基于区域的网络威胁信息有效共享

执行摘要

网络威胁信息共享交换从传统上来说，是基于行业部门背景的，无论是直接peer-to-peer交换，还是在基于部门的信息共享和分析中心（ISAC）。这通常是有效的，因为处在同一个行业的组织，倾向于使用相同的业务语言。他们往往有相似的业务线，有类似的数字资产，面对类似的网络威胁，并有类似的组织实践。然而，这种基于部门的分享机制，也面临不能有效分享的挑战。
“Verizon
2015数据泄露调查报告”（DBIR）提出“我们基于行业组织的信息共享的组织和行为的标准做法没有优化”，然后主张“跨行业组织，对各种类型的风险进行更周密分析和彻底的研究“。本报告针对这个主题，我们的建议是建立在两个已有的MITR研究项目，网络准备（Cyber Prep）与信息共享交换的双边分析（BLAISE），以及威胁分析和信息共享的经验证据。

我们方法是分析区域共享组织如何进行有效分享。区域信息共享组织，作为信息共享和分析组织（ISAO）的一个例子，为面对面协作提供了机会，并且从处理跨部门威胁中受益。然而，与基于部门（sector-based）相比，由于成员组织的多样性，区域组织（regional
groups）面临更多有效分享的挑战。来自不同行业的组织通常具有非常不同的运营模式，拥有非常不同的数字资产，面临不同类型的网络威胁，并有不同的组织实践。

本报告重点介绍基于区域的信息共享组织（regional
groups，以下简称“区域信息共享组织”）如何进行有效分享。其中的观点也可以帮助基于部门的分享机构。以这种方式，本报告旨在为两种网络威胁信息共享组织的管理人员和成员提供工具，管理其成员之间的多样性，最大限度地发挥多样性的好处，同时最大限度地减少由同一多样性引起的信息共享问题。为了实现这一点，我们应用两个MITR开发的框架。网络准备框架（The Cyber Prep Framework）提供了一种方法，描述组织在面对的威胁和所采用的防御态度方面的差异，包括运营实践、工具、优先级和成熟度。BLAISE方法描述了成功共享策略，并根据参与者的业务多样性，将交换策略应用于交换，特别是BLAISE提供了一种结构化的方法，以避免信息共享中的两个常见错误：首先是淡化社会障碍的影响，如不结盟目标和缺乏信任，第二，依靠自动化来克服这些障碍。

通过应用网络准备框架（The Cyber Prep Framework），我们定义和描述了三类成员组织，我们称之为准备组织（preparedness groups），这些组织通常代表着区域共享组织的典型：

• 破坏行为（Vandalism）：有互联网存在价值的成员，拥有抵御对手的能力，一般来说，这些对手试图扰乱或破坏组织，或者使用简单的攻击工具公开提供对手的消息。

• ·盗窃（Theft）：具有可以量化的数字资产的成员，并且抵御网络犯罪分子，这些网络犯罪分子有指挥和控制的能力，但只能利用已知的攻击窃取资产。

•  APT（高级持续威胁）：具有重要知识产权或特定任务的成员。这些成员有能力防御高级持续攻击。这些攻击者的动机是为了国家或工业间谍活动，并有能力开发和使用新的攻击。

 应用BLAISE，我们推荐三种方法在区域共享组织内来管理多样性的：

1。通过将会员专业化为单一准备组（破坏、盗窃或APT），限制其成员之间的多样性。这种方法有可能促进有意义结构性情报报告的共享，以增加成员之间的态势感知，并促进组织成熟度，以支持自动分享。

2.限制要分享的细节。避免尝试促进自动化分享或分享结构化情报报告。相反，促进各种会员之间的有效协作 – 提供人与人之间的沟通渠道，通过的面对面会议和桌面练习，提高会员之间的准备和信任。

3.第三个也是最雄心勃勃的做法是结合上述两种方法。将会员组织成分组，各组根据威胁来分类。然后，分别促进各组之间的威胁情报的定期、高度细致的分享。共享组织还可以通过提供沟通渠道以及通过准备和信任建设活动，包括面对面会议和桌面练习，促进准备小组之间的有效特定的协作。

