【公益译文】网络威胁信息共享指南

网络威胁信息指可帮助组织识别、评估、监控及响应网络威胁的任何信息。此类信息包括攻陷指标(indicator of compromise,亦有译为“攻击指示器”、“入侵指示器”的)、威胁源起方(threat actor)使用的策略、技术与过程(TTP)、检测、控制或防护攻击的建议方法以及安全事件分析结果。网络威胁信息的共享可同时提高分享组织与其他组织的安全状况。本文为建立、参与网络威胁信息共享关系提供了指导,帮助组织设定信息共享目标、识别网络威胁信息源、确定信息共享活动范围、制定威胁信息发布与分发规则、加入现有共享社团、有效利用威胁信息,以支持其总体网络安全实践。

网络攻击日益频繁,复杂度也与日俱增,为组织保护数据及系统免受强大的威胁源起方的攻击带来了巨大挑战。这些威胁源起方或为自主发起攻击的个人攻击者,或为有充足资源、行动一致的群体,多为犯罪集团成员或代表某国政府利益。威胁源起方持续发起攻击,动机明确,动作敏捷,使用各种TTP入侵系统、中断业务、进行金融诈骗、泄露或窃取知识产权及其他敏感信息。考虑到这些威胁所带来的风险,组织应更加重视共享网络威胁信息,利用这些信息提高自己的网络防护能力。

网络威胁信息指可帮助组织识别、评估、监控及响应网络威胁的任何信息,包括指标(与攻击相关的系统组件或可观察事件(observable))、TTP、安全警报、威胁情报报告、推荐安全工具配置等。多数组织在信息技术与安全运营实践中,生成了各种网络威胁信息在内部共享。

通过与共享社团其他参与者交流网络威胁信息,组织可利用共享群体的集体知识、经验及能力,更全面地了解所面临的威胁。组织可利用这些知识,基于威胁信息,对防护能力、威胁检测技术及缓解策略进行决策。通过关联、分析从多个数据源获得的网络威胁信息,组织可丰富已有信息,使其更具有操作性。要丰富已有信息,可独立确认其他社团成员的观察结果或通过减少含糊之词及错误提高威胁信息的整体质量。共享社团成员在接收信息后修复威胁,抑制了威胁的传播能力,这为其他成员(甚至是未收到网络威胁信息或收到但并未响应的成员)提供了一定程度的防护能力。此外,通过共享网络威胁信息,组织可更有效地检测针对特定行业、业务实体或社会团体的攻击活动。

本文旨在帮助组织建立、参与网络威胁信息共享关系,介绍了共享的益处与挑战,明确了信任的重要性,梳理了处理数据时需考虑的具体事项。作为指导性文件,本文讨论了如何通过安全有效的信息共享实践来促进网络安全运营与风险管理活动,帮助组织规划、实施与维护信息共享。

NIST鼓励组织间进行更广泛的网络威胁信息共享,一方面,组织可以从其他组织获取威胁信息,另一方面,组织可将内部产生的威胁信息提供给其他组织。组织可参考如下建议,更有效地利用信息共享能力:

设定信息共享目标goals and objectives),支持业务流程与安全指导方案security policies

组织的信息共享目标应对整体网络安全战略有促进作用,可帮助组织更有效地管理网络相关风险。组织应将自己员工及其他人员(如网络威胁信息共享组织的成员)的知识与经验结合起来,共享威胁信息,同时按照安全、隐私及合规性要求进行运营。

识别内部现有的网络威胁信息源。

组织应识别当前收集、分析及存储的威胁信息。在库存流程中,组织应确定如何使用信息。具体说,基于网络威胁信息,组织可识别机遇,优化决策流程,制定从其他(或为外部)来源或通过部署额外工具或传感器获得威胁信息的策略,判断哪些威胁信息可与外界共享。

