前言
美国在威胁情报领域起步较早,发展较快,因而建立的标准也较多,上篇为读者介绍了MITRE相关系列的六种标准,下篇中将继续介绍其他机构提出的主流标准,以及我国于今年10月份正式发布的威胁情报国家标准。
OpenIOC
OpenIOC(Open Indicator of Compromise,开放威胁指标)是MANDIANT 公司发布的情报共享规范,是开源、灵活的框架。OpenIOC是一个记录、定义以及共享威胁情报的格式,它通过借助机器可读的形式实现不同类型威胁情报的快速共享。
IOC(Indicator of Compromise)是MANDIANT在长期的数字取证实践中定义的可以反映主机或网络行为的技术指示器,IOC以XML文档类型描述捕获多种威胁的事件响应信息,包括病毒文件的属性、注册表改变的特征、虚拟内存等,是一种入侵后可以取证的指标,可以识别一台主机或整个网络。而OpenIOC是一个威胁情报共享的标准,通过遵循该标准,可以建立IOC的逻辑分组,在机器中以一种可读的格式进行通信,从而实现威胁情报的交流共享。比如事件响应团队可以使用OpenIOC的规范编写多个IOCs来描述一个威胁的技术共性。
IOC的工作流程如图1所示,是一个迭代过程,描述如下:
(1)获取初始证据:根据主机或网络的异常行为获取最初的数据;
(2)建立主机或网络的IOCs:分析初步获得的数据,根据可能的技术特征建立IOCs;
(3)在企业中部署IOCs:在企业的其它机器或网络中部署IOCs,开始检测;
(4)发现更多的可疑主机;
(5)IOCs优化:通过初步检测可获取的新证据,并进行分析,优化已有的IOCs。
图1 IOC工作流程示意图
NIST SP 800-150
2014 年10 月,美国国家标准技术研究所(NIST)发布了《NIST SP 800-150: Guide to Cyber Threat Information Sharing》草案,2016年10月发布终稿。NIST SP 800-150 是对 NIST SP 800-61的扩充,将信息共享、协调、协同扩展至事件响应的全生命期中。该标准旨在帮助组织在事故应急响应生命周期过程中建立、参与和维护信息共享、协同合作关系。
该标准中提出事件协同和信息共享的全生命期包括创建(Creation or Collection)、处理(Processing)、传播(Dissemination)、使用(Use)、存储(Storage)、部署(Disposition)六个阶段;网络攻击生命期(图2)包括探测( Reconnaissance) 、准备(Weaponize)、传送(Delivery) 、入侵( Exploit) 、植入( Install) 、逃逸和控制( Command and Control) 、操纵( Act on the Objective) 七个阶段;威胁情报应具备时效性(Timely)、相关性(Relevant)、准确性(Relevant)、具体性(Specific)、可执行性(Actionable)等特征。
该标准还提出了在信息共享过程中应当注意的一些隐私问题,关注信息的敏感性。比如域名、IP 地址、文件名、URL 等信息不能暴露被攻击者的身份;捕获的报文信息不能包含登陆凭据、财务信息、健康信息、案件信息及Web 表单提交数据等内容;钓鱼文件样本中不能包含任何与事件响应人员无关的敏感信息等等。
图2 网络攻击生命周期
IODEF
IODEF(Incident Object Description and Exchange Format,安全事件描述交换格式)是一种CSIRTs(Computer Security Incident Response Teams,计算机安全事件响应组)用来在它们自己、它们的支持者及其合作者之间交换事件信息的格式,可以为互操作工具的开发提供基础。IODEF合并了许多DHS系列规范的数据格式,并提供了一种交换那些可操作的统计性事件信息的格式,且支持自动处理。当一个组织在其工作流和事件处理系统中使用IODEF时,可从以下几方面受益:
(1)使用一种数据格式即可表示大量来自不同团队或安全事件响应小组的信息;
(2)使用一种通用的数据格式有助于安全团队更好地进行合作;
(3)简化事件关联和事件统计系统的建立。
IODEF是一种表示层的通信协议,其应用环境如图3所示。一般情况下,CSIRT需要先利用某种软件工具通过安全事件的相关信息生成IODEF的事件报告,再通过任意一种通信协议(如HTTP、SMTP等)将报告发给其他相关的组织;当CSIRT收到其他CSIRT、网络服务商、用户或组织发送过来的IODEF报告时,先通过事件处理系统中的IODEF解析模块或独立的IODEF解析程序生成符合CSIRT内部定义的数据格式,然后保存到本地事件报告数据库中,并进入事件处理流程。