 最后我们总结了潜在可行的三种准备组织的分享活动。

（一）概述

威胁和事件信息的共享已成为组织关键的网络安全实践。它使组织提高网络安全威胁的可见性和感知。这创造了更好的态势感知，反过来又促进了更为明智的风险决策。

网络安全威胁信息共享往往通过基于部门的。信息共享和分析中心（ISAC）是这种基于部门的信息共享组织之一。例如，航空ISAC（A-ISAC）和金融服务ISAC（FS-ISAC）。
这种组织-组织（sector-by-sector）的ISAC的优势在于促进组织之间的信息共享，这些组织往往具有类似的任务，类似的需求，面临类似的威胁。但是，并不是所有的ISAC成员都面临同样的威胁。此外，基于部门的共享，可以深度了解领域的特定威胁，但不能看到跨行业边界的趋势。

 最近几年出现了新一代网络安全威胁信息共享组织，以扩大和加强在部门组织中的共享。例如，美国国土安全部（DHS）一直在积极推动新的信息共享和分析组织（ISAO）的发展。特别是近来出现的基于区域（region-based）网络安全分享机构的方法是截然不同的。顾名思义，区域性共享组织首先是区域性的，定期进行面对面的会议和协作。此外，由于成员是以地理而不是业务部门为基础的，区域共享组织打破了以部门共享的一些体制障碍。特别是，可以促进成员之间的面对面交互，这可以产生信任。这促进了思想和方法的交叉利用，可以帮助克服基于部门的“群体思考”。区域分享机构的例子包括新英格兰地区高级网络安全中心（ACSC），大西洋中西部网络中心，洛矶山脉西部网络网络交换，和加州网络安全信息共享组织（CalCISO）。

参与组织之间的多样性是区域分享机构的重要资源和优势。然而，这种行业多样性可能会破坏信息共享。来自不同行业的组织往往有不同的业务流程，面临不同类型的威胁，因此，往往会有不同的网络安全实践。因此，为了在区域共享组织中获得多样性的好处，管理人员和成员需要以促进有效共享的方式来管理多样性。

管理层和区域分享组织成员面临的挑战是：如何有效地管理其成员之间的多样性，方式是：a）实现行业多样性的好处，而不是b）更多样化导致的沟通障碍？

本报告旨在为网络威胁信息共享组织的管理人员和成员提供工具，管理其成员之间的多样性，实现和维持更有效的网络安全威胁共享。另外，虽然我们把注意力放在区域共享组织上，同时，我们希望所描述的方法可以也能帮助部门共享机构管理其成员之间的多样性。我们通过应用两个MITR研发的框架
– 网络准备框架（the Cyber Prep
Framework）来实现这一目标，网络准备框架提供了一种描述区域性分享组织成员多样性的方法，信息共享工作双边分析（BLAISE）方法，为我们提供了基于参与者的多样性来优化信息共享的方法。

网络准备框架（Cyber
Prep
Framework）有两个核心观点。首先，不同的组织面临不同种类的网络威胁。一些主要需要防范网络犯罪分子，他们试图窃取可货币化的数字资产，而另一些则必须抵御求建立长期数字化间谍活动的民族国家攻击者。第二个见解是，组织的网络防御策略应该与组织面临的威胁类型相称。不同类型的威胁需要不同类型的准备组织（preparedness
groups）。网络准备框架中讨论了一整套的攻击者和防御者的网络安全管理程序。

 在第2章中，我们简要介绍了网络准备框架，该框架定义了五个网络准备类型。然后，我们根据区域分享工作的利益相关者的访谈提出了网络准备框架（Cyber
Prep），我们定义了三种准备组织（preparedness groups） – 破坏组、盗窃组和高级持久性威胁（APT）组。

在第3章中，我们将Cyber Prep直接应用于威胁信息共享。我们专注于区域共享组织中最流行的代表，即盗窃组和APT组，并确定相关防御者和攻击者的根本的不同。基于这些差异，我们确定了与网络威胁信息有关的动机和目标的几个差异。

