网络安全威胁信息共享的基石｜威胁情报标准

近期，各行业在践行威胁情报产品赋能时，奇安信威胁情报中心参与了较多威胁情报标准制定相关工作，经过多番了解与沟通，总结该需求情况，汇总并分享威胁情报标准现阶段发展内容与目标。

首先，我们明确威胁情报标准的定义：即给出一种结构化方法，描述网络安全威胁信息，旨在实现各组织间网络安全威胁信息的共享和应用。

大数据时代，网络世界每时每刻都产生海量的数据，这些数据虽然具备隐形关联的特性，但是非常零散，且碎片化。大数据技术与人工智能的发展很好的将安全数据自动化关联，形成威胁信息。由此可见，统一的威胁情报标准便成为了机器交换威胁信息最好的“沟通语言”，它使机器在威胁信息范式、交换格式、共享内容等方面达成共识。

随着攻击者频繁得逞，恶意攻击造成大面积损失的事件越来越多，但其实被报道出来的都只是冰山一角，更多的还藏在“水面下”，甚至很多APT攻击早已入侵目标，并潜伏多年都未被发现。作为信息安全从业者，需要从防御方的角度考虑如何进行反击。

在全国乃至全球范围内，因为生产网络威胁情报的组织单凭一己之力无法获取到足够多的相关信息，感知威胁存在着局限性。于是，威胁情报共享的概念被提出，并在国外被广泛采纳。据实践证明，标准能自动化处理威胁信息，减少沟通中的误解，大大提升安全研究人员共享威胁情报的效率和准确率。

通过威胁情报标准将不同组织所拥有的情报信息汇聚起来，实现组织间的情报共享，可以有效地提高网络空间的安全防御能力，打破组织数据单一、信息不全的僵局，这一“语言”的发布也标志着行业进入情报共享的新时代。

在威胁情报信息共享方面，美国发展迅速，MITRE（美国政府赞助的一个非盈利研发机构，向美国政府提供系统工程、研究开发和信息技术支持）提出了众多威胁情报共享、交换标准，如：STIX、TAXII、CybOX、MAEC、OVAL、CAPEC等一系列主流标准。

这里挑几个简单阐述下各自区别与使用场景。

CybOX描述所有可以从计算系统和操作上观察到的内容，比如IP地址。这种可观察对象由于具有某个特定值，通常作为判断威胁是否存在的指标，如：IP地址通常作为判断恶意企图的指标。

因此，CybOX大多用于描述威胁的词汇。

STIX基于XML/JSON的语法，指定各个实体中包含的数据项的格式，描述威胁情报多方面的特征，如：攻击模式、攻击活动、行动方针等。同时，STIX支持使用CybOX格式去描述威胁内容。

因此，STIX大多用作威胁情报描述。

TAXII定义了交换协议，提供多种共享模型。包括hub-and-spoke，peer-to-peer，subscription，在提供安全传输的同时，无需考虑拓扑结构、信任问题、授权管理等策略，支持多种格式传输数据。

因此，TAXII大多用来传输数据。

相比之下，国内的威胁情报体系起步较晚，进入市场缓慢。

2018年，我国的威胁信息标准（GB/T 36643-2018 网络安全威胁信息格式规范）才正式发布，该标准定义了一个通用的网络安全威胁信息模型，从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施八个组件进行描述。国标的发布意味着我国网络安全领域又向标准化、规范化前进了一步。

然而早在国标发布之前，各大安全厂商已经使用主流标准或自定义的标准描述、使用威胁情报，所采用的标准都与国标有着不同程度的差异。且经过多年的使用和积累，修改、映射字段需要耗费大量的资源，如人力、物力、财力等。因此，若无足够的项目金额支撑，是不会轻易做出改变的。

除此之外，国内安全厂商将各自拥有的情报数据商业化，介于各厂商在威胁情报领域的水平层次良莠不齐，不同质量的威胁情报体现了科研水平与专业能力的高低，也是商业情报数据的核心卖点。

标准的统一意味着需要与合作伙伴或团体进行网络威胁信息共享，共享的结果必然会导致厂商的商业利益优势不突出。因此，在国内要构建情报共享的生态环境是个较高难度的挑战。

基于上述原因，安全厂商报送的情报信息格式多样，导致用户在购买后无法统一消费，产生很大的困扰。

在该背景的驱使下，围绕着威胁情报标准制定的需求又一次成为国内业界的热潮。现阶段，用户通过将威胁情报信息的获取、封装与消费的项目成果融合成规范，形成标准并发布，以此推动自身体系内威胁情报共享的发展。

