威胁情报共享之野望

2021年的RSAC大会上，网络威胁联盟（CTA，Cyber Threat Alliance）分享了《错误的假设：为什么情报共享失败》的议题，讨论了美国情报分享业务开展多年，但是到目前威胁情报共享依旧挫折不断，CTA认为在情报共享中一直存在三个错误的假设[1]：

（1）认为威胁信息就是技术型的数据，如文件Hash、IP信誉等内容，其实还包括战术、操作、战略情报的内容；

（2）认为所有组织都应该共享技术型数据，而事实是很多企业没有情报分析和生产的能力，彼此之间的情报共享价值很不确认；

（3）认为建立共享通道后情报共享就很容易，而实际情况是获取共享情报后依旧需要投入信任、金钱、时间和关注力。

美国的情报共享机制开展了很多年，为应对定向攻击/APT攻击，早在2015年，美国政府层面就成立了由国家情总监办公室管辖的CTIIC网络威胁与情报整合中心[2]，补充国土安全部下属的NCCIC网络安全和通信整合中心的整合推动能力，负责分析和整合国土安全部、联邦调查局、中央情报局、国家安全局等部门收集到的网络威胁信息。

美国还建立了多个跨行业的信息共享中心（ISACs），以促进私营行业与关键技术设施部门之间实施共享威胁情报，截止到2021年3月，美国已成立26家信息共享中心[1]。

由Check Point、Cisco、Fortinet、Paloalto等安全厂商牵头共建的独立非盈利会员组织 -- 网络威胁联盟CTA，致力于在公司和组织之间实现实时、高质量的网络威胁信息共享，并与计算机应急响应小组CERT、信息共享和分析组织ISAC、非盈利组织建立合作伙伴关系，目前拥有33个企业成员[3]。

另外，在美国安全企业之间，还存在通过社区合作来进行情报共享的情况，社区中企业在规模和业务方面存在较大的差异，期望通过情报共享能够有效地推动能力互补[4]。

而国内也设立了一些威胁情报共享的组织和平台，包括由中国科学院信息工程研究所牵头、联合国内11家单位共建的国家威胁情报共享平台CNTIC，以及旨在以安全威胁情报为核心、打造平等互惠的新生态圈模式的烽火台安全威胁情报联盟等组织，都在尝试推动国内的威胁情报共享工作。但目前看来，这威胁情报共享工作进展依旧不通畅。

从理论层面，TAXII威胁情报交换规范中定义了三类共享机制：P2P共享模式、单向订阅模式、Hub共享模式，这三类情报共享机制几乎覆盖了所有的情报共享场景[5]。

既然理论的共享机制相对完善，而现实情况下整个共享过程却不通畅，在笔者看来，主要是共享场景和共享内容方面的问题。

在共享场景方面，目前主要是IOC Feeds的共享和下发，对于参与共享的安全厂商而言，我共享的是我的核心IOC数据，但是获取到的IOC Feeds信息的准确性和及时性，却难以判断，甚至是没有用的，导致参与共享的厂商都认为自己共享的多，获得的收益少，进而陷入恶性循环。这是因为，对于安全厂商生产的IOC，本质上是基于自身业务在网络环境中的观测，结合自身的安全检测和分析能力进行生产和沉淀的，自己认为是“高价值的”；但是不同厂商在整个网络环境中的观测都是片面的、重合度少的，A厂商基于自己业务观测和分析生产出来的“高价值”IOC情报，在B厂商看来是“难以确认的”，并不敢直接用于自身的安全检测和阻断业务中，最多只是当作另一类“观测数据”，需要进行二次分析和确认才能进行使用。这导致在A厂商和B厂商看来，都是“不值当的”。更别说个别安全厂商为了避免自身的威胁情报被二次使用和出售，故意在情报数据中参杂了一些“标记假数据”。

而在共享内容方面，目前共享的内容以IOC情报、样本为主，缺失攻击相关的上下文信息，对于参与威胁情报共享成员，看到的共享情报信息都是知其然但不知其所以然，并且目前尚缺乏中立的威胁情报质量的评估机构和较准确的评估体系，就更不敢在产品中直接使用共享的威胁情报了。

