可观测数据”(在网络或主机层面捕获的基础事件)。

上图给出了网络安全威胁信息表达模型八大组件及相互关系,每个组件包含要素本身属性和向外的关系信息,是构成网络安全威胁信息表达模型的关键要素。

  1. “可观测数据”,与主机或网络相关的有状态的属性或可测量事件,是威胁信息模型中最基础的组件。

  2. “攻击指标”,依据对应指标(“攻击指标”)检测出的可能影响到特定组织的网络攻击事件,一个具体的网络攻击事件可涉及到“威胁主体”、“攻击方法”和“应对措施”等信息;

  3. “安全事件”,依据对应指标(“攻击指标”)检测出的可能影响到特定组织的网络攻击事件,一个具体的网络攻击事件可涉及到“威胁主体”、“攻击方法”和“应对措施”等信息;

  4. “攻击活动”,“威胁主体”采用具体的“攻击方法”实现一个具体攻击意图的系列攻击动作,整个攻击活动会产生一系列“安全事件”;

  5. “威胁主体”,“攻击活动”中发起活动的主体,“威胁主体”使用相关方法(“攻击方法”)达到攻击意图;

  6. “攻击目标”,被“攻击方法”所利用的软件、系统、网络的漏洞或弱点,对于每个攻击目标,都有相应的有效措施(“应对措施”)进行抑制;

  7. “攻击方法”,对“威胁主体”实施攻击过程中所使用方法的描述,每种“攻击方法”都会采取漏洞利用的方式来利用“攻击目标”上的漏洞或弱点类型;

  8. “应对措施”,应对具体“攻击目标”有效措施,当安全事件发生后,也可能会采取相应的“应对措施”进行事后的安全事件处置。

其中:

  • 威胁主体和攻击目标构成攻击者与受害者的关系,归为对象域;

  • 攻击活动、安全事件、攻击指标和可观测数据则构成了完整的攻击事件流程,归为事件域;即有特定的经济或政治目的、对信息系统进行渗透入侵,实现攻击活动、造成安全事件;而防御方则使用网络中可以观测或测量到的数据或事件作为攻击指标,识别出特定攻击方法;

  • 在攻击事件中,攻击方所使用的方法、技术和过程(TTP)构成攻击方法,而防御方所采取的防护、检测、响应、回复等行动构成了应对措施;二者一起归为方法域。

有了通用模型做参考,业内对网络安全威胁信息的描述就可以达到一致,进而提升威胁信息共享的效率和整体的网络威胁态势感知能力。

这份国家标准适用于网络安全威胁信息供方和需方之间进行网络安全威胁信息的生成、共享和使用,网络安全威胁信息共享平台的建设和运营可参考使用。规范网络安全威胁信息的格式和交换方式是实现网络安全威胁信息共享和利用的前提和基础,因此它在推动网络安全威胁信息技术发展和产业化应用方面具有重要意义。网络安全威胁信息共享的目的在于通过产品间、系统间、组织间的威胁信息共享和交换,提升整体安全检测和防护能力。本标准的发布,将在多个层面支撑国家网络安全工作的开展。

  • 在国家级态势感知层面,提供了不同层级系统间,统一的威胁信息上传下达格式,有助于态势感知机制的快速建立;

  • 在行业级通告预警层面,提供了统一的预警信息格式,条件允许的场景下,能形成可机读的检测和防护规则,有助于大幅缩短响应时间;

  • 在产业级协同联动层面,有助于不同厂商产品间的自动化交互,提升产业整体能力水平。

此前,多位业内专家或厂商都曾在会议或其他场合表达过对威胁情报共享和标准化的期望。也有人分析称自动化、标准化、体系化将是威胁情报发展的必由之路。本次《信息安全技术网络安全威胁信息格式规范》的发布以及2019年5月1日已经正式实施后,我国威胁情报的发展将迎来新阶段。

关注公众号“微言晓意”(ID:WeYanXY),在后台回复数字“36643”,获取《信息安全技术网络安全威胁信息格式规范》(GB/T 36643-2018)下载链接。

本文相关链接:

声明:本文来自微言晓意,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。