于是，各行各业纷纷召集知名安全厂商，商讨、制定一套适用于自己的威胁情报标准，要求安全厂商后续严格按照标准格式来提供情报数据。

总结不同行业的前场需求反馈后发现，用户对威胁情报标准的制定有着比较大的差异，主要从以下几个点出发：

生产运营标准：该类标准要求基于威胁情报运营体系，研究威胁情报分类方法、组织流程、生命周期等。结合行业对威胁情报的运用情况与目标，定义出一份适用于某行业的威胁情报运营标准规范，如：通信行业的威胁情报运营标准规范。

建模通用标准：该类标准类似于国标，采用模型或框架的方式，对内部所需的全部数据与信息进行标准制定，定义一个描述所有数据元素的通用本体，适用于体制化建设单位，如：某军方网络安全威胁信息标准。

业务层面标准：该类标准将业界已有的、完整的、通用的情报分类体系打乱，再结合自身业务，将零散的类别进行重组、划分与扩充。定义该类标准要求用户对情报的分类需求与业务有着强相关，适用于监管单位，如：公安网络安全威胁情报标准。

其实不论哪种需求类别，既然是制定标准，核心要素是尽可能全面，并具有行业或领域普适性。因此，第一个难点浮出水面，即标准涵盖情报类型是否齐全。“生产运营类标准”容易忽略事件情报、分析报告等人读类情报；“建模通用类标准”无法保证对象域、方法域等域内子集的枚举全；“业务层面类标准”是最难的，不仅需要非常专业的知识储备去应对零散的情报分类，还需要结合业务场景重新定义新的情报分类。

这里就自然而然的引出了第二个难点，即定义各类情报，明晰划分边界。国内威胁情报类别存在重合的现象是一种常态，甚至很多做情报的安全厂商及人员都并不清楚之间的细微区别，更没有在标准上进行深究。因此，要解决第二个难点须通过多人、多组织经过多轮的沟通与磨合，才能勉强达成一致。

在分类完成之后，还需要对情报所覆盖字段枚举并说明。我们都知道，安全是动态的，某个阶段的枚举只能说明符合现阶段的需求。随着科技的进步与发展，一定有扩展字段集合的需求，第三个难点在这里就体现出来，即定义字段集合的可扩展性。在标准制定时提前预判后续可扩展字段集合的命名方式及定义，并对机器处理扩展字段的性能有着非常高的要求，这涉及到深层技术，在本文就不多说了。

从上面我们可以看到在制定标准时有着非常多的阻碍，疑点多、难度大，但开放共享的安全威胁情报生态是信息安全行业发展的必然趋势。并且我们坚信，有标准制定的需求，就伴随着情报产品的需求。即使前期的投入巨大，也许短期内看不到明显的效益，但对于推动未来生态的发展，有着不可估量的意义。

奇安信威胁情报中心致力于降低行业威胁情报利用门槛、提升威胁情报使用效果以及体现客户侧的威胁情报价值，进而在整体上提升国内安全防护水位。

目前，CEATI联盟共有10家成员单位，联盟成员公司能力涵盖情报运营、APT跟踪、样本对抗、Web安全、数据安全、大数据分析、云安全、等保合规、安全硬件等多项关键技术。部分成员信息如下：

奇安信：成立于2014年，专注于网络空间安全市场，向政府、企业用户提供新一代企业级网络安全产品和服务。凭借持续的研发创新和以实战攻防为核心的安全能力，已发展成为国内领先的基于大数据、人工智能和安全运营技术的网络安全供应商。同时，奇安信是2022年冬奥会和冬残奥会网络安全服务与杀毒软件的官方赞助商。此外，公司已在印度尼西亚、新加坡、加拿大、中国香港等国家和地区开展网络安全业务。

盘古团队：因连续多次发布iOS完美越狱工具而闻名，是国内首个自主实现苹果iOS完美越狱的团队，团队成员兼具高水平学术理论研究和丰富的工业研发能力，在主流操作系统和重要应用程序中曾发现过数百个0day安全漏洞，研究成果多次发表在极具影响力的工业安全峰会和顶级学术会议上。

官网地址：https://www.ceati.org.cn

联系邮箱：[email protected]