数据结构论坛

首页 » 分类 » 定义 » 对主流网络威胁情报标准应用的比较研究
TUhjnbcbe - 2023/8/11 21:22:00

摘 要

随着网络信息技术快速发展,网络威胁演变迅猛,促使人们必须寻求更有效、更主动的网络威胁检测和防御方法。在这种背景下,网络威胁情报得到了迅速普及,为大多数企业提供了有效的安全解决方案,并形成了多元异构的网络威胁情报生态系统。在这个生态系统中,情报的交换共享成为基本需求,由此产生了众多的网络威胁情报标准。基于对网络威胁情报的理解,梳理了主流网络威胁情报标准,对结构化威胁信息表达、情报信息的可信自动化交换、事件对象描述和交换格式等主流标准进行比较分析,希望能为网络威胁情报生产者在构建威胁情报平台时,选择合适的网络威胁情报标准提供一种思路。

内容目录:

1 研究背景

1.1 理解“CTI”

1.2 CTI的重要性

1.3 CTI的生产周期

2 主要标准

2.1 MITRE系列标准

2.2 MILE系列标准

2.3 OpenIOC标准

2.4 VERIS标准

3 比较研究

3.1 CTI标准应用的主要考量因素

3.2 CTI标准的比较分析

4 结 语

当前,网络空间规模的迅猛扩张,网络空间应用的日益普及,各式各样的网络攻击事件层出不穷,信息泄露、数据丢失、网络滥用、身份冒用、非法入侵等安全威胁充斥网络空间,网络安全形势空前严峻。尤其是以高级持续性威胁(AdvancedPersistentThreat,APT)为代表的新型威胁不断涌现,网络攻击手段更具复杂性和针对性,大大提高了网络威胁检测和防御的成本。网络空间威胁的演变,推动了网络安全防护模式的改变,人们必须寻求更加有效、更加主动的网络威胁检测和防御方法,才能满足网络空间安全的需要。

在此背景下,网络威胁情报(CyberThreatIntelligence,CTI)得到了迅速普及,已经成为大多数企业有效的安全解决方案。任何可用于识别、描述或协助应对网络威胁的有价值信息被称为网络威胁信息,对这类信息的分析产生了CTI。随着CTI的应用推广,形成了CTI生态链,情报生产者、情报传递者、情报使用者通过良性互动,构成一个自我运转、自我循环和自我提升的有机整体。在这个生态链中,情报的交换共享成为基本需求,其基础是要保证数据具有互操作性,由此产生了对CTI标准的需求。

CTI生产环境是一个多元的生态系统,其中流转的数据具有异构性。为保证数据的互操作性,使其在不同系统之间兼容,业界在数据标准化方面已经做了大量的工作。国外,结构化威胁信息表达式(StructuredThreatInformationeXpression,STIX)和情报信息的可信自动化交换(TrustedAutomatedExchangeofIntelligenceInformation,TAXII)是CTI的两大龙头标准,得到了IBM、思科、戴尔以及大批安全企业的青睐。国内,年国家发布的GB/T—《信息安全技术网络安全威胁信息格式规范》国家标准,是CTI标准的主要依据。其他较有影响力的威胁情报标准还包括:事件对象描述和交换格式(IncidentObjectDescriptionandExchangeFormat,IODEF)、通用情报框架(CollectiveIntelligenceFramework,CIF)、开放威胁指标(OpenIndicatorofCompromise,OpenIOC)、网络可观察表达式(CyberObservableeXpression,CybOX)和事件记录与事故共享词汇(VocabularyforEventRecordingandIncidentSharing,VERIS)等。

本文基于对CTI的理解,梳理了主流CTI标准,对STIX、TAXII、IODEF等主流标准进行了比较分析,希望能为CTI生产者在构建威胁情报工具、平台及系统时,对CTI标准的应用选择提供一种思路。

01

研究背景

自年Gartner首次对威胁情报进行定义后,威胁情报逐渐成为网络安全的热点领域之一,于年进入中国市场。政府、企业对CTI的重视程度不断提高,积极推动以CTI共享为基础的网络安全监测预警体系构建,企业各方围绕威胁情报技术及商业模式开展探索。本章围绕CTI概念、重要性和生产周期等问题进行阐述。

