随着网络信息技术快速发展,网络威胁演变迅猛,促使人们必须寻求更有效、更主动的网络威胁检测和防御方法。在这种背景下,网络威胁情报得到了迅速普及,为大多数企业提供了有效的安全解决方案,并形成了多元异构的网络威胁情报生态系统。在这个生态系统中,情报的交换共享成为基本需求,由此产生了众多的网络威胁情报标准。基于对网络威胁情报的理解,梳理了主流网络威胁情报标准,对结构化威胁信息表达、情报信息的可信自动化交换、事件对象描述和交换格式等主流标准进行比较分析,希望能为网络威胁情报生产者在构建威胁情报平台时,选择合适的网络威胁情报标准提供一种思路。
内容目录:
当前,网络空间规模的迅猛扩张,网络空间应用的日益普及,各式各样的网络攻击事件层出不穷,信息泄露、数据丢失、网络滥用、身份冒用、非法入侵等安全威胁充斥网络空间,网络安全形势空前严峻。尤其是以高级持续性威胁(Advanced Persistent Threat,APT)为代表的新型威胁不断涌现,网络攻击手段更具复杂性和针对性,大大提高了网络威胁检测和防御的成本。网络空间威胁的演变,推动了网络安全防护模式的改变,人们必须寻求更加有效、更加主动的网络威胁检测和防御方法,才能满足网络空间安全的需要。
在此背景下,网络威胁情报(Cyber Threat Intelligence,CTI)得到了迅速普及,已经成为大多数企业有效的安全解决方案。任何可用于识别、描述或协助应对网络威胁的有价值信息被称为网络威胁信息,对这类信息的分析产生了CTI。随着 CTI 的应用推广,形成了 CTI 生态链,情报生产者、情报传递者、情报使用者通过良性互动,构成一个自我运转、自我循环和自我提升的有机整体。在这个生态链中,情报的交换共享成为基本需求,其基础是要保证数据具有互操作性,由此产生了对 CTI 标准的需求。
CTI 生产环境是一个多元的生态系统,其中流转的数据具有异构性。为保证数据的互操作性,使其在不同系统之间兼容,业界在数据标准化方面已经做了大量的工作。国外,结构化威胁信息表 达 式(Structured Threat Information eXpression,STIX)和情报信息的可信自动化交换(TrustedAutomated Exchange of Intelligence Information,TAXII)是 CTI 的两大龙头标准,得到了 IBM、思科、戴尔以及大批安全企业的青睐。国内,2018 年国家发布的 GB/T 36643—2018《信息安全技术 网络安全威胁信息格式规范》国家标准,是 CTI 标准的主要依据。其他较有影响力的威胁情报标准还包括:事件对象描述和交换格式(Incident Object Description and Exchange Format,IODEF)、 通 用 情 报 框 架(Collective Intelligence Framework, CIF)、开放威胁指标(Open Indicatorof Compromise,OpenIOC)、网络可观察表达式(Cyber Observable eXpression,CybOX) 和事件记录与事故共享词汇(Vocabulary for Event Recording and Incident Sharing,VERIS)等。
本文基于对 CTI 的理解,梳理了主流 CTI标准,对 STIX、TAXII、IODEF 等主流标准进行了比较分析,希望能为 CTI 生产者在构建威胁情报工具、平台及系统时,对 CTI 标准的应用选择提供一种思路。
自 2013 年 Gartner 首次对威胁情报进行定义后,威胁情报逐渐成为网络安全的热点领域之一,于 2015 年进入中国市场。政府、企业对 CTI 的重视程度不断提高,积极推动以 CTI 共享为基础的网络安全监测预警体系构建,企业各方围绕威胁情报技术及商业模式开展探索。本章围绕 CTI概念、重要性和生产周期等问题进行阐述。
