最近看了下STIX_Whitepaper,《 Standardizing Cyber Threat Intelligence
Information with the Structured Threat Information
eXpression》。原文从网上也能下到,个人的认知和理解有限,关于其中的一些重要观点,样例以及一些思考和认识总结如下:
(一) 网络攻击链样例:
现在的攻击都不是单一的攻击,下图描述了典型APT的攻击过程。攻击者从侦查目标、制作攻击工具、送出工具、攻击目标弱点、拿下权限、运行工具,后期远端维护工具,长期的控制目标。针对这种定向的高级攻击,威胁情报共享是很好的解决办法。
二、 STIX 主要适用场景:
主要可适用在以下四类场景
1.威胁分析。威胁的判断、分析、调查、保留记录等使用。
2.威胁特征分类。将威胁特征进行分类,以人工方式或自动化工具。
3.威胁及安全事件应急处理:安全事件的防范、侦测、处理、总结等,在安全事件处置过程中可以有很好的借鉴,以前做事件处理没有这么详尽的信息。
4. 威胁情报分享。用标准化的框架进行描述与分享。
下图主要描述了STIX的适用场景。
三、威胁建模: STIX 提供统一的架构,可进行安全威胁情报的描述。
如图,展示了STIX v1.0的架构。核心是8个威胁的属性。
1、Obsverable:我们能够观察到的行为。是威胁情报中最基本的信息。比如网络堵塞、系统遭受到的破坏等等现象。这些都是日后事件处理的关键信息。
2、Indicators(威胁指标):表征这个威胁的特征指标。也就是威胁外在表象的内在特征。通过查看这些特征可以判定是否真的遭受了这个威胁的攻击。包括威胁处理的条件, 可能的影响,有效时间, 建议的处理方法,检测或测试方法, 指标来源。
3、Incident(突发事件):对事件的描述,包括时间、位置、影响、相关的指标、利用TTP,攻击意图,影响评估,响应行动的要求,采取的行动响应过程,事件的日志信息源等。
下面是一个关于网络钓鱼事件描述主要包含的信息,直接引用原文。
►Time
►Granular set of Incident lifecycle timestamps
►Description
►Roles (Reporter, Responder, Coordinator, Victim)
►Affected Assets
►Impact Assessment
►Related Indicators
►Leveraged TTP
►Related Threat Actors
►Intent
►Discovery Method
►Related Incidents
►COA Requested / COA Taken
►Confidence
►Contact
►History
4、TTP(Tactics, Techniques, andProcedures):威胁情报中的关键信息。TTP 将安全事件全面进行了描述,并分手段、技术、过程三个维度分析,包括了恶意攻击的行为、采用了什么工具、受害目标、利用了什么弱点、影响及后果、kill chain 等等。
5、Campaign:攻击者的动机,为什么要发起这次攻击。
下面是关于campaign的描述样例
►Names
►Intent
►Related TTPs
►Related Incidents
►Related Indicators
►Attribution
►Associated Campaigns
►Confidence
►Activity
►Information Source
6、ExploitTarget:被攻击系统、以及被利用的系统漏洞等信息
7、Course of Action:针对 ExploitTargets 所采取的行动,以降低 Incident 的影响范围。
8、ThreatActor:威胁源,即攻击发起方是谁?
针对威胁建模8要素,还有一种更形象的描述,见下图:
将关于8要素的形象描述,附加到STIX架构图上如下,可以更形象的理解整体的安全威胁。
许多机构已利用 STIX 进行威胁情报与资讯分享,一旦发生网络安全事件,可通过 STIX 将事件发生的原因、经过、处理等记录下来,了解威胁及事件的全貌。
还可以讲讲 TAXⅡ