【公益译文】STIX介绍讲义

上次,给大家介绍了 网络威胁情报信息怎么统一格式 用STIX结构化威胁信息表达 ,好多人在问STIX到底是什么?STIX其实就是结构化威胁信息表达的英文缩写,STIX是由多人群策群力共同定义和开发的描述网络威胁信息的结构化语言,用于描述各种潜在网络威胁信息,表达准确、灵活,具有可扩展性,可自动化,并易于理解。

STIX的用途

STIX 有以下用途:

  • 分析网络威胁
  • 指定网络威胁的指标模式
  • 管理网络威胁防护和响应活动
  • 分享网络威胁信息

威胁情报所面临的挑战

现今,组织须具备“网络威胁情报”能力,作为抵御已识别的网络攻击者的一个关键环节。网络情报包括理解信息并描述其特性,例如已发生和可能发生哪些攻击行动、如何检测、识别和缓解这些攻击、相关威胁源起方是谁,试图达到什么目的、从其已利用和将来可能利用的策略、技术与过程(TTP)来看,他们具备哪些能力、他们可能要利用哪些漏洞、错误配置或缺陷、他们之前采取了哪些行动等等。

成功实现威胁情报能力的一个关键因素是与合作伙伴、同行及所信任的其他组织共享威胁情报。网络威胁情报和信息共享可帮助组织聚焦庞杂的网络安全信息,并对数据的使用进行优先级排序。组织要处理此类信息,就必然需要标准化的、结构化的信息表达。

STIX的解决方案

STIX 是通过群策群力完成的解决方案,可解决上述挑战。它提供网络威胁信息的结构化表达,其表达准确、灵活,具有可扩展性,可自动化,并易于理解。STIX 可实现在不同组织或社区之间分享各类产品/ 服务的全面、丰富和可靠的网络威胁信息。STIX 可扩展简单的指标分享,并对更为准确的各类指标描述和其他各种网络威胁信息进行管理和交换。

STIX语言

STIX 语言是社区携手所有感兴趣的各方共同开发的,描述了标准网络威胁信息的规范、捕获、特性以及交流。STIX 通过结构化的方式进行威胁信息描述,为更有效的网络威胁管理流程和应用自动化提供支撑。

STIX 提供在一系列用例之间传递结构化的网络威胁信息的通用机制,从而增强了一致性和互操作性,并提升了效率和总体态势感知。此外,STIX 也提供了统一架构,用于绑定一系列广泛多样的网络威胁信息,包括:

  • 网络可观察物:例如创建注册表项、特定IP 地址上出现网络流量、发现特定IP 地址发送了电子邮件等。
  • 指标:指附带含义和情境的潜在可观察物。
  • 事件:指特定攻击者行动。
  • 攻击者的TTP,包括攻击模式、恶意软件、利用程序、攻击链、工具、基础设施和锁定受害者等。
  • 利用目标:例如,漏洞、缺陷或配置。
  • 措施:例如,事件响应或漏洞/ 缺陷修复。
  • 网络攻击行动:为实现同一目的而发起的一系列攻击事件和/ 或使用的TTP。
  • 网络威胁源:攻击者的识别和/ 或鉴定。

为使这一整体方案适用于任一用例,在适当时,可利用现有的结构化语言,如网络可观察物表达规范(CybOX™)、恶意软件属性列举和特性化(MAEC™)、通用攻击模式列表和分类(CAPEC™)等,并在语言中集成众多灵活性机制。

需特别指出的是,这一完全结构化的语言中,几乎任何一部分都是可选的。这样,单个用例仅需利用STIX 语言中与其相关的部分,包括小至单个字段,大到整个语言以及介于二者之间的部分。也就是说,各部分之间互相独立。

关联文章:http://blog.nsfocus.net/stix-specification-network-threat-intelligence-information/

免责声明

本文原文来自于互联网的公共方式,由“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。

更多内容,请下载附件:【公益译文】STIX介绍讲义20170110

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

发表评论