在第4章中，我们简要介绍了MITRE的BLAISE方法，该方法可以帮助信息交换的设计者。
BLAISE定义了四种交换：自动机器级信息共享、结构化人类专家级信息共享，特定组织级协作，以及间接中介翻译。
BLAISE的核心观点是，自动化水平与可以共享的细节之间有一定的关系，可以支持信息交换，以及参与者之间的多样性。我们用这个来讨论信息共享的失败，以及实现成功的共享努力所需要的条件。

 在第5章中，我们将BLAISE信息共享见解应用于“网络准备框架”中提供的三个准备组，以提供区域分享组织中信息交流的建议。我们描述了构建成功的区域共享工作的三种基本方法：

 ·接受所有三个准备小组的成员，限制协作的交流。

·只接受来自盗窃组或APT组的成员，结构化共享，以最优化支持该组。

·接受所有三个小组的成员，同时为盗窃和APT小组提供单独的共享功能，同时为所有成员提供协作和中介翻译工作的支持。

 最后，我们将针对具有可行性和可持续性的三个组的信息公布和分享活动提出具体建议。在第6节中，我们提供了一个简短的结论性讨论，并讨论了未来工作的这种方法的对其他类型的共享的可能扩展。

最后，附录A描述了一组指标，组织可以使用这些指标来确定哪个准备组是描述组织关于威胁信息共享工作的最佳方式。

（二）网络准备和区域共享组织

建立可行和有效的信息共享的关键是确定组织类型，相似的操作实践的组织能够支持信息共享。虽然同一行业的大多数组织都可以有效地进行沟通，但其他部门的组织也可能具有足够的网络安全实践，能够有效地共享信息。为了实现促进有效的跨部门共享，区域共享组织的管理者和成员需要有方法来有效识别有效分享的潜在的组织。

MITRE的网络准备框架（Cyber Prep Framework）为我们提供了对组织进行分类的方法，基于网络防御策略相似性的方法，我们称之为组织的网络准备（cyber-preparedness）。

MITRE的网络准备框架声称，组织的过程和准备可以根据组织面临的威胁程度来理解。它描述了五个级别的威胁和五种对应的网络防御状态，如图1所示。

 MITRE的网络准备框架称，这些防御状态应与相应的威胁级别相匹配。企业的防御状态超过企业实际面临的威胁会造成财务负担，这也是一种业务风险。当然，有可能（并且更常见的）安全状态不足于抵御威胁。

 基于一系列访谈和定性研究，我们观察到参与区域共享的组织可以分为三个主要组，可以直接对应到网络准备框架的5个分类。虽然这些初步结果需要通过与参与网络威胁信息共享的组织的不断交互和进一步验证，但我们认为初步结果足够强大以保证分类正确性。

 第一组是破坏组织（Vandalism
group），它直接对应于框架中的网络破坏组织。该组织成员所面临的最大威胁在于他们再互联网上的资产。他们面临着导致拒绝服务的攻击，包括勒索和网站破坏。这种攻击需要比较少的攻击技能。我们认为，这个群体对区域共享组织仍然是有意义的，但我们也认为，这类行为的防御在全社会都是共享的。首先，更广泛采纳标准安全最佳做法，也称为网络安全基础准则（Cyber
Hygiene,），例如互联网安全中心（CIS）关键安全控制措施，可以改善大多数这类破坏者攻击者构成的威胁。

第二，可获利的信息资产在组织中更普遍存在，所以更复杂的盗窃（Theft）攻击者威胁到更多的组织。也就是说，基础网络准则对于许多组织已经不够了。第三，区域共享组织成员的自我选择方面。也就是说，投入资源的组织，通常已经超越了基本的网络基础准则，相反，将网络安全投资限制在基本准则上的组织，不大可能投入大量资源来参与共享组织。

我们将第二组称为盗窃组（Theft
group），对应于网络准备框架中的网络入侵（Cyber Incursion）和网络攻击组（Cyber
Breach）。盗窃组的成员受到攻击者的攻击，他的主要攻击者是窃取可以获利的信息资产。虽然这些攻击者具有很高的能力，但是与更高级的攻击者不同，他们不需要长期潜伏在受害者网络完成盗窃者的目标。我们认为，大量的区域共享组织的成员在这个类别中。