图3 IODEF的应用环境
其他规范
MILE(Managed Incident Lightweight Exchange,轻量级交换托管事件)标准为指标和事件定义了一个数据格式。MILE封装的标准涵盖了与DHS系列规范大致相同的内容,特别是CybOX、STIX和TAXII。该封装还包含了IODEF,IODEF-SCI(IODEF for Structured Cybersecurity Information,结构化网络安全信息)和RID(Realtime Internetwork Defense,实时网络防御),支持自动共享情报和事件。
CIF(Collective Intelligence Framework,通用情报框架)可将源数据规范化,输出指定类型的数据,支持处理URLs, Domains,IPs, MD5s等数据类型。
VERIS(Vocabulary for Event Recording and Incident Sharing,事件记录和事故共享词汇)定义了一个用于描述安全事件的词汇表,它与CybOX有一些重叠,但扩展了可用的词汇。
TLP(Traffic Light Protocol,交通信号灯协议)这个规范提供了一组名称,而不是一个数据格式,但是可以简单的被包含在任何相关的标准或规范之中。TLP将可能被共享的情报分类,以控制共享范围。它定义了四个层次的共享(对应四种颜色):
红色——该项目不能共享。
黄色——该项目只能在产生的组织内共享。
绿色——该项目可以在组织外部共享,但有范围限制。
白色——该项可被广泛共享。
GB/T 36643-2018
2018 年 10 月 10 日,我国正式发布威胁情报的国家标准《信息安全技术网络安全威胁信息格式规范》(GB/T 36643-2018)。这份国家标准适用于网络安全威胁信息供方和需方之间进行网络安全威胁信息的生成、共享和使用,网络安全威胁信息共享平台的建设和运营可参考使用。
如图4所示,该标准定义了一个通用的网络安全威胁信息模型,从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施等八个组件进行描述,并从对象、方法和事件三个维度对这些组件进行划分。其中,威胁主体和攻击目标构成了攻击者与受害者的关系,归为对象域;攻击活动、攻击指标、安全事件和可观测数据构成了完整的攻击事件流程,归为事件域;在攻击事件中,攻击方所使用的方法、技术和过程(TTP)构成了攻击方法,而防御方所采取的防护、检测、响应、回复等行动构成了应对措施,二者一起归为方法域。
图4 威胁信息模型
总结
相比之下,我国威胁情报体系发展起步较晚,GB/T 36643-2018的发布意味着我国网络安全领域又向标准化、规范化前进了一步,顺应了当前阶段网络安全领域威胁情报的发展现状和趋势,期待我国加快威胁情报体系的建设脚步,早日赶超他国。
希望本文能有助于读者们的进一步研究。
参考文献
[1] 李瑜, 何建波, 李俊华等. 美国网络威胁情报共享技术框架与标准浅析[J]. 保密科学技术, 2016(6):16-21.
[2] 魏为民, 孔志伟, 杨朔, et al. 基于大数据的安全威胁情报研究[J]. 上海电力学院学报, 2018(1).
[3] http://netsecurity.51cto.com/art/201507/504579.htm
[4] http://www.doc88.com/p-9146604655933.html
[5] http://m.ec.com.cn/article.shtml?url=/article/dssz/txjs/201810/33408_1.html
[6] https://www.sec-un.org/united-states-cyber-threat-intelligence-sharing-guidelines-draft-nist-sp-800-150-draft/
[7] NIST SP 800-150. Guide to Cyber Threat Information Sharing.
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-150.pdf
[8] IODEF官网介绍. http://xml.coverpages.org/iodef.html
[9] MILE官网介绍. https://datatracker.ietf.org/wg/mile/documents/
作者:大象无形
声明:本文来自中国保密协会科学技术分会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