CTI 是威胁情报中的一种。根据 Gartner 对威胁情报的定义,“威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临的、已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应处理决策提供信息支持”。可以把 CTI 简单理解为:与计算机、网络和信息技术相关的威胁情报,使安全防护者在数据支持下能够做出更快速、更明智的安全决策,在对抗网络威胁 时化“被动”为“主动”。CTI 有 3 个关键特征:第一,它不仅是数据,而且是经过分析的信息;第二,具有可操作性,可以指导网络安全风险分析、应急响应、网络系统安全配置等实践活动;第三,CTI 可以是战略或战术层面的,战略层面是指可获得对手动机等深层情报,战术层面是指可获得技术、手段、路径等浅层情报,如 IP 地址、域名、统一资源定 位 系 统(Uniform Resource Locator,URL)、文件哈希值等。
在网络威胁日益猖獗的今天,越来越多的企业认识到 CTI 的价值,并逐渐加大这方面的支出力度。但大多数企业或机构主要限于操作层面的威胁情报利用,即战术层面 CTI,例如将威胁情报与入侵防御系统、防火墙、安全网关、安全信息和事件管理系统(Security Information and Event Management,SIEM)的配置策略进行关联,这并未充分发挥 CTI 更深层次的价值,即战略层面价值。
CTI 战略层面价值主要体现在(不仅限于):一是预测可能遭受的网络攻击行为,使安全团队预先做出决策;二是通过揭示网络攻击者的攻击动机、战术、技术、流程,赋予网络安全相关方相应权力;三是帮助安全专业人员更好地分析威胁方的动机,理清攻击事件后的威胁逻辑;四是影响企业管理者投资决策,降低系统安全风险。
通常来说,可以将情报的生产周期划分为收集数据、处理数据(数据转化信息)、 分析信息(信息产生情报)3 个阶段。CTI 在满足及时性、准确性和相关性的情报普适性要求的基础上,还需要满足可操作性要求(用于指导网络安全实践),如图 1 所示,在情报生产周期基础上,CTI 生产周期增加了传播和利用两个阶段。
收集阶段:根据既定需求,CTI 分析团队收集数据,数据来源包括流量日志、公开可用的数据源、相关论坛、社交媒体、行业或领域专家等。收集阶段是 CTI 生产的开端,需要在充分了解用户需求以及上下文语境的前提下进行。此阶段未经处理和分析的数据不是情报,而是生产情报的基本材料。
处理阶段:将原始数据处理成适合分析的格式,例如,将数据结构化为电子表格、解密文件等,同时评估数据的相关性和可靠性。这一阶段,数据经过处理和分析生成结构化信息,具备了可查找特性,成为信息。
分析阶段:CTI 分析团队根据信息产生情报,并为用户提供有价值的建议,可与用户安全防护系统的防御机制集成联动,支撑用户制定新的防护策略。
利用 / 传播阶段:进入利用阶段还是传播阶段,取决于是否到达最终用户。利用阶段是指情报到达最终用户,用户根据 CTI 报告,确定是否需要调整网络安全防护措施及策略;传播阶段是指同一组织或不同组织间共享和传播 CTI的过程。
可以将 CTI 生态系统简单划分为生产者(包括 CTI 传递者)和消费者。CTI 生产者汇集和接收网络威胁信息,经过处理、分析、编排后形成情报并发布,包括专业的威胁情报分析机构、情报服务机构等,是收集、处理、分析、传播阶段的行为主体。CTI 消费者在获取情报后,及时调整安全策略、降低安全风险、实现情报价值,是利用阶段的行为主体。
标准在 CTI 生产过程中发挥了重要作用,是 CTI 生产者构建 CTI 平台的基础。对收集到的数据进行自动化处理,需要依据标准对数据进行格式化,并利用通用语言进行描述。对 CTI进行传播,需要基于统一的数据格式,同时隐式地定义数据元素的信息密度需求。
目前,主要的 CTI 标准已经超过 20 种,共享交换标准是 CTI 标准的主要类别,如 STIX、TAXII、IODEF、VERIS 等。为便于对主流 CTI 标准的适用性进行研究,首先对相关标准进行梳理。
MITRE 公司作为一家对全球网络空间安全发挥重大影响力的非营利机构,制定了 STIX、TAXII、CybOX 等一系列标准。最初 CybOX 和STIX 标准通常一起使用,但随着 CybOX 被集成到 STIX 2.0 中,已经成为 STIX 标准的一部分,因此 CybOX 不再是独立的 CTI 标准。TAXII 是为保障 STIX 传输而专门设计的标准。