 第三组是APT组。这是网络准备框架中的网络破坏、间谍和网络战组织（Cyber
Disruption and Espionage and Cyber Warfare
groups）。虽然我们认识到此类组织种有明显差异，但我们认为，这类中的操作实践很相近，足以支持有效的共享。我们也认为，区域共享组织试图促进跨五类组织之间的共享目前是不切实际的。

我们强调网络准备这点。这些群体（不论是框架中的五类小组，或前面提到三种）不应该被视为一个层次。在网络准备框架中，网络盗用组织（Cyber
Incursion group）成员不应该希望成为网络攻击组织（Cyber Breach
group.）。以类似的方式，在我们的简化模式中，盗窃组织（Theft
group）的成员不应该渴望成为APT组织。相反，组织应根据他们所面临的威胁，进行正确地投资。过度的网络安全投资也是一种业务风险。然而，攻击者只要能够渗透进目标，就会使用不太复杂的攻击，因此，APT防御者必须能够防范盗窃和破坏行为的工具，技术和程序（TTP），而盗窃者的防御者必须能够防范破坏性破坏行为。当组织将有限的资源从有效防御真正的威胁，提升到防御更为激进的威胁时，这也是操作风险。

我们鼓励信息共享组织将其成员之间的三类组织区分开来，以期望、适当，甚至是最佳做法。信息共享组织应明确描述不同的网络准备，与其中的成员一起，从管理风险的角度确定在哪个准备组最有意义，然后考虑为不同组织构建不同的共享计划。

 根据所述的三个准备组的基本差异，我们现在更详细地考虑这些组的差异。

（三）区域分享组织网络准备分析（Cyber Prep Analysis）

网络准备由国家标准和技术研究所（NIST）的网络安全框架通知，并相应的威胁和防御性控制。鉴于我们的观察，盗窃和APT群体在区域分享群体中往往更加突出，我们强调相关防御者和攻击者之间的区别。然后，将讨论这些区别如何告知了盗窃和APT组的不同分享做法。

3.1  APT和盗窃组之间的主要区别

APT集团的防御者具有知识产权（IP）资产，这是间谍活动的目标。窃取知识产权的攻击者通常是民族国家或大型公司，他们有动力获得与防御者相比的长期战略优势。攻击者通过建立长期持续的能力来发现和渗透目标知识产权，因此命名，高级持续性威胁。

 相比之下，盗窃组的防御者拥有的是可获利的数字资产。针对盗窃组的攻击者是以金钱为动力的犯罪分子，从松散组织的机会罪犯到强有力的有组织犯罪组织。因为无论谁持有钱，钱就是钱，与盗窃组织相关的攻击者都是根据直接的成本/效益决定如何攻击，寻求最小的努力和风险，以及最大回报。攻击者的目标是以最小的费用窃取可获利的资产，而不被抓住。

与APT集团有关的攻击者资金很充足，因为支持他们的国家或公司有很高的动力，去获得有针对性的知识产权。他们有战略来进行长期的攻击，并开发和管理被复杂、多阶段的协同的攻击。他们的攻击手段是复杂的，通常可以归因到特定的攻击者。
APT攻击者有能力开发或获得“0-day”，并经常为受害者定制攻击。
APT组织的防御者通常会跟踪APT攻击者使用的运动和策略，并将努力调整防御能力，以抵御试图窃取其特定IP的特定攻击者所使用的具体战术策略。然而，APT攻击者具有足够的复杂性，具有反情报能力，努力确认他们的战术是否已被受害者发现。因此，APT集团的防御者有动力密切保护他们对攻击者手段的了解，因为担心攻击者会改变他们的战术，更难防守。

 相比之下，网络犯罪分子的资助水平与盗窃组织相关的，但远远低于国家或大型企业资助的间谍攻击者。他们有足够的战略纪律执行技术上难的攻击，但他们并不期望在防守者的网络上保持长期存在。相反，他们倾向于对多个受害者重复使用已证明有效的攻击。他们的攻击手法的技术复杂性需要能力，但他们通常缺乏开发或获取0day攻击的能力。相反，它们依赖于众所周知的战术和在黑客网站上公开的攻击，而且通常只能最小限度地为防守者定制。盗窃组的防御者的策略可能被描述为“商业级”（commercial-grade），因为它们通常主要依靠商业提供的防御措施，这些防御措施是用于防御已知的攻击。相应的，攻击者不会投入大量的反间谍活动，因为假设他们的攻击和利用都是已知的。他们主要靠防守者防御措施的不足。