1.1 理解“CTI”

CTI是威胁情报中的一种。根据Gartner对威胁情报的定义,“威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临的、已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应处理决策提供信息支持”。可以把CTI简单理解为:与计算机、网络和信息技术相关的威胁情报,使安全防护者在数据支持下能够做出更快速、更明智的安全决策,在对抗网络威胁时化“被动”为“主动”。CTI有3个关键特征:第一,它不仅是数据,而且是经过分析的信息;第二,具有可操作性,可以指导网络安全风险分析、应急响应、网络系统安全配置等实践活动;第三,CTI可以是战略或战术层面的,战略层面是指可获得对手动机等深层情报,战术层面是指可获得技术、手段、路径等浅层情报,如IP地址、域名、统一资源定位系统(UniformResourceLocator,URL)、文件哈希值等。

1.2 CTI的重要性

在网络威胁日益猖獗的今天,越来越多的企业认识到CTI的价值,并逐渐加大这方面的支出力度。但大多数企业或机构主要限于操作层面的威胁情报利用,即战术层面CTI,例如将威胁情报与入侵防御系统、防火墙、安全网关、安全信息和事件管理系统(SecurityInformationandEventManagement,SIEM)的配置策略进行关联,这并未充分发挥CTI更深层次的价值,即战略层面价值。

CTI战略层面价值主要体现在(不仅限于):一是预测可能遭受的网络攻击行为,使安全团队预先做出决策;二是通过揭示网络攻击者的攻击动机、战术、技术、流程,赋予网络安全相关方相应权力;三是帮助安全专业人员更好地分析威胁方的动机,理清攻击事件后的威胁逻辑;四是影响企业管理者投资决策,降低系统安全风险。

1.3 CTI的生产周期

通常来说,可以将情报的生产周期划分为收集数据、处理数据(数据转化信息)、分析信息(信息产生情报)3个阶段。CTI在满足及时性、准确性和相关性的情报普适性要求的基础上,还需要满足可操作性要求(用于指导网络安全实践),如图1所示,在情报生产周期基础上,CTI生产周期增加了传播和利用两个阶段。

图1 网络威胁情报的生产周期

收集阶段:根据既定需求,CTI分析团队收集数据,数据来源包括流量日志、公开可用的数据源、相关论坛、社交媒体、行业或领域专家等。收集阶段是CTI生产的开端,需要在充分了解用户需求以及上下文语境的前提下进行。此阶段未经处理和分析的数据不是情报,而是生产情报的基本材料。

处理阶段:将原始数据处理成适合分析的格式,例如,将数据结构化为电子表格、解密文件等,同时评估数据的相关性和可靠性。这一阶段,数据经过处理和分析生成结构化信息,具备了可查找特性,成为信息。

分析阶段:CTI分析团队根据信息产生情报,并为用户提供有价值的建议,可与用户安全防护系统的防御机制集成联动,支撑用户制定新的防护策略。

利用/传播阶段:进入利用阶段还是传播阶段,取决于是否到达最终用户。利用阶段是指情报到达最终用户,用户根据CTI报告,确定是否需要调整网络安全防护措施及策略;传播阶段是指同一组织或不同组织间共享和传播CTI的过程。

可以将CTI生态系统简单划分为生产者(包括CTI传递者)和消费者。CTI生产者汇集和接收网络威胁信息,经过处理、分析、编排后形成情报并发布,包括专业的威胁情报分析机构、情报服务机构等,是收集、处理、分析、传播阶段的行为主体。CTI消费者在获取情报后,及时调整安全策略、降低安全风险、实现情报价值,是利用阶段的行为主体。

02

主要标准

标准在CTI生产过程中发挥了重要作用,是CTI生产者构建CTI平台的基础。对收集到的数据进行自动化处理,需要依据标准对数据进行格式化,并利用通用语言进行描述。对CTI进行传播,需要基于统一的数据格式,同时隐式地定义数据元素的信息密度需求。

目前,主要的CTI标准已经超过20种,共享交换标准是CTI标准的主要类别,如STIX、TAXII、IODEF、VERIS等。为便于对主流CTI标准的适用性进行研究,首先对相关标准进行梳理。

