威脅情報相關標準簡介 (下篇)
前言
美國在威脅情報領域起步較早,發展較快,因而建立的標準也較多,上篇為讀者介紹了MITRE相關係列的六種標準,下篇中將繼續介紹其他機構提出的主流標準,以及我國於今年10月份正式釋出的威脅情報國家標準。
OpenIOC/">IOC
OpenIOC(Open Indicator of Compromise,開放威脅指標)是MANDIANT 公司釋出的情報共享規範,是開源、靈活的框架。OpenIOC是一個記錄、定義以及共享威脅情報的格式,它通過藉助機器可讀的形式實現不同型別威脅情報的快速共享。
IOC(Indicator of Compromise)是MANDIANT在長期的數字取證實踐中定義的可以反映主機或網路行為的技術指示器,IOC以XML文件型別描述捕獲多種威脅的事件響應資訊,包括病毒檔案的屬性、登錄檔改變的特徵、虛擬記憶體等,是一種入侵後可以取證的指標,可以識別一臺主機或整個網路。而OpenIOC是一個威脅情報共享的標準,通過遵循該標準,可以建立IOC的邏輯分組,在機器中以一種可讀的格式進行通訊,從而實現威脅情報的交流共享。比如事件響應團隊可以使用OpenIOC的規範編寫多個IOCs來描述一個威脅的技術共性。
IOC的工作流程如圖1所示,是一個迭代過程,描述如下:
(1)獲取初始證據:根據主機或網路的異常行為獲取最初的資料;
(2)建立主機或網路的IOCs:分析初步獲得的資料,根據可能的技術特徵建立IOCs;
(3)在企業中部署IOCs:在企業的其它機器或網路中部署IOCs,開始檢測;
(4)發現更多的可疑主機;
(5)IOCs優化:通過初步檢測可獲取的新證據,並進行分析,優化已有的IOCs。
圖1 IOC工作流程示意圖
NIST SP 800-150
2014 年10 月,美國國家標準技術研究所(NIST)釋出了《NIST SP 800-150: Guide to Cyber Threat Information Sharing》草案,2016年10月釋出終稿。NIST SP 800-150 是對 NIST SP 800-61的擴充,將資訊共享、協調、協同擴充套件至事件響應的全生命期中。該標準旨在幫助組織在事故應急響應生命週期過程中建立、參與和維護資訊共享、協同合作關係。
該標準中提出事件協同和資訊共享的全生命期包括建立(Creation or Collection)、處理(Processing)、傳播(Dissemination)、使用(Use)、儲存(Storage)、部署(Disposition)六個階段;網路攻擊生命期(圖2)包括探測( Reconnaissance) 、準備(Weaponize)、傳送(Delivery) 、入侵( Exploit) 、植入( Install) 、逃逸和控制( Command and Control) 、操縱( Act on the Objective) 七個階段;威脅情報應具備時效性(Timely)、相關性(Relevant)、準確性(Relevant)、具體性(Specific)、可執行性(Actionable)等特徵。
該標準還提出了在資訊共享過程中應當注意的一些隱私問題,關注資訊的敏感性。比如域名、IP 地址、檔名、URL 等資訊不能暴露被攻擊者的身份;捕獲的報文資訊不能包含登陸憑據、財務資訊、健康資訊、案件資訊及Web 表單提交資料等內容;釣魚檔案樣本中不能包含任何與事件響應人員無關的敏感資訊等等。
圖2 網路攻擊生命週期
IODEF
IODEF(Incident Object Description and Exchange Format,安全事件描述交換格式)是一種CSIRTs(Computer Security Incident Response Teams,電腦保安事件響應組)用來在它們自己、它們的支持者及其合作者之間交換事件資訊的格式,可以為互操作工具的開發提供基礎。IODEF合併了許多DHS系列規範的資料格式,並提供了一種交換那些可操作的統計性事件資訊的格式,且支援自動處理。當一個組織在其工作流和事件處理系統中使用IODEF時,可從以下幾方面受益:
(1)使用一種資料格式即可表示大量來自不同團隊或安全事件響應小組的資訊;
(2)使用一種通用的資料格式有助於安全團隊更好地進行合作;
(3)簡化事件關聯和事件統計系統的建立。
IODEF是一種表示層的通訊協議,其應用環境如圖3所示。一般情況下,CSIRT需要先利用某種軟體工具通過安全事件的相關資訊生成IODEF的事件報告,再通過任意一種通訊協議(如HTTP、SMTP等)將報告發給其他相關的組織;當CSIRT收到其他CSIRT、網路服務商、使用者或組織傳送過來的IODEF報告時,先通過事件處理系統中的IODEF解析模組或獨立的IODEF解析程式生成符合CSIRT內部定義的資料格式,然後儲存到本地事件報告資料庫中,並進入事件處理流程。