3.2 分享的启示

 
盗窃和APT组之间的差异导致了不同的网络威胁信息共享目标。
AP组的防御者有动力达成共识协议，希望了解具体的国家和大公司所采用的具体攻击技巧和策略，攻击目标是具体知识产权。他们寻求获得与新的0day漏洞相关的机器可消耗的检测签名和建议的行动（COA），因为它们不能从商业供应商获得。他们通过获取有关归因于特定攻击者的战术手段的信息，力求为其威胁分析师和其他面向风险的决策者提高态势感知。他们寻求机会与同行组织直接合作开展攻击信息合作，并在事件应急上协作。由于APT攻击者知道具有相应的反间谍功能，因此APT集团的捍卫者要求与他们的分享伙伴非常高的信任度，以防止攻击者了解他们目前的战术被发现。

相反，“盗窃”组织中的防御者的目标就是随时了解公开的漏洞。他们力求获得值得信赖的机器可读的签名，以便为已知的漏洞提供防御。他们寻求通过及时了解时间敏感的犯罪攻击趋势，包括“告警和已确定的攻击报告，来提高态势感知。他们寻求与同行组织合作，了解网络犯罪趋势和涉及多个防御组织的攻击事件响应活动。而盗窃组织的防御者较少关注披露，因为攻击者的攻击和策略都是已知的。捍卫者的动机是在分享关系中有效地采取行动。生成可分享的信息花费金钱和劳动成本。

（四）BLAISE和区域分享组织

区域分享机构的运营者必须做出三个核心决策
–
谁将共享信息（多样性），他们共享什么（详细），以及它们如何共享（模式）？这些关于谁、什么以及如何是密切相关的，理解这些关系的对于成功的共享至关重要。特别地，信息共享失败的最常见形式，发生在那些在操作实践方面太多样化的组织试图分享太详细的信息。成功进行信息共享的主要成功因素是，达到所共享的细节与参与者的多样性之间的平衡。一旦达到这个平衡，如何分享的问题是很显而易见的。

“共享什么的问题”可以根据共享信息中捕获的“详细信息”的数量来表示。详细来说，我们主要是指从结构化的数据库、到半结构化报告（例如，医疗记录，警察报告）、到使用共享ID增强的非结构化报告（例如，方向通常指的是标准街道名称和路线号）、以及完全非结构化的交流（例如对话）。细节还包括使用的专业术语数量。网络威胁报告与任何专业文献一样不容忽视：法律简报、医疗杂志或终端用户许可协议（EULA）。

共享细节和信息之间如何共享的关系是直接的 – 信息的结构化水平越高，就可以更多的使用自动化技术促进信息交换。我们确定信息共享的三种主要方式：

·自动的机器对机器（Machine-to-Machine）的信息共享

             ·信息产品 – 机器消费

             ·自动化水平 – 自动转移，摄取和处理

              ·示例 – 可操作的攻击指标（IOC），如机器可读的签名

·结构化的人类可读的信息共享

     ·信息产品 – 结构化但人类可读，如医疗记录

      ·自动化水平 – 数字捕获和传输

      ·示例 – 网络威胁事件告警、恶意软件威胁事件告警、分析报告

 ·人与组织层面的合作

      · 信息产品 – 多种书面通知和通信，可以用共享的词汇进行扩充

        ·自动化程度 – 使用电子邮件或聊天软件等数字通讯渠道

         ·例子 – 圆桌会议，联合演习，特定事件响应活动

第四种信息共享方式称为中介翻译（Mediated
Translation），一个示例：医生创建医疗记录。索赔由保险人处理，他们为患者提供Explanation of
Benefit（EoB）报告。保险理赔处理者的工作是基于医生生成的信息，记录在医疗记录中。但医生并不与保险公司分享医疗记录。相反，医生办公室设有一个医疗记帐室，它处理病历记录，并将信息翻译成可由保险理赔处理者使用的形式。我们将医疗记账室称为“中介翻译”，因为他们的工作有助于两个组织之间的信息共享，他们无法直接信息共享。2013年，私人网络安全公司Mandiant（后被FireEye收购）撰写的白皮书“APT1：揭露中国的网络间谍机构之一”是中介翻译的一个例子，正如作者所获得的是只有精英的信息网络分析师才能理解的信息，并将之转化成其他观众（如决策者）能理解的方式。