2.1 MITRE系列标准

MITRE公司作为一家对全球网络空间安全发挥重大影响力的非营利机构,制定了STIX、TAXII、CybOX等一系列标准。最初CybOX和STIX标准通常一起使用,但随着CybOX被集成到STIX2.0中,已经成为STIX标准的一部分,因此CybOX不再是独立的CTI标准。TAXII是为保障STIX传输而专门设计的标准。

(1)STIX。STIX用于在CTI环境中捕获、指定、描述和交换信息。STIX1.0于年4月发布,定义了网络威胁分析、威胁特征分类、应急响应、威胁信息共享4种场景下的信息结构化表示。STIX1.0基于可扩展标记语言(eXtensibleMarkupLanguage,XML)构建了8个主要构件,包括可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施。STIX2.0基于JSON语言开发,目前由12个对象组成。STIX的整体架构设计使它能够以全面的、标准化和结构化的方式呈现信息,可以直接与威胁情报上下文中的其他语言进行集成。(2)TAXII。TAXII用于跨产品、服务和组织边界来共享网络威胁信息。TAXII使用XML和超文本传输协议(HyperTextTransferProtocol,HTTP)进行消息内容的传输,允许自定义格式和协议,设置了机密性、完整性和属性的标准机制。TAXII是STIX结构化威胁信息的传输工具,但与STIX是两个相互独立的标准,TAXII也可用于传输非STIX数据。(3)CybOX。CybOX设计的目的是使诸如CTI等安全信息的自动化共享成为可能,提供了70多个对象来达成这一目标。这些对象可用于定义可测量的事件或有状态属性,例如文件、HTTP会话、互斥锁、网络连接、网络流和X证书等,既可以是动态数据流,也可以是静态的数字资产。目前,CybOX已经被集成到STIX2.0中。

2.2 MILE系列标准

轻量级交换托管事件(ManagedIncidentLightweightExchange,MILE)是国际互联网工程任务组下设的一个标准工作组,专注于数据格式和传输协议。MILE工作组定义了CTI的一揽子标准,包括IODEF、结构化网络安全信息(IODEFforStructuredCyberSecurityInformation,IODEFSCI)、实时网络防御(Real-timeInter-networkDefense,RID)等。如同MITRE的TAXII,RID标准是为了IODEF的传输而设计的。

(1)IODEF。IODEF由RFC定义,是一个基于XML的标准,用于计算机安全事件响应小组共享事件信息。IODEF定义了超过30个事件数据类/子类,涵盖信息包括关联、时间、操作系统和应用程序等,同时定义了数据处理标签,如灵敏度和置信度。(2)IODEF-SCI。IODEF-SCI是IODEF的扩展标准,增加了对附加信息的支持,包括攻击模式、平台信息、漏洞、弱点、对策指令、计算机事件日志和严重性。IODEF-SCI通过在IODEF文档中嵌入现有标准来支持附加信息。(3)RID。RID也是在IODEF基础上构建的CTI通信标准。根据RFC定义,RID是基于共享事件处理数据的主动型网络间通信方法,包括请求、确认、响应、报告和查询5种消息类型。RID标准包括一个策略类,它允许根据与共享方的关系应用不同的策略。

2.3 OpenIOC标准

OpenIOC是由Mandiant公司引入,已作为开放标准发布。OpenIOC是一个情报共享规范,定义了超过个技术术语,大多数术语以主机为中心,标题以文件、驱动程序、磁盘、系统、进程或注册表为开头。威胁指示(IndicatorofCompromise,IOC)可以使用布尔逻辑来定义一个特定的恶意软件样本或家族,用于查找不应该存在的项以及验证预期的项,例如,运行中的服务通常是有签名的动态链接库(DynamicLinkLibrary,DLL)文件,但如果发现有一个DLL文件没有有效的签名,则可能是一个IOC。

2.4 VERIS标准

VERIS框架提供了定义和共享事件信息的标准方法。使用VERIS框架,相关组织可以以标准格式和词汇表提供数据,然后可以合并这些数据,并将其组合为更大的数据集便于分析和报告。VERIS旨在提供一种通用语言,以结构化和可重复方式描述安全事件。

