安全七八談 | 美國網絡安全態勢感知（4）：威脅情報發展現狀

張家口，壩上草原。2018年7月

美國政府依託其不斷發展完善的威脅情報共享技術，構建了名為「網絡天氣地圖」的威脅情報管理體系，如下圖所示：

「網絡天氣地圖」的威脅情報管理體系運行過程以及每個過程中的關鍵信息如下所述：

1. 通過國家網絡安全保護系統與網際網路中相關的探測器關聯，收集相關的威脅情報信息；

2. 利用大數據分析技術，並結合外部的其他威脅情報來源，提取形成有價值的威脅情報；

3. 根據威脅情報信息，生成相關的安全策略，並下發至防護設備，進行有目標的防護；

4. 將獲得的威脅情報信息能夠快速地在網絡中交換共享，並與外部威脅情報源共享。

1、STIX結構化威脅信息表達式

STIX（Structured Threat Information eXpression，結構化威脅信息表達式）由MITRE（一個美國非營利性組織）聯合DHS（美國國土安全部）發布，是用來交換威脅情報的一種語言和序列化格式。STIX是開源的、免費的，讓那些有興趣的人做出貢獻並自由提問。使用STIX規範，可以通過對象和描述關係清晰地表示威脅情報中的多方面特徵，包括威脅因素、威脅活動、威脅屬性等。STIX信息可以直觀地展示給分析師，或者以JSON形式存儲以便快速地進行機器讀取。

STIX的適用場景包括以下四種：

1. 威脅分析：包括威脅的判斷、分析、調查、保留記錄等；

2. 威脅特徵分類：通過人工方式或自動化工具將威脅特徵進行分類；

3. 威脅及安全事件應急處理： 安全事件的防範、偵測、處理、總結等，對以後的安全事件處置能夠有很好的借鑑作用；

4. 威脅情報分享：用標準化的框架進行威脅情報描述與共享。

STIX 有兩個版本：STIX 1.0基於XML定義，STIX2.0基於JSON定義；STIX 1.0定義了如圖所示的8種對象，STIX 2.0定義了12種域對象（將1.0版本中的TTP與Exploit Target拆分為Attack Pattern, Malware, Tool,Vulnerability；刪去了Incident；新增了Report,Identity, Intrusion Set）和2種關係對象（Relationship, Sighting）。

2、TAXII情報信息的可信自動化交換

TAXII（Trusted Automated Exchange of Intelligence Information，情報信息的可信自動化交換）是用來基於HTTPS交換威脅情報信息的一個應用層協議。TAXII是為支持使用STIX描述的威脅情報交換而專門設計的，但是也可以用來共享其他格式的數據。需要注意的是，STIX和TAXII是兩個相互獨立的標準，也就是說，STIX的結構和序列化不依賴於任何特定的傳輸機制，而TAXII也可用於傳輸非STIX數據。

使用TAXII規範，不同的組織機構之間可以通過定義與通用共享模型相對應的API來共享威脅情報。TAXII定義了一個服務信息交換集合和一個TAXII客戶端伺服器需求集，以及如下兩種主要服務來支持多種通用共享模型。

1. 匯聚服務（Collections）：由TAXII伺服器作為情報中心匯聚威脅情報，TAXII客戶端和伺服器以請求-響應模型交換信息，多個客戶端可以向同一伺服器請求威脅情報信息。

2. 通道服務（Channels）：由TAXII伺服器作為通道，TAXII客戶端之間以發布-訂閱模型交換信息。通道服務允許一個情報源將數據推送給多個情報用戶，同時每個情報用戶可接收到多個情報源發送的數據。

匯聚服務和通道服務可以用不同的方式進行組織，比如可以將兩種服務組合在一起來支持某一可信組的需求。通過這兩種服務，TAXII可支持所有廣泛使用的威脅情報共享模型，包括輻射型（hub-and-spoke）、點對點（peer-to-peer），訂閱型（source-subscriber）。

天津，起士林。2019年3月

3、OpenIOC開放威脅指標

OpenIOC（Open Indicator of Compromise，開放威脅指標）是MANDIANT公司發布的情報共享規範，是開源、靈活的框架。OpenIOC是一個記錄、定義以及共享威脅情報的格式，它通過藉助機器可讀的形式實現不同類型威脅情報的快速共享。

IOC（Indicator of Compromise）是MANDIANT在長期的數字取證實踐中定義的可以反映主機或網絡行為的技術指示器，IOC以XML文檔類型描述捕獲多種威脅的事件響應信息，包括病毒文件的屬性、註冊表改變的特徵、虛擬內存等，是一種入侵後可以取證的指標，可以識別一臺主機或整個網絡。而OpenIOC是一個威脅情報共享的標準，通過遵循該標準，可以建立IOC的邏輯分組，在機器中以一種可讀的格式進行通信，從而實現威脅情報的交流共享。比如事件響應團隊可以使用OpenIOC的規範編寫多個IOCs來描述一個威脅的技術共性。

IOC的工作流程如圖所示，是一個迭代過程，描述如下：

1. 獲取初始證據：根據主機或網絡的異常行為獲取最初的數據；

2. 建立主機或網絡的IOCs：分析初步獲得的數據，根據可能的技術特徵建立IOCs；

3. 在企業中部署IOCs：在企業的其它機器或網絡中部署IOCs，開始檢測；

4. 發現更多的可疑主機；

5. IOCs優化：通過初步檢測可獲取的新證據，並進行分析，優化已有的IOCs。

4、NIST SP800-150

2014 年10 月，美國國家標準技術研究所（NIST）發布了《NIST SP800-150: Guide to Cyber Threat Information Sharing》草案，2016年10月發布終稿。NIST SP800-150是對 NIST SP 800-61的擴充，將信息共享、協調、協同擴展至事件響應的全生命期中。該標準旨在幫助組織在事故應急響應生命周期過程中建立、參與和維護信息共享、協同合作關係。

該標準中提出事件協同和信息共享的全生命期包括創建、處理、傳播、使用、存儲、部署六個階段；網絡攻擊生命期包括探測、準備、傳送、入侵、植入、逃逸和控制、操縱七個階段；威脅情報應具備時效性、相關性、準確性、具體性、可執行性等特徵。

該標準還提出了在信息共享過程中應當注意的一些隱私問題，關注信息的敏感性。比如域名、IP 地址、文件名、URL 等信息不能暴露被攻擊者的身份；捕獲的報文信息不能包含登陸憑據、財務信息、健康信息、案件信息及Web 表單提交數據等內容；釣魚文件樣本中不能包含任何與事件響應人員無關的敏感信息等等。

本文相關連結：