“共享什么（详细）”以及“如何共享（模式）”之间的关系是直接的。达成一致的细节更多，就可以使用更自动化的技术来促进信息交换。在自动化和技术方面达成一致确实是有效的，但是如果有关方就共享的细节达成一致，则就是可以实现的。共享什么（详细）驱动了关于如何共享（自动化）的讨论。

然而，“共享什么（详细）”以及“和谁共享（多样性）”之间的关系通常更有争议，这也是信息共享失败最常见的原因。 BLAISE是基于社会学上对沟通的理解。它定义了五个相关但彼此分离的因素，关于人们如何工作，以及信任另一个群体的能力。多样性的因素有：

 ·与工作场所实践有关的因素

       1.专业不确定性：衡量组织专业工作的不确定度

      2.内部多样性：衡量每个群体的工作实践相同或不同的程度

       3.比较多样性：衡量团体之间的工作实践相同或不同的程度

  ·与信任和价值相关的实体

      4.合作抵制：衡量团体支持或抵制与其他群体合作的程度

       5.过程新颖性：衡量信息交流和支持它的过程的程度是新的，或相反地，已经编入了组织的工作实践。。

 “共享什么”以及“和谁共享”之间的关系是，如果组织的运营工作实践相似，那么组织只能达成高层次的共享细节（和高度自动化的共享）
–
即如果他们有：工作中没有专业不确定性，他们工作方式不多样性，则有坚定的分享承诺，能确定的分享做法。相反，如果团体在运营实践方面多种多样，或者如果不信任分享关系，则他们不能在高水平的细节上达成一致，因此无法维持自动化分享。

理解工作实践多样性的BLAISE框架，为我们提供了一种理解分享参与者共享的根本原因的方法。首先，最重要的是，这三类小组面临着不同的威胁，有不同的防御性优先事项。例如，APT组织的成员跟踪威胁攻击者的攻击，并且盗窃组的成员不会（并且不应该，因为这样做将资源从他们的主要威胁中转移出去）。在BLAISE术语中，这些群体具有较高程度的比较多样性。因此，他们不可能在哪种信息可以分享上达成一致。

 盗窃和APT组织也表现出高度的合作抵抗。 APT集团成员不信任盗窃团体的运营安全行为，并抵制与他们分享信息，担心信息泄露给APT威胁攻击者。

 我们在下图中描述这些关系。最优信息共享努力沿着对角线边界发生，只有在共享什么（细节）和谁是共享（多样性）之间达到适当平衡时才出现。

区域共享组织信息共享方式的定性有两个主要影响。首先，这种表征清楚表达了信息交换的主要失败，即试图在太多样化的利益相关者之间分享太多的细节。

其次，这一特征强调了信息共享举措工作的两个主要方法。限制共享的细节数量，或限制涉及的细节的多样性（在操作实践方面）。即使如此，这种表征也表明，有一些专业团体无法直接有效地共享信息。

与区域共享组织的初步接触表明，常常有有来自所有类别组的成员。这意味着会员之间的运营多样性，大大高于基于行业的分享组织。区域共享组织发现的意见和经验的多样性可以作为一种资源，但设计者必须设法确定和管理多样性，使分享有效。

 因此，主要方法是根据组织种类在共享组织内确定分组，因为这有助于确保业务实践更紧密地一致。如果可以确定这种性质的分组，那么可以促进这些组内的更详细的共享，并且可以考虑更多详细的分组形式。

（五）区域分享组织的BLAISE分析

区域共享组织的第一步，也是最重要的建议是：认识到他们的成员（或潜在成员的集合）可以分成三组 – 破坏组织，盗窃组和APT组。在信息共享方面，这些种类组应该被认为是截然不同的。这些差异，如果没有被认可，则无法管理，可以很容易地将区域共享组织置于不可行区内。

