威胁情报相关标准浅析

ID：Computer-network

威胁情报这一术语经常被定义为数据或与潜在的网络安全相关的数据馈送这样的错误名词。这个定义极大地简化了应当被收集为情报供给那一部分的的情报类型，和将原始数据转换为顾客可用来行动的情报的（被要求的）过程。   

网络威胁情报要处理的远不止如此。它的目的是成为一个跨学科的和整体的，可以提供一个人可理解的和真实的情报产品的，可以在多层面上给股东们提供价值的解决方案。它从一个组织周边的物理（PESTLE，STEEPLED）和数字环境中同时收集数据，而且要顾及更广泛的攻击面。（我们）可以这样阐述观点：在情报圈内有一个很小但正在发展为联盟的，限制伙伴关系和在物理与网络世界威胁里面广泛联系、关联的角色。许多跨国犯罪组织无一例外地擅长于用来寻找新的犯罪企业的环境扫描。网络威胁情报是用来应对这些因素的唯一准备。

网络情报（CYINT）- 不是核心情报原则里的一种，但是一个相对新颖且在不断发展的领域，它是一个混合体，而且可以包含任何组合或所有上述五个原则。尽管它可以被用来作为网络安全的关键组件，网络情报操作却与网络安全任务独立，而且可以支持涵盖政府和工业的各个方面的大量操作。   

对组织机构来说，意识到情报领域的这个迅速出现的（事物）的更广泛能力和怎样在未定义网络威胁角色、关于漏洞的技术数据、恶意代码或知识产权信誉数据之前使用它，是关键的。网络情报走在这些狭小的因素之前，而且包含与一个组织机构的物理环境相关的行动或事件的分析，它可以做到对数字威胁的预测。

定向攻击、零日漏洞和恶意软件的利用工具是许多组织机构的担心之处。然而，大多数组织机构并没有独立研究和评估威胁必须要具备的资源和知识技能，更不用说去决定这些威胁与他们的组织机构有多大的相关性。  

威胁情报服务经常被当做一种外包能力的形式来使用，用来提供那些别的地方无法提供的，对高级安全议题的知识技能和资源的访问权。有资历的威胁情报人员经受过广泛的训练，拥有特殊定制的工具，并且理解现代攻击者的思维方式和方法。他们也擅长从相关收集到的资源里面进行数据挖掘。

威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识，包括情境、机制、指标、推论与可行建议，这些知识可为威胁响应提供决策依据。

在全国乃至全球范围内进行威胁情报共享，将海量的威胁情报信息汇集起来，可以有效地提高网络空间的安全防御能力。

在威胁情报信息共享方面，美国发展迅速，提出了众多威胁情报共享交换标准。目前国际上尚无通用的威胁情报相关标准，当前的通常做法是用STIX作情报描述，用TAXII传输数据，用CybOX作为威胁情报词汇。以上所提的三个标准皆是由MITRE发布，除此之外，MITRE系列标准还包括MAEC、OVAL、CAPEC等。

一、STIX

STIX（Structured Threat Information eXpression，结构化威胁信息表达式）由MITRE（一个美国非营利性组织）联合DHS（美国国土安全部）发布，是用来交换威胁情报的一种语言和序列化格式。STIX是开源的、免费的，让那些有兴趣的人做出贡献并自由提问。使用STIX规范，可以通过对象和描述关系清晰地表示威胁情报中的多方面特征，包括威胁因素、威胁活动、威胁属性等。STIX信息可以直观地展示给分析师，或者以JSON形式存储以便快速地进行机器读取。

STIX的适用场景包括以下四种：

（1）威胁分析：包括威胁的判断、分析、调查、保留记录等；

（2）威胁特征分类：通过人工方式或自动化工具将威胁特征进行分类；

（3）威胁及安全事件应急处理： 安全事件的防范、侦测、处理、总结等，对以后的安全事件处置能够有很好的借鉴作用；

（4）威胁情报分享：用标准化的框架进行威胁情报描述与共享。

STIX 有两个版本：STIX 1.0基于XML定义，STIX 2.0基于JSON定义；STIX 1.0定义了图1所示的8种对象，STIX 2.0定义了12种域对象（将1.0版本中的TTP与Exploit Target拆分为Attack Pattern, Malware, Tool, Vulnerability；删去了Incident；新增了Report, Identity, Intrusion Set）和2种关系对象（Relationship, Sighting）。