03

比较研究

为向CTI生产者在构建威胁情报工具、平台及系统时选择合适的CTI标准提供思路,给出了选择CTI标准的主要考量因素,在研究、参考相关文献后[6-8],对CTI标准在不同场景下的适用性进行了比较分析。

3.1 CTI标准应用的主要考量因素

CTI生产者选择以何种标准构建CTI工具、平台及系统,可从两个维度出发,一是考虑CTI标准设计架构是否与威胁分析任务相匹配;二是考虑CTI标准是否满足情报生产各阶段的侧重点需求。如表1所示,列出了评价CTI标准应用适用性的主要考量因素。

表1 对CTI标准应用适用性的主要考量因素

从体系架构维度来看,CTI标准要能够完整、清晰地对威胁场景进行表征,至少覆盖4个要素。一是威胁,即CTI主题,是对威胁场景的整体概括。二是事件,即与主题相关的实例,包括网络攻击事件、信息泄露事件、内容安全事件等。三是威胁者,是对威胁主体及其行为、动机的描述,威胁主体包括发起威胁事件的组织或个人。四是防护,是对防护主体及其行为、动机的描述。从情报生产周期来看,CTI标准应符合各阶段不同的特性需求。在收集阶段,以通用格式提供数据。在处理阶段,结构化格式和机器可读性是必不可少的。在分析阶段,一方面,不仅需要以确定的数据模型来执行相关性并对信息进行分类,还需要有表征相关性的关联机制;另一方面,为使信息具有可访问性,对格式、系统和平台之间的互操作性要求高。在利用/传播阶段,需要健全的情报传输和交换机制进行保障。

3.2 CTI标准的比较分析

从体系架构方面来看,STIX标准对威胁场景能够进行最全面的表征。表1中所指的4个要素能够通过STIX2.0所定义的12个域对象和2种关系对象进行充分表征。虽然IODEF和OpenIOC在体系结构方面相对完善,但对防护机制、威胁动机的表征方面存在缺陷。

从生产周期方面来看,STIX标准更加满足不同生产阶段的特性需求。在收集及处理阶段,STIX2.0基于JSON语言提供了一种通用的结构化格式,兼顾了低开销和机器可读性。在分析阶段,STIX2.0对12个对象进行了清晰描述和文档化处理,同时提供了具有明确关联关系的数据模型。在传播/利用阶段,在TAXII标准的支持下,STIX2.0能够进行可靠传输。IODEF和OpenIOC基于XML语言,同样提供了一种通用的、具有机器可读性的结构化格式。在不考虑XML语言与JSON语言差异化的前提下,在关联关系表征机制、互操作性方面,IODEF和OpenIOC不如STIX表现优秀。

另外,从目前CTI标准实际应用情况来看,STIX最具广泛性,被大多数CTI平台和工具支持,也被大多数组织使用,已经成为CTI生态系统中处于主导地位的事实标准。

归根到底,CTI生产者对标准的选择,取决于威胁情报分析任务、合作对象以及CTI消费者的特定需求。如果某一个CTI生产者主要目的是共享事件数据,VERIS可能是最佳选项;如果在某个CTI组织内部已经使用支持OpenIOC的工具,采取OpenIOC肯定是最优选择;如果某CTI组织的情报分析主体只需具有普适性的行业标准,MITRE系列标准和MILE标准都可列入选项。甚至在许多情况下,还可能包括多个适合标准。

04

结 语

为了实现更加强大的网络威胁检测和防护能力,绝大多数企业和组织需要寻求CTI支持,成为CTI消费者。而CTI生产者为CTI消费者提供服务,需要构建CTI平台、开发CTI工具,因此需要统一的标准来提供自动化、可共享和可靠的信息交换。在主流的CTI标准中,由MITRE开发的STIX标准(与TAXII相结合),被认为是最全面和最适用的标准。有必要在STIX标准的基础上进一步深化应用,以建立更加广泛的CTI生态。

引用格式:张玲.对主流网络威胁情报标准应用的比较研究[J].信息安全与通信保密,(7):25-32.

作者简介

张 玲(—),女,硕士,高级工程师,主要研究方向为网络安全。

选自《信息安全与通信保密》年第6期(为便于排版,已省去参考文献)

来源:信息安全与通信保密杂志社

1
查看完整版本: 对主流网络威胁情报标准应用的比较研究