指定信息共享活动范围

组织信息共享活动的范围应与组织的资源、能力及目标相匹配。信息共享工作应聚焦于能为组织及其共享合作伙伴带来最大价值的活动。确定范围时,应判断哪类信息可经组织关键利益主体授权进行共享、此类信息在哪些情况下可进行共享以及信息可以并应该共享给谁。

制定信息共享规则。

共享规则旨在控制威胁信息发布和分发,防止传播敏感信息(这些信息若被不当披露,可能会为组织、客户或业务合作伙伴带来不利影响)。信息共享规则应考虑到接收人的可信性、共享信息的敏感性以及共享(或不共享)某类信息的潜在影响。

参与信息共享工作。

组织应判断哪些共享活动可作为对现有威胁信息能力的补充,并积极参与这样的活动。为了满足运营需要,组织或需要加入各种信息共享论坛,包括公共或私有社团、政府知识库(repository)、商业网络威胁情报流以及诸如公开网站、博客与数据流之类的公开源。

通过提供额外上下文、修订或建议优化措施设法丰富指标。

组织应尽可能编制元数据,为每个指标提供上下文,描述指标应如何使用、理解,以及它与其他指标的关系。此外,共享流程应包括指标发布、指标与相关元数据更新、错误或无意误共享的信息撤回机制。这样的反馈对于社团内部共享指标的丰富、成熟与质量提升发挥着重要的作用。

利用自动化安全机制发布、使用、分析与响应网络威胁信息。

使用标准化数据格式与传输协议共享网络威胁信息可简化威胁信息处理的自动化过程。使用自动化手段,可减少人为干预,快速共享、转换、丰富与分析网络威胁信息。

主动制定网络威胁共享协议。

组织应提前规划,在安全事件发生前制定共享协议,而不是在网络安全事件发生时才仓促草就。提前规划可确保参与组织明白其角色、职责与信息处理要求。

保护敏感网络威胁信息的安全与隐私。

在处理网络威胁信息时可能会涉及个人验证信息(PII)、知识产权及商业秘密等敏感信息。这些信息若不当披露则会导致经济损失,违反法律、法规、合同,引起法律诉讼,或损害组织声誉。因此,组织应实施必要的安全与隐私控制措施及操作规程以保护信息不被非法泄露或修改。

持续支持信息共享活动。

每个组织都应制定信息共享计划,为持续的基础设施维护与用户支持做准备。计划内容应包括如何收集、分析内外部威胁信息以及在制定与部署防护措施时如何使用这些信息,方法应具有可持续性,以保证资源充分,能满足收集、存储、分析与传播网络威胁信息的需要。

计算机系统技术报告

美国国家标准与技术研究院(NIST)信息技术实验室(ITL)为美国的测量和标准基础架构提供技术领导,促进美国经济与公共福利。ITL负责开发测试项目、制定测试方法,并提供参考数据、概念验证实现和技术分析来推动信息技术的发展和生产应用。ITL的职责包括制定管理、行政、技术及物理方面的标准和指南,实现经济高效的安全,并保护联邦信息系统中非国家安全相关信息的隐私。SP 800系列文件聚焦于ITL在信息系统安全方面的研究、指导和外展活动以及联合业界、政府和各学术机构开展的协作活动。

《网络威胁信息共享指南》文档信息

  • 原文名称:Guide to Cyber Threat Information Sharing
  • 原文作者:Chris Johnson, Lee Badger, David Waltermire, Julie Snyder, Clem Skorupka
  • 原文发布日期:2016年4月
  • 原文发布组织:美国国家标准与技术研究院  美国商务部
  • 译者及校对者:小蜜蜂公益翻译组

免责声明

本文原文来自于互联网的公共方式,由“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。

更多内容,请下载附件:Guide to Cyber Threat Information Sharing

如果您需要了解更多内容,可以
加入QQ群:486207500、570982169
直接询问:010-68438880-8669

 

Spread the word. Share this post!

Meet The Author

Leave Comment