图1  STIX架构

二、TAXII

TAXII（Trusted Automated Exchange of Intelligence Information，情报信息的可信自动化交换）是用来基于HTTPS交换威胁情报信息的一个应用层协议。TAXII是为支持使用STIX描述的威胁情报交换而专门设计的，但是也可以用来共享其他格式的数据。需要注意的是，STIX和TAXII是两个相互独立的标准，也就是说，STIX的结构和序列化不依赖于任何特定的传输机制，而TAXII也可用于传输非STIX数据。

使用TAXII规范，不同的组织机构之间可以通过定义与通用共享模型相对应的API来共享威胁情报。TAXII定义了一个服务信息交换集合和一个TAXII客户端服务器需求集，以及如下两种主要服务来支持多种通用共享模型。

（1）汇聚服务（Collections）：由TAXII服务器作为情报中心汇聚威胁情报，TAXII客户端和服务器以请求-响应模型交换信息，多个客户端可以向同一服务器请求威胁情报信息。

（2）通道服务（Channels）：由TAXII服务器作为通道，TAXII客户端之间以发布-订阅模型交换信息。通道服务允许一个情报源将数据推送给多个情报用户，同时每个情报用户可接收到多个情报源发送的数据。

如图2所示，汇聚服务和通道服务可以用不同的方式进行组织，比如可以将两种服务组合在一起来支持某一可信组的需求。通过这两种服务，TAXII可支持所有广泛使用的威胁情报共享模型，包括辐射型（hub-and-spoke）、 点对点（peer-to-peer），订阅型（source-subscriber）。

图2  TAXII服务模型

三、CybOX

CybOX（Cyber Observable eXpression，网络可观察表达式）定义了一种表征计算机可观察对象与网络动态和实体的方法，现已经被集成到STIX 2.0中。可观察对象可以是动态的事件，也可以是静态的资产，例如HTTP会话、X509证书、文件、系统配置项等。CybOX 规范提供了一套标准且支持扩展的语法，用来描述所有可被从计算系统和操作上观察到的内容，可用于威胁评估、日志管理、恶意软件特征描述、指标共享和事件响应等。如图3所示。

图3  CybOX数据框架

四、MAEC

MAEC（Malware Attribute Enumeration and Characterization，恶意软件属性枚举与特性描述）是一种共享恶意软件结构化信息的标准化语言。MAEC的提出旨在消除恶意软件描述当前存在的模糊性和不确定性问题，并降低对签名的依赖性，从而为改变恶意软件研究和响应提供基础。通过这种方式，MAEC寻求改善有关恶意软件的人与人、人与工具、工具与工具，以及工具与人之间的通信，减少研究人员对恶意软件分析工作的潜在重复，并通过利用以前观察到的恶意软件实例的响应来促进对策的快速开发。

如图4所示，MAEC数据模型可以由点和边组成的连接图表示，其中MAEC顶层对象定义为节点，MAEC关系定义为边，关系用来描述MAEC对象之间如何关联。

图4  MAEC数据模型

五、OVAL

OVAL（Open Vulnerability and Assessment Language，开放式漏洞与评估语言）由MITRE开发，是一种在漏洞分析中常被用来定义检查项、脆弱点等技术细节的描述语言。OVAL使用标准的XML格式组织内容，包含OVAL定义格式（OVAL Definition Schema），OVAL系统特性格式（OVAL System Characteristics Schema）与OVAL结果格式（OVAL Result Schema）三种格式。其中OVAL定义格式具有较为重要的作用，它提供了对系统进行安全评估的操作指南，具有较好的可机读性，可用来描述系统的配置信息、分析系统的安全状态、报告评估结果等。典型的OVAL定义格式的XML文档结构较为简单，主要是将定义（Definition）、测试（Test）、对象（Object）、状态（State）和变量（Variable）等各要素进行枚举，如图5所示。另外，OVAL系统特性格式用于描述系统信息快照，该快照可用于和OVAL定义文件进行匹配以得出评估结果；OVAL结果格式用于描述评估结果。