圖3 IODEF的應用環境
其他規範
MILE(Managed Incident Lightweight Exchange,輕量級交換託管事件)標準為指標和事件定義了一個數據格式。MILE封裝的標準涵蓋了與DHS系列規範大致相同的內容,特別是CybOX、STIX和TAXII。該封裝還包含了IODEF,IODEF-SCI(IODEF for Structured Cybersecurity Information,結構化網路安全資訊)和RID(Realtime Internetwork Defense,實時網路防禦),支援自動共享情報和事件。
CIF(Collective Intelligence Framework,通用情報框架)可將源資料規範化,輸出指定型別的資料,支援處理URLs, Domains,IPs, MD5s等資料型別。
VERIS(Vocabulary for Event Recording and Incident Sharing,事件記錄和事故共享詞彙)定義了一個用於描述安全事件的詞彙表,它與CybOX有一些重疊,但擴充套件了可用的詞彙。
TLP(Traffic Light Protocol,交通訊號燈協議)這個規範提供了一組名稱,而不是一個數據格式,但是可以簡單的被包含在任何相關的標準或規範之中。TLP將可能被共享的情報分類,以控制共享範圍。它定義了四個層次的共享(對應四種顏色):
紅色——該專案不能共享。
黃色——該專案只能在產生的組織內共享。
綠色——該專案可以在組織外部共享,但有範圍限制。
白色——該項可被廣泛共享。
GB/T 36643-2018
2018 年 10 月 10 日,我國正式釋出威脅情報的國家標準《資訊保安技術網路安全威脅資訊格式規範》(GB/T 36643-2018)。這份國家標準適用於網路安全威脅資訊供方和需方之間進行網路安全威脅資訊的生成、共享和使用,網路安全威脅資訊共享平臺的建設和運營可參考使用。
如圖4所示,該標準定義了一個通用的網路安全威脅資訊模型,從可觀測資料、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊目標、攻擊方法、應對措施等八個元件進行描述,並從物件、方法和事件三個維度對這些元件進行劃分。其中,威脅主體和攻擊目標構成了攻擊者與受害者的關係,歸為物件域;攻擊活動、攻擊指標、安全事件和可觀測資料構成了完整的攻擊事件流程,歸為事件域;在攻擊事件中,攻擊方所使用的方法、技術和過程(TTP)構成了攻擊方法,而防禦方所採取的防護、檢測、響應、回覆等行動構成了應對措施,二者一起歸為方法域。
圖4 威脅資訊模型
總結
相比之下,我國威脅情報體系發展起步較晚,GB/T 36643-2018的釋出意味著我國網路安全領域又向標準化、規範化前進了一步,順應了當前階段網路安全領域威脅情報的發展現狀和趨勢,期待我國加快威脅情報體系的建設腳步,早日趕超他國。
希望本文能有助於讀者們的進一步研究。
參考文獻
[1] 李瑜, 何建波, 李俊華等. 美國網路威脅情報共享技術框架與標準淺析[J]. 保密科學技術, 2016(6):16-21.
[2] 魏為民, 孔志偉, 楊朔, et al. 基於大資料的安全威脅情報研究[J]. 上海電力學院學報, 2018(1).
[3] http://netsecurity.51cto.com/art/201507/504579.htm
[4] http://www.doc88.com/p-9146604655933.html
[5] http://m.ec.com.cn/article.shtml?url=/article/dssz/txjs/201810/33408_1.html
[6] https://www.sec-un.org/united-states-cyber-threat-intelligence-sharing-guidelines-draft-nist-sp-800-150-draft/
[7] NIST SP 800-150. Guide to Cyber Threat Information Sharing.
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-150.pdf
[8] IODEF官網介紹. http://xml.coverpages.org/iodef.html
[9] MILE官網介紹. https://datatracker.ietf.org/wg/mile/documents/
作者:大象無形
宣告:本文來自中國保密協會科學技術分會,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。