有两种方法摆脱不可行区：减少多样性或减少细节。这导致区域共享组织的三个主要推荐战略。第一个是通过专注于某种小组（破坏行为、盗窃或APT）来有意地减少其成员之间的多样性数量，并将成员限制在该种组织中。这种方法将有助于有意义地分享结构性情报报告，以提高成员之间的态势感知。通过努力，这种方法可能逐渐成熟以支持自动共享。

第二种方法是故意降低要分享的细节级别。这可以通过面对面会议和桌面练习来集中提供（人与人）沟通渠道，建立会员之间的准备和信任。延续自动化分享，甚至持续共享结构化情报报告。相反，重点是促进各种会员之间的有效协作。

第三个也是最雄心勃勃的做法是结合上述。组织成员为三种（或两种，取决于成员），每个组织根据种类划分。然后，分别促进各组织间的威胁情报的定期、高度细致的分享。此外，分享组织可以通过提供沟通渠道，通过准备和信任建设活动（如面对面会议和桌面练习），促进各小组之间的有效特定的合作。

 我们提出了关于我们分类为不同种类小组的重要警示。组织的防御能力应该直接准确地匹配他们所面临的威胁级别。实际上并不总是这样。一方面，由于财务和人力资源通常太贵，不允许不合理的网络安全支出，所以一般来说，组织的防御要比其面临的威胁更高，这种情况并不常见。更多的情况是，防御能力不足以防范他们面临的威胁。在后一种情况下，我们建议组织提高网络安全防范水平，以便与遭受类似威胁的其他组织进行有效分享活动。在此之前，该组织将是防范小组的无效成员，不利于威胁信息共享。因此，我们建议组织主要根据其展示的能力进行分组，而不是将其面临的威胁作为实现更好分享的手段。特别是，我们不建议将组织置于共享组织的非分类小组中，希望经验能帮助他们进行教育。教育和改善可能来自参与共享组织，但教育不是共享组织的主要目标，分享才是。

根据上述注意事项，认识到准备工作组（资产，攻击者，防御策略和操作能力）之间的差异为制定更为详细的运营概念（concepts
of
operations，CONOPS）提供了基础，用于同组人员之间的信息共享工作。因此，我们的最终建议是制定这些CONOPS，特别是对于盗窃和APT集团。

作为制定更为正式的CONOPS的第一步，我们为以下各节中的每类组提供共享策略建议。经验表明，发布可共享信息是最重要的第一步。因为在一个单一的准备组中的共享与跨组织的分享是截然不同的，所以需要分开考虑。注意，成功的自动化机器共享和结构化人类共享，取决于合格管理人员的操作能力。

5.1 APT准备组：信息共享的推荐

关于APT威胁的共享信息具有信息泄露的巨大风险，这将使APT攻击者能够了解已知和被监控的过程，从而使他们改变行为。因此，APT组的成员只能与成熟的，值得信赖的合作伙伴共享。有了这一点，APT集团的成员可能能够与APT集团的其他成员一起发布和分享以下内容：

·自动机器共享

     与潜在的0day攻击相关的攻击指标（例如入侵检测系统签名）

     推荐的COA

·结构化的人类共享

       恶意软件分析结果

       与可疑的0天攻击相关的事件警报

       攻击者分析（例如身份和技术）

       分析方法

       攻击运动的信息

·特殊协作

      APT为导向的协同事件响应活动

·中介翻译

       最先进的最佳做法（例如，主动防御技术，高级恶意软件分析）。

APT集团成员与盗窃和破坏组织成员没有建立信任。但是某些情况下，APT集团成员分享的好处将超过潜在风险;上述“APT1”白皮书就是一个例子。在这种情况下，APT组织的成员可以向盗窃和破坏组织的成员发布和分享以下内容：

 ·自动机器共享

       与已知攻击相关的攻击指标

·结构人类共享

       BOLO请求

       请求信息（例如，您看过这个吗？）

       与已知恶意软件相关的恶意软件分析结果

       与已知攻击相关的事件警报

 ·特殊协作

      没有确定

·中介翻译

     APT经验教训

     Theft为导向的协同事件响应演习。

 5.2 盗窃准备组：信息共享的推荐

 盗窃攻击者和盗窃防御者在公开发现新的漏洞或攻击事件时处于竞争状态。攻击者试图开发或获取利用新的漏洞的攻击工具，而防御者等待补丁开发，测试和部署。盗窃组织的成员有动力相互分享，以增加其安全产品，同时等待他们的安全产品供应商响应更新。盗窃组织的成员可能能够与盗窃组织的其他成员一起发布和分享以下内容。