然而由于表达内容、应用场景的局限性，OVAL并不能满足当前各厂商对威胁情报共享的普遍需求，因此逐步被STIX取代。

图5  OVAL语言架构

六、CAPEC

CAPEC（Common Attack Pattern Enumeration and Classification，常见攻击模式枚举与分类）致力于提供一个关于常见攻击模式的公共可用分类，从而帮助用户理解敌人如何利用应用程序中的弱点和其他支持网络的性能来进行攻击。

 “攻击模式”是对敌方利用网络性能的已知弱点来进行攻击的常用属性和方法的描述。攻击模式定义了敌人可能面临的挑战以及他们如何解决它，这些解决方法来源于在破坏性环境中而非建设性环境中应用的设计模式的概念，并且通过对特定的现实世界的开发实例的深入分析生成。

每个攻击模式捕获关于如何设计和执行攻击的特定部分的知识，并指导如何减轻攻击的有效性。攻击模式帮助开发应用程序或网络管理人员更好地理解攻击的特征以及如何阻止它们成功。

MITRE是由美国政府赞助的一个非盈利研发机构，向美国政府提供系统工程、研究开发和信息技术支持。以上六种标准皆由MITRE研发或协助托管，详细内容见各标准的官网介绍。

七、OpenIOC

OpenIOC（Open Indicator of Compromise，开放威胁指标）是MANDIANT 公司发布的情报共享规范，是开源、灵活的框架。OpenIOC是一个记录、定义以及共享威胁情报的格式，它通过借助机器可读的形式实现不同类型威胁情报的快速共享。

IOC（Indicator of Compromise）是MANDIANT在长期的数字取证实践中定义的可以反映主机或网络行为的技术指示器，IOC以XML文档类型描述捕获多种威胁的事件响应信息，包括病毒文件的属性、注册表改变的特征、虚拟内存等，是一种入侵后可以取证的指标，可以识别一台主机或整个网络。而OpenIOC是一个威胁情报共享的标准，通过遵循该标准，可以建立IOC的逻辑分组，在机器中以一种可读的格式进行通信，从而实现威胁情报的交流共享。比如事件响应团队可以使用OpenIOC的规范编写多个IOCs来描述一个威胁的技术共性。

IOC的工作流程如图6所示，是一个迭代过程，描述如下：

（1）获取初始证据：根据主机或网络的异常行为获取最初的数据；

（2）建立主机或网络的IOCs：分析初步获得的数据，根据可能的技术特征建立IOCs；

（3）在企业中部署IOCs：在企业的其它机器或网络中部署IOCs，开始检测；

（4）发现更多的可疑主机；

（5）IOCs优化：通过初步检测可获取的新证据，并进行分析，优化已有的IOCs。

图6  IOC工作流程示意图

八、NIST SP 800-150

2014 年10 月，美国国家标准技术研究所（NIST）发布了《NIST SP 800-150: Guide to Cyber Threat Information Sharing》草案，2016年10月发布终稿。NIST SP 800-150 是对 NIST SP 800-61的扩充，将信息共享、协调、协同扩展至事件响应的全生命期中。该标准旨在帮助组织在事故应急响应生命周期过程中建立、参与和维护信息共享、协同合作关系。

该标准中提出事件协同和信息共享的全生命期包括创建（Creation or Collection）、处理（Processing）、传播（Dissemination）、使用（Use）、存储（Storage）、部署（Disposition）六个阶段；网络攻击生命期（图7）包括探测( Reconnaissance) 、准备（Weaponize）、传送(Delivery) 、入侵( Exploit) 、植入( Install) 、逃逸和控制( Command and Control) 、操纵( Act on the Objective) 七个阶段；威胁情报应具备时效性（Timely）、相关性（Relevant）、准确性（Relevant）、具体性（Specific）、可执行性（Actionable）等特征。

该标准还提出了在信息共享过程中应当注意的一些隐私问题，关注信息的敏感性。比如域名、IP 地址、文件名、URL 等信息不能暴露被攻击者的身份；捕获的报文信息不能包含登陆凭据、财务信息、健康信息、案件信息及Web 表单提交数据等内容；钓鱼文件样本中不能包含任何与事件响应人员无关的敏感信息等等。 

