威胁情报(Threat intelligence)标准(STIX)的分享

围观次数:799 views

最近看了下STIX_Whitepaper,《 Standardizing Cyber Threat Intelligence
Information with the Structured Threat Information
eXpression》。原文从网上也能下到,个人的认知和理解有限,关于其中的一些重要观点,样例以及一些思考和认识总结如下:

(一) 网络攻击链样例

现在的攻击都不是单一的攻击,下图描述了典型APT的攻击过程。攻击者从侦查目标、制作攻击工具、送出工具、攻击目标弱点、拿下权限、运行工具,后期远端维护工具,长期的控制目标。针对这种定向的高级攻击,威胁情报共享是很好的解决办法。

二、 STIX 主要适用场景

主要可适用在以下四类场景

1.威胁分析。威胁的判断、分析、调查、保留记录等使用。
2.威胁特征分类。将威胁特征进行分类,以人工方式或自动化工具。
3.威胁及安全事件应急处理:安全事件的防范、侦测、处理、总结等,在安全事件处置过程中可以有很好的借鉴,以前做事件处理没有这么详尽的信息。
4. 威胁情报分享。用标准化的框架进行描述与分享。

下图主要描述了STIX的适用场景。

三、威胁建模: STIX 提供统一的架构,可进行安全威胁情报的描述。

如图,展示了STIX v1.0的架构。核心是8个威胁的属性。
1、Obsverable:我们能够观察到的行为。是威胁情报中最基本的信息。比如网络堵塞、系统遭受到的破坏等等现象。这些都是日后事件处理的关键信息。
2、Indicators(威胁指标):表征这个威胁的特征指标。也就是威胁外在表象的内在特征。通过查看这些特征可以判定是否真的遭受了这个威胁的攻击。包括威胁处理的条件, 可能的影响,有效时间, 建议的处理方法,检测或测试方法, 指标来源。
3、Incident(突发事件):对事件的描述,包括时间、位置、影响、相关的指标、利用TTP,攻击意图,影响评估,响应行动的要求,采取的行动响应过程,事件的日志信息源等。
下面是一个关于网络钓鱼事件描述主要包含的信息,直接引用原文。
►Time
►Granular set of Incident lifecycle timestamps
►Description
►Roles (Reporter, Responder, Coordinator, Victim)
►Affected Assets
►Impact Assessment
►Related Indicators
►Leveraged TTP
►Related Threat Actors
►Intent
►Discovery Method
►Related Incidents
►COA Requested / COA Taken
►Confidence
►Contact
►History

4、TTP(Tactics, Techniques, andProcedures:威胁情报中的关键信息。TTP 将安全事件全面进行了描述,并分手段、技术、过程三个维度分析,包括了恶意攻击的行为、采用了什么工具、受害目标、利用了什么弱点、影响及后果、kill chain 等等。

5、Campaign:攻击者的动机,为什么要发起这次攻击。

下面是关于campaign的描述样例

►Names
►Intent
►Related TTPs
►Related Incidents
►Related Indicators
►Attribution
►Associated Campaigns
►Confidence
►Activity
►Information Source
6、ExploitTarget:被攻击系统、以及被利用的系统漏洞等信息

7、Course of Action:针对 ExploitTargets 所采取的行动,以降低 Incident 的影响范围。

8、ThreatActor:威胁源,即攻击发起方是谁?

针对威胁建模8要素,还有一种更形象的描述,见下图:

将关于8要素的形象描述,附加到STIX架构图上如下,可以更形象的理解整体的安全威胁。

许多机构已利用 STIX 进行威胁情报与资讯分享,一旦发生网络安全事件,可通过 STIX 将事件发生的原因、经过、处理等记录下来,了解威胁及事件的全貌。

1人评论了“威胁情报(Threat intelligence)标准(STIX)的分享”

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助