(1)STIX。STIX 用于在 CTI 环境中捕获、指定、描述和交换信息。STIX 1.0 于 2013 年 4 月发布,定义了网络威胁分析、威胁特征分类、应急响应、威胁信息共享 4 种场景下的信息结构化表示。STIX 1.0 基于可扩展标记语言(eXtensible Markup Language,XML)构建了 8 个主要构件,包括可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施。STIX 2.0 基于 JSON 语言开发,目前由 12 个对象组成。STIX 的整体架构设计使它能够以全面的、标准化和结构化的方式呈现信息,可以直接与威胁情报上下文中的其他语言进行集成。(2)TAXII。TAXII 用 于 跨 产 品、 服 务和组织边界来共享网络威胁信息。TAXII 使用XML 和 超 文 本 传 输 协 议(Hyper Text Transfer Protocol,HTTP)进行消息内容的传输,允许自定义格式和协议,设置了机密性、完整性和属性的标准机制。TAXII 是 STIX 结构化威胁信息的传输工具,但与 STIX 是两个相互独立的标准,TAXII 也可用于传输非 STIX 数据。(3)CybOX。CybOX 设计的目的是使诸如CTI 等安全信息的自动化共享成为可能,提供了70 多个对象来达成这一目标。这些对象可用于定义可测量的事件或有状态属性,例如文件、HTTP会话、互斥锁、网络连接、网络流和 X509 证书等,既可以是动态数据流,也可以是静态的数字资产。目前,CybOX 已经被集成到 STIX 2.0 中。
轻 量 级 交 换 托 管 事 件(Managed IncidentLightweight Exchange,MILE)是国际互联网工程任务组下设的一个标准工作组,专注于数据格式和传输协议。MILE 工作组定义了 CTI 的一揽子标准,包括 IODEF、结构化网络安全信息(IODEF for Structured Cyber Security Information,IODEF SCI)、实时网络防御(Real-time Inter-network Defense,RID)等。如同 MITRE 的 TAXII,RID标准是为了 IODEF 的传输而设计的。
(1)IODEF。IODEF 由 RFC 5070 定义,是一个基于 XML 的标准,用于计算机安全事件响应小组共享事件信息。IODEF 定义了超过 30 个事件数据类 / 子类,涵盖信息包括关联、时间、操作系统和应用程序等,同时定义了数据处理标签,如灵敏度和置信度。(2)IODEF-SCI。IODEF-SCI 是 IODEF 的扩展标准,增加了对附加信息的支持,包括攻击模式、平台信息、漏洞、弱点、对策指令、计算机事件日志和严重性。IODEF-SCI 通过在IODEF 文档中嵌入现有标准来支持附加信息。(3)RID。RID 也是在 IODEF 基础上构建的 CTI 通信标准。根据 RFC 6545 定义,RID 是基于共享事件处理数据的主动型网络间通信方法,包括请求、确认、响应、报告和查询 5 种消息类型。RID 标准包括一个策略类,它允许根据与共享方的关系应用不同的策略。
OpenIOC 是由 Mandiant 公司引入,已作为开放标准发布。OpenIOC 是一个情报共享规范,定义了超过 500 个技术术语,大多数术语以主机为中心,标题以文件、驱动程序、磁盘、系统、进程或注册表为开头。威胁指示(Indicator of Compromise,IOC)可以使用布尔逻辑来定义一个特定的恶意软件样本或家族,用于查找不应该存在的项以及验证预期的项,例如,运行中的服务通常是有签名的动态链接库(Dynamic Link Library,DLL)文件,但如果发现有一个DLL 文件没有有效的签名,则可能是一个 IOC。
VERIS 框架提供了定义和共享事件信息的标准方法。使用 VERIS 框架,相关组织可以以标准格式和词汇表提供数据,然后可以合并这些数据,并将其组合为更大的数据集便于分析和报告。VERIS 旨在提供一种通用语言,以结构化和可重复方式描述安全事件。
