【公益译文】使用STIX规范网络威胁情报信息

对组织来说,获得网络威胁情报能力越来越必要,而成功获取该等能力的关键要素是与合作伙伴、友商及所信任的其他人进行信息共享。网络威胁情报和信息共享可帮助组织聚焦庞杂的网络安全信息,并对数据的使用进行优先级排序,组织要处理此类信息,就必然需要标准化的、结构化的信息表达。

STIX指“结构化威胁信息表达”,是由多人群策群力共同定义、开发的描述结构化威胁信息的标准化语言,目前处于快速演进中。STIX语言用以描述各种网络威胁信息,表达准确、灵活,具有可扩展性,可自动化,并易于理解。虽然是个较新的标准,且处于发展阶段,全球许多网络威胁相关组织及群体正积极采用或考虑采用STIX。欢迎各方人士通过STIX网站、Email讨论清单及其他合作论坛踊跃加入这个开放、合作的群体,一起推动STIX的发展。

何为STIX

STIX是所有相关各方共同开发的语言,用以规范、获取、表征、交流标准化的网络威胁信息。STIX采用结构化的方式,为更有效的网络威胁管理流程和应用自动化提供支撑。

各种概要网络安全用例多依赖下述信息活动:

  • 分析网络威胁;
  • 明确网络威胁的指标特征;
  • 管理网络威胁响应活动;
  • 共享网络威胁信息。

发展历史

STIX最初源于针对开发网络威胁指标表达标准的讨论,参与讨论者为IDXWG邮件名单上的安全运营及网络威胁情报专家,这份名单由美国计算机应急响应小组(US-CERT)与CERT.org在2010年拟定,以讨论网络安全事件的自动化数据交换问题。经过讨论,产生了粗略的结构化威胁信息架构图。该架构图的初始用途是厘清结构化网络威胁指标应包含的信息类型以及其他相关架构中应定义的信息类型,它划定了大致范围,这样便可以对其进行初步裁剪,形成结构化网络威胁指标表达。

随着网络威胁指标概念及初始架构的成熟,会有越来越多的人去充实结构化威胁信息架构的其他部分。完整STIX架构的XML Schema实现结合了网络威胁指标表达等元素,是上述讨论的成果,反映了动态发展、不断壮大的群体对开发STIX语言所做的持续努力。

现用方法

STIX是较新的概念,但是网络威胁信息共享,尤其是指标,却早有实践。当前,管理、交换的信息一般极为微细、多变,不够成熟与准确。而标准化结构只关注整个问题的单一方面,彼此独立或缺乏始终如一的灵活性。

许多现有的指标共享活动是人与人之间通过Web门户或加密电子邮件对于潜在指标非结构化或半结构化描述的交流。较新的趋势是机器之间对于适用已知攻击模型的相对简单的指标数据集的传递,例如,研究与教育网络信息共享与分析中心(REN-ISAC)的安全事件体系及其集体情报框架部件、华盛顿州的公共区域信息安全事件管理(PRISEM)、能源部的网络联合模型(CFM)以及CERT.FI与CERT.EE的AbuseHelper。

用例

STIX用以支持网络威胁管理中涉及的各种核心用例,下图是这些用例的极简概要图。

STIX针对的核心用例

网络威胁信息共享与梳理需要基于多人协作开发的标准,该标准应不断完善与细化。本文即为这一过程中产生的文档。STIX的形成得益于来自各行业、学术界与政府的组织与专家的反馈和积极参与,包括安全运营中心、CERT、网络威胁情报单位网络威胁信息的消费者与生产者、安全主管人员与决策人员以及大量活跃的信息共享群体,共享模型多种多样。HS-SEDI代表美国国土安全部,协调STIX工作,欢迎各方踊跃加入STIX社区。

  • 分析网络威胁

网络威胁分析师对各种手动、自动输入的网络威胁活动的结构化与非结构化信息进行评审,了解相关威胁的性质,对其进行识别和表征,这样,威胁的所有关联信息被充分描述并随时更新。这种关联信息包括威胁相关行动、行为、能力、意图、责任源起方等。

基于对这些信息的理解与特征归纳,分析师接下来可明确关联威胁指标特征,建议威胁响应活动中应采取哪些措施,并/或与其他可信方共享此等信息。例如,对于潜在的钓鱼攻击,网络威胁分析师会分析、评估可疑的钓鱼邮件,分析所有的邮件附件与链接以确定其是否为恶意,评估钓鱼攻击目标与内容的普遍性,确定恶意附件是否打开过或包含链接,同时对所有的分析进行记录。

免责声明

本文原文来自于互联网的公共方式,由“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。

更多内容,请下载附件:【公益译文】STIX白皮书20170103

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

Spread the word. Share this post!

Meet The Author

Leave Comment