图7  网络攻击生命周期

九、IODEF

IODEF（Incident Object Description and Exchange Format，安全事件描述交换格式）是一种CSIRTs（Computer Security Incident Response Teams，计算机安全事件响应组）用来在它们自己、它们的支持者及其合作者之间交换事件信息的格式，可以为互操作工具的开发提供基础。IODEF合并了许多DHS系列规范的数据格式，并提供了一种交换那些可操作的统计性事件信息的格式，且支持自动处理。当一个组织在其工作流和事件处理系统中使用IODEF时，可从以下几方面受益：

（1）使用一种数据格式即可表示大量来自不同团队或安全事件响应小组的信息；

（2）使用一种通用的数据格式有助于安全团队更好地进行合作；

（3）简化事件关联和事件统计系统的建立。

IODEF是一种表示层的通信协议，其应用环境如图8所示。一般情况下，CSIRT需要先利用某种软件工具通过安全事件的相关信息生成IODEF的事件报告，再通过任意一种通信协议（如HTTP、SMTP等）将报告发给其他相关的组织；当CSIRT收到其他CSIRT、网络服务商、用户或组织发送过来的IODEF报告时，先通过事件处理系统中的IODEF解析模块或独立的IODEF解析程序生成符合CSIRT内部定义的数据格式，然后保存到本地事件报告数据库中，并进入事件处理流程。

图8  IODEF的应用环境

十、其他规范

MILE（Managed Incident Lightweight Exchange，轻量级交换托管事件）标准为指标和事件定义了一个数据格式。MILE封装的标准涵盖了与DHS系列规范大致相同的内容，特别是CybOX、STIX和TAXII。该封装还包含了IODEF，IODEF-SCI（IODEF for Structured Cybersecurity Information，结构化网络安全信息）和RID（Realtime Internetwork Defense，实时网络防御），支持自动共享情报和事件。

CIF（Collective Intelligence Framework，通用情报框架）可将源数据规范化，输出指定类型的数据，支持处理URLs, Domains,IPs, MD5s等数据类型。

VERIS（Vocabulary for Event Recording and Incident Sharing，事件记录和事故共享词汇）定义了一个用于描述安全事件的词汇表，它与CybOX有一些重叠，但扩展了可用的词汇。

TLP（Traffic Light Protocol，交通信号灯协议）这个规范提供了一组名称，而不是一个数据格式，但是可以简单的被包含在任何相关的标准或规范之中。TLP将可能被共享的情报分类，以控制共享范围。它定义了四个层次的共享（对应四种颜色）：

红色——该项目不能共享。

黄色——该项目只能在产生的组织内共享。

绿色——该项目可以在组织外部共享，但有范围限制。

白色——该项可被广泛共享。

十一、GB/T 36643-2018

2018 年 10 月 10 日，我国正式发布威胁情报的国家标准《信息安全技术网络安全威胁信息格式规范》（GB/T 36643-2018）。这份国家标准适用于网络安全威胁信息供方和需方之间进行网络安全威胁信息的生成、共享和使用，网络安全威胁信息共享平台的建设和运营可参考使用。

如图9所示，该标准定义了一个通用的网络安全威胁信息模型，从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施等八个组件进行描述，并从对象、方法和事件三个维度对这些组件进行划分。其中，威胁主体和攻击目标构成了攻击者与受害者的关系，归为对象域；攻击活动、攻击指标、安全事件和可观测数据构成了完整的攻击事件流程，归为事件域；在攻击事件中，攻击方所使用的方法、技术和过程（TTP）构成了攻击方法，而防御方所采取的防护、检测、响应、回复等行动构成了应对措施，二者一起归为方法域。

图9  威胁信息模型

相比之下，我国威胁情报体系发展起步较晚，GB/T 36643-2018的发布意味着我国网络安全领域又向标准化、规范化前进了一步，顺应了当前阶段网络安全领域威胁情报的发展现状和趋势，期待我国加快威胁情报体系的建设脚步，早日赶超他国。

微信公众号：计算机与网络安全

ID：Computer-network

【推荐书籍】