针对这种情况，笔者在情报共享场景和共享内容方面，提出的一些意见如下：

首先是情报共享场景，笔者认为，情报共享困难本质上是由于不同安全厂商部署的安全设备，所观测到的网络攻击和威胁是不一样的，都是互联网中的一个角落，彼此观测到的数据都不一样，共享过来的内容就更加难以信任了，A厂商观测到某IP发动的是DDoS攻击，B厂商看到的某IP实施SQL注入攻击，可能两家厂商的观测都是准确的，但是很难说服两家厂商信任彼此的情报内容，因为缺乏相同的观测数据。这种情况下，索性就对不同厂商的观测能力进行开放和共享，将观测到的结果和上下文分发共享到有需求的厂商。

不同部门和厂商都有网络数据观测的需求，可能是用于攻击组织追踪，也可能是对可疑的观测数据进行判断和评估，这时，该部门只需要将观测数据需求提交给共享中心，由共享中心将观测需求的任务下发到接入的成员单位，成员单位则基于自身构建的SOC进行观测，将原始的观测结果进行匿名化、隐私化、统计化处理后，返回给观测需求的提出部门，根据更多的观测结果，提交需求的厂商就可以对观测数据进行进一步的判断和评估。

其次，在情报共享的内容方面，建议将原先IOC情报维度的情报共享，换成攻击事件维度共享，IOC情报在实际的应用中需要结合实际场景和上下文开展检测或阻断服务，泛泛的IOC情报指标共享由于准确度、上下文的因素，使用起来存在较大的不确定性。这时，针对安全事件的线索收集、分析、判断、处置建议等信息的共享，内容更加丰富和饱满。在STIX2.1中围绕威胁信息的表达，较完备的定义了威胁相关的18个元素，通过这18个元素详情和元素之间的关联关系，可以较完备的描述一个安全事件。

典型的，在某次安全事件的分析过程中，关注的内容主要包括：

（1）攻击战役信息，即攻击事件背景描述；

（2）攻击模式信息，攻击者使用到的攻击手法；

（3）分析和追溯到的攻击者信息和身份信息，如攻击者的ID、QQ号、邮箱、手机号等；

（4）基础设施信息，攻击者攻陷或利用的IP、域名等；

（5）位置信息，攻击者和被攻击者的位置；

（6）恶意样本，攻击者使用的恶意样本；

（7）恶意软件分析信息，即恶意软件动静态分析信息的打包，包括IDA和OD等；

（8）分析报告信息，收集关于攻击的其他分析报告，可以不断补充；

（9）工具，攻击者攻击过程中使用的工具软件、Payload等；

（10）脆弱性信息，攻击者使用的漏洞分析信息、PoC等；

（11）可观测数据，包括攻击过程中收集到的IP、域名、Hash、URL、加密钱包、互斥体、注册表键值、邮箱、邮件信息、目录名、AS、MAC、网络流量、进程、用户账户、证书等内

容；

（12）攻击指标信息，攻击过程中可以用于检测和阻断的攻击指标，包括IP、域名、Hash、URL、YARA、IPS、Sigma、Playbook、分析规则等内容；

（13）应对措施信息，针对此次攻击，相应的响应处置和缓解措施；

（14）意见，即不同的分析人员在对事件分析过程中，根据自身经验补充的判断。

通过对该次安全事件的较完整上下文信息进行共享，成员均可以拿到丰富的事件信息进行分析和补充，再进行二次共享，参与共享的安全厂商就能获得更多的“增益”情报信息。

当然，情报共享过程中的激励机制和计费机制，也是需要重点考虑的，但是笔者认为这并不是制约当前情报共享困境的核心问题，在此就不讨论了。

参考资料

[1] 360政企安全，直击RSAC 2021丨从“向前防御”探究情报共享必要性，https://mp.weixin.qq.com/s/WoFekjTMfszeGQkbaHHhqQ

[2] 金湘宇，网络安全情报体系介绍

[3] Cyber Threat Alliance，https://cyberthreatalliance.org/

[4] Aviram Zrahia，Threat intelligence sharing between cybersecurity vendors: Network, dyadic, and agent views，Journal of Cybersecurity.

[5] The Trusted Automated eXchange of Indicator Information (TAXII™) ，https://taxiiproject.github.io/getting-started/whitepaper/

最后，小小的吸粉一波，关注公众号获取笔者持续更新的文章和搜集整理的相关资料，欢迎随时交流和讨论！

本文始发于微信公众号（小强说）：威胁情报共享之野望