·自动机器共享

       与已知攻击相关的攻击指标（例如IDS签名）

       推荐的COA（消费者永远不会执行COA而没有一些审批流程。）

·结构人类共享

      BOLO请求

      请求信息（例如，您看过这个吗？）

       与已知恶意软件相关的恶意软件分析结果

      与已知攻击相关的事件告警

·特殊协作

      协同的事件响应活动

 ·中介翻译

      以盗窃为导向的先进技术的最佳做法

       以盗窃为导向联合事件响应演习。

盗窃组的成员通常不会在其准备组之外分享信息，这会将信息泄露给攻击者。但是，如果没有足够空间，他们将在分享上保留。这就是说，如果他们认为他们提交有用的信息，而其他人不是，他们将没有动力继续分享关系。与破坏者组织的成员分享信息更是一个问题，他们可能无法在同一层次上响应共享。盗窃组的成员可能能够与APT和破坏组成员一起发布和分享以下内容：

·自动机器共享

            与已知攻击相关的攻击指标（例如IDS签名）

           推荐COA（消费者将永远不会执行COA而没有一些审批流程。）

·结构人类共享

           BOLO请求

            请求信息（例如，您看过这个吗？）

            与已知恶意软件相关的恶意软件分析结果

            与已知攻击相关的事件告警

·特殊协作

           以盗窃或破坏为主的联合事件响应活动

·中介翻译

           最先进的技术以盗窃为导向的最佳做法

            以盗窃或破坏为主的联合事件应对演习。

5.3  破坏准备组：信息共享的建议

破坏准备组织的成员可能能够与任何种的组的其他成员一起出版并分享以下内容。

 ·自动机器共享

           没有确定

 ·结构人类共享

          请求信息（例如，您看过这个吗？）

         与已知攻击相关的事件告警

·特殊协作

         以虚假为导向的联合事件响应活动

 ·中介翻译

          以虚假为导向的联合事件响应演习。

（六）结论和下一步工作

我们已经应用了两个MITR框架，来回答如何更好地管理区域共享组织，实现更有效的共享。第一个Cyber
Prep框架，组织可以根据他们所面临的网络威胁的种类而进行分类。面对类似网络威胁的组织往往具有类似的网络防御状态。虽然Cyber
Prep定义了五个不同的类别，但是与参与分享的威胁分析师的访谈导致我们简化为三组 –
破坏行为组，盗窃组和APT组。在这三个中，最常见的是盗窃和APT组。第二个框架BLAISE认为，共享伙伴之间的多样性（依据组织实践）数量与可以有效分享的细节水平之间存在着平衡。
BLAISE进一步提供了四种共享模式的分类 –
自动化，结构化，特定模式和中介翻译。最后，我们结合了这两个框架，就共享模式提出了具有较高成功可能性的具体建议。

我们希望今后的工作可以继续。我们确定了三种可能性。

·首先，虽然我们的建议是基于运营主题专家的输入和指导，但是值得对区域共享组织进行深入的案例研究，以实施建议，验证分享的有效。

 ·第二，虽然我们的分析侧重于区域分享小组，我们的建议是专门针对他们的，但我们希望本文的见解和方法也将有利于管理基于部门分享组织的成员。

·第三，虽然我们的研究重点是网络威胁信息共享，但我们认为，结合网络准备框架（根据网络威胁的不同而有所不同）的观点和BLAISE（应该根据相似性或差异来选择共享方法）将有利于网络安全信息和协作。

实现和维持有效的信息共享是一个持续和迭代的过程。因此，我们建议进一步研究，将这些方法应用于区域分享小组，并监测其影响，希望进一步制定有效的分享最佳做法。我们还建议进一步研究，以确定这些方法可以适用于基于部门的共享组织的程度，或更广泛地应用于一般的ISAO。