为向 CTI 生产者在构建威胁情报工具、平台及系统时选择合适的 CTI 标准提供思路,给出了选择 CTI 标准的主要考量因素,在研究、参考相关文献后 [6-8],对 CTI 标准在不同场景下的适用性进行了比较分析。
CTI 生产者选择以何种标准构建 CTI 工具、平台及系统,可从两个维度出发,一是考虑 CTI标准设计架构是否与威胁分析任务相匹配;二是考虑 CTI 标准是否满足情报生产各阶段的侧重点需求。如表 1 所示,列出了评价 CTI 标准应用适用性的主要考量因素。
从体系架构维度来看,CTI 标准要能够完整、清晰地对威胁场景进行表征,至少覆盖 4 个要素。一是威胁,即 CTI 主题,是对威胁场景的整体概括。二是事件,即与主题相关的实例,包括网络攻击事件、信息泄露事件、内容安全事件等。三是威胁者,是对威胁主体及其行为、动机的描述,威胁主体包括发起威胁事件的组织或个人。四是防护,是对防护主体及其行为、动机的描述。从情报生产周期来看,CTI 标准应符合各阶段不同的特性需求。在收集阶段,以通用格式提供数据。在处理阶段,结构化格式和机器可读性是必不可少的。在分析阶段,一方面,不仅需要以确定的数据模型来执行相关性并对信息进行分类,还需要有表征相关性的关联机制;另一方面,为使信息具有可访问性,对格式、系统和平台之间的互操作性要求高。在利用 / 传播阶段,需要健全的情报传输和交换机制进行保障。
从体系架构方面来看,STIX 标准对威胁场景能够进行最全面的表征。表 1 中所指的 4 个要素能够通过 STIX 2.0 所定义的 12 个域对象和 2 种关系对象进行充分表征。虽然 IODEF 和OpenIOC 在体系结构方面相对完善,但对防护机制、威胁动机的表征方面存在缺陷。
从生产周期方面来看,STIX 标准更加满足不同生产阶段的特性需求。在收集及处理阶段,STIX 2.0 基于 JSON 语言提供了一种通用的结构化格式,兼顾了低开销和机器可读性。在分析阶段,STIX 2.0 对 12 个对象进行了清晰描述和文档化处理,同时提供了具有明确关联关系的数据模型。在传播 / 利用阶段,在 TAXII 标准的支持下,STIX 2.0 能够进行可靠传输。IODEF和 OpenIOC 基于 XML 语言,同样提供了一种通用的、具有机器可读性的结构化格式。在不考虑 XML 语言与 JSON 语言差异化的前提下,在关联关系表征机制、互操作性方面,IODEF 和OpenIOC 不如 STIX 表现优秀。
另外,从目前 CTI 标准实际应用情况来看,STIX 最具广泛性,被大多数 CTI 平台和工具支持,也被大多数组织使用,已经成为 CTI 生态系统中处于主导地位的事实标准。
归根到底,CTI 生产者对标准的选择,取决于威胁情报分析任务、合作对象以及 CTI 消费者的特定需求。如果某一个 CTI 生产者主要目的是共享事件数据,VERIS 可能是最佳选项;如果在某个 CTI 组织内部已经使用支持 OpenIOC的工具,采取 OpenIOC 肯定是最优选择;如果某 CTI 组织的情报分析主体只需具有普适性的行业标准,MITRE 系列标准和 MILE 标准都可列入选项。甚至在许多情况下,还可能包括多个适合标准。
为了实现更加强大的网络威胁检测和防护能力,绝大多数企业和组织需要寻求 CTI 支持,成为 CTI 消费者。而 CTI 生产者为 CTI 消费者提供服务,需要构建 CTI 平台、开发 CTI 工具,因此需要统一的标准来提供自动化、可共享和可靠的信息交换。在主流的 CTI 标准中,由 MITRE开发的 STIX 标准(与 TAXII 相结合),被认为是最全面和最适用的标准。有必要在 STIX 标准的基础上进一步深化应用,以建立更加广泛的CTI 生态。
引用格式:张玲 . 对主流网络威胁情报标准应用的比较研究 [J]. 信息安全与通信保密 ,2022(7):25-32.
张 玲(1975—),女,硕士,高级工程师,主要研究方向为网络安全。
选自《信息安全与通信保密》2022年第6期(为便于排版,已省去参考文献)
原文始发于微信公众号(信息安全与通信保密杂志社):对主流网络威胁情报标准应用的比较研究
评论