洋葱式信息安全观察:情报系统中的情报生命周期

威胁情报是数据的特殊形态,在威胁情报管理系统中,其管理生命周期是否也有着独特的需求?让我们来剥一剥这颗“洋葱”。

(威胁情报生命周期和威胁情报管理生命周期是不同的概念,需要严格进行概念区分)

1.数据管理生命周期的关键环节是创建、使用和撤销

常用的数据管理生命周期模型包括六个阶段:创建、存储、使用、共享、存档和销毁。

从数据应用的角度看,其核心管理在数据创建、使用(存储、共享是为了使用数据而衍生的环节,存档则是根据数据使用频率、形式等属性进行的特殊处理)和销毁(安全需求)。

再次简化可以得到数据的终极目的:使用。

将目的独立后的数据管理系统的链条则可以抽象为:创建、存储、撤销(存档是一种临时撤销,销毁则是永久撤销)

2.威胁情报是基于证据的知识

Gartner对威胁情报进行的定义“Threat intelligence is evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject’s response to that menace or hazard. ”是业界普遍接受的概念,意即“威胁情报是一种基于证据的知识,包括情境、机制、指标、隐含和实际可行性建议。威胁情报描述现存的、或即将出现针对组织资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取特定响应。”

在此定义中,Gartner首先确定了威胁情报是基于“证据”的,而证据一般是历史事实的描述,即以数据形态进入系统。

3.数据仓库是“反应历史变化的”数据集合

1991年,比尔·恩门(Bill Inmon)在 “Building the Data Warehouse”(《建立数据仓库》)一书中提到:数据仓库(Data Warehouse)是一个面向主题的(Subject Oriented)、集成的(Integrated)、相对稳定的(Non-Volatile)、反映历史变化(Time Variant)的数据集合,用于支持管理决策(Decision Making Support)。

需要注意的是,无论是数据库还是数据仓库,都是“系统”的一种。而通常意义上数据库则是针对OLTP的(以增、删、改、读为核心,需要解决读写一致性问题),而数据仓库则是针对OLAP的(以增、读为核心,一般不处理读写冲突)

4.威胁情报生命周期的核心在于使用

威胁情报生命周期,通常包括计划(也可以是需求)、收集、处理、分析、传播、反馈6个阶段,形成闭环。在威胁情报生命周期中,其隐藏的核心是威胁情报的使用,与数据生命周期相同。

然而,这一生命周期未提及威胁情报管理系统的威胁情报管理生命周期。那么威胁情报管理系统中,威胁情报的生命周期应该如何处理?

5.从STIX看典型的威胁情报管理中威胁情报生命周期

STIX作为一种被广泛应用的网络威胁情报结构化描述体系,是如何把数据仓库概念中的数据生命周期进行实例化的呢?

STIX2.0中系列文档的stix-v2.0-part1-stix-core 中定义了created、modified和revoked对数据的创建、修改和废除进行描述,在stix-v2.0-part2-stix-objects中定义的全部12个Domain Objects(Attack Pattern、Campaign、Course of Action、Identity、Indicator、Intrusion Set、Malware、Observed Data、Report、Treat Actor、Tool、Vulnerability)和2个Relationship Objects(Relationship、Sighting)无一例外的推荐使用了该三个状态值。 并给出示例如下:

{

  “type”: “bundle”,

  “id”: “bundle–5d0092c5-5f74-4287-9642-33f4c354e56d”,

  “spec_version”: “2.0”,

  “objects”: [

    {

      “type”: “indicator”,

      “id”: “indicator–8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f”,

      “created_by_ref”: “identity–f431f809-377b-45e0-aa1c-6a4751cae5ff”,

      “created”: “2016-04-29T14:09:00.000Z”,

      “modified”: “2016-04-29T14:09:00.000Z”,

      “object_marking_refs”: [“marking-definition–089a6ecb-cc15-43cc-9494-767639779123”],

      “name”: “Poison Ivy Malware”,

      “description”: “This file is part of Poison Ivy”,

      “pattern”: “[file:hashes.’SHA-256′ = ‘aec070645fe53ee3b3763059376134f058cc337247c978add178b6ccdfb0019f’]”

    },

    {

      “type”: “marking-definition”,

      “id”: “marking-definition–34098fce-860f-48ae-8e50-ebd3cc5e41da”,

      “created”: “2016-08-01T00:00:00.000Z”,

      “definition_type”: “tlp”,

      “definition”: {

        “tlp”: “green”

      }

    }

  ]

}

6.结言:威胁情报基础库管理宜采用数据仓库生命周期管理思路

通过以上对比,可以看出网络威胁情报的处于数据和决策管理中间位置的生命周期管理和一般意义上的数据生命周期存在着共同点,但在此基础上,更加强调自身的独特性,这一独特性和数据仓库管理的生命周期更为接近。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注