《美国联邦政府威胁信息共享与协作概貌》由会员分享,可在线阅读,更多相关《美国联邦政府威胁信息共享与协作概貌(18页珍藏版)》请在金锄头文库上搜索。
1、美国联邦政府威胁信息共享与协作概貌发布时间: 2015-05-07 11:06:00 来源:博客 作者:佚名关键字:网络攻击生命周期 网络杀伤链 威胁情报 信息共享0 引言当今, 互联网 已与我们的生活融为一体,使我们充分感受到其带来的便利,但同时也看到全球互联网安全事件频发,使我们面临日益严峻的互联网安全威胁的挑战。在活跃的网络威胁环境中,有效的安全事件检测和响应是我们面临的持续挑战,依靠个体力量已无法有效防止和应对安全事件,对安全事件及时、有效的响应需要各种机构间进行信息共享、沟通、互动与协作,需要积极的国际合作。信息共享与协作提供了增强机构网络安全能力的有效方法。建立机构间共享关系并进行
2、安全事件协同响应,将为机构提供获取原本无法获得和使用的威胁情报和工具的机会。机构可以通过使用共享资源,利用合作伙伴的知识、经验和能力,改善其自身的网络安全状况。2014 年 10 月, NIST 发布 SP 800-150 网络威胁信息共享指南 1 ,通过讨论信息共享与事件协作的利益和挑战,研究信息共享体系结构,探讨机构网络安全能力成熟度对其参与信息共享与协作的影响,并提出参与信息共享的具体考虑,帮助联邦机构在网络攻击全生命周期中建立、参与和维护信息共享关系,与外部机构沟通、协调,管理事件影响。其目标是通过引入安全、有效的信息共享实践,提供信息共享 方案 规划、实施和维护的指导,为提高机构网络
3、运营防御和事件响应活动的效率和效果提供指南。2014 年 11 月 21 日, 在世界互联网大会 “ 网络空间安全和国际合作 ”分论坛上,中央网信办网络安全协调局局长赵泽良发出倡议,提出在当前新形势下开展国际网络安全合作,共享信息,联手应对,共同构建和平、安全、开放、共赢的网络空间 2 。可以预见,信息共享与安全协作必将成为我国有效防止和应对网络威胁的关键举措,本文试图描绘美 国联 邦政府威胁信息共享与协作概貌,希望能对我国的信息共享与安全协作相关工作提供参考。1 信息共享与协作的优势与挑战一、信息共享与协作的优势在整个安全事件响应生命周期中进行信息共享与协作的优势包括:l 提高共享态势感知能
4、力。通过信息共享,充分利用合作伙伴的知识、经验和分析能力,从而提高各机构的安全态势感知和防御能力。l 增强对威胁的认识。通过开发和共享威胁信息,获得对威胁环境更全面的了解, 从而能够根据威胁环境的变化, 制定和部署安全控制、 对策、检测方法、纠正措施等。l 促进信息的聚合。对看似无关的原始情报进行共享和分析,使其彼此关联,构建健壮的与某个特定事件或威胁相关的信息集,促进对信息之间关联关系的深刻理解。l 提高防御敏捷性。随着网络安全技术的进步,对手不断调整其战术、技术和程序 (TTP , Tactics 、 Techniques and Procedures) 来对抗网络防护者实施的保护和检测措
5、施。通过信息共享与协作,使机构能够快速检测并响应对手 TTP 的变化,实施主动网络安全策略。l 提高机构决策能力。利用和依据共享信息,使机构能够更好的理解对手,预测其行动,更快速和自信地做出决定,并在其行动前部署防御措施。l 高效处理信息需求。信息共享是报告或调查网络安全事件的重要活动。l 快速通报安全事件。当事件导致有关另一方的信息被发布时,快速通知其受影响的客户或业务伙伴。二、信息共享与协作的挑战尽管信息共享与协作具有明显优势,但也存在一些必须考虑的挑战,包括:l 法律和机构限制。机构的行政和法律团队可能出于技术保护、法律或隐私等问题的考虑,限制机构可以共享的信息类型。l 信息披露风险。信
6、息的共享可能使贡献者承受暴露机构防护或侦测能力的风险,还可能导致对手转移威胁。l 隐私保护。机构可能公开参与信息共享,但对其贡献保持匿名。由于无法查询信息的来源或了解信息的原始背景和出处,这种信息可能限制其对他人的有用性。l 信息生成。机构生成信息须具备必要的基础设施、工具和培训。虽然基本的事件数据容易生成, 但诸如对手动机和 TTP 等信息的生成通常需要更大的努力。l 信息利用。要利用和体现共享信息的价值,机构须具有访问外部资源以及将信息合并到本地决策过程中的所需的基础设施。l 互操作性。标准化的数据格式和传输协议有助于促进机构、 存储 库和工具间事件数据安全、自动交换所需的互操作性,但需要
7、仔细分析统一格式和协议的成本和效益。l 信息保密。从政府渠道获得的信息可能被标记为机密信息,使机构难以使用。对于机构来说,请求和维护持续访问机密信息源所需的审查是昂贵和费时的。l 建立信任关系。信任关系形成信息共享与协作的基础,但建立和维护信任关系可能是耗时的。2 网络攻击生命周期信息共享与协作涉及整个网络攻击生命周期。 网络攻击的规模、 范围、复杂性和频率在持续增长,被动防御已不能适应处理利用先进工具、零日攻击和先进的恶意软件破坏系统和网络的高级持续威胁 (APT) 的需要。网络攻击生命周期模型虽然不能完全预测对手的行为,但为分析潜在威胁提供了一个简单,且非常有用的抽象概念。当前已有许多网络
8、攻击生命周期的模型,包括洛克希德 马丁的 “ 网络杀伤链 ” 3 (见图 1) 和 NIST SP 800-115 4提出的攻击阶段步骤等。图 1 网络杀伤链图 1 的网络杀伤链描绘了网络攻击的 7 个阶段:第 1 阶段:获取目标。对手识别和选取攻击目标。第 2 阶段: 准备武器。 对手将攻击工具包装进将在目标计算机 / 网络上执行的有效载荷中。第 3 阶段:分发武器。对手将有效载荷分发到目标系统。第 4 阶段: 启动武器。 对手执行其安装在目标系统上的代码 ( 攻击工具包 ) 。第 5 阶段:安装 木马 或后门。对手安装能够在目标环境或系统中持久存在的远程访问工具软件。第 6 阶段:建立指挥
9、和控制通道。对手利用远程访问机制,建立到达已攻击成功的设备的指挥和控制通道。第 7 阶段: 对目标采取行动。 对手实现 既定 目标, 如: 进行数据抽取、横向扩展攻击目标,开辟新的杀伤链等。网络攻击生命周期的每个阶段对于网络防护者来说都是一个采取行动应对对手的机会。网络防护者通过使用网络攻击生命周期,结合内部和外部威胁情报,可以制定在网络攻击生命周期的早期 (即在攻击发生前 ) 击败对手的主动事件响应策略。正如图 1 所示,主动网络防御包括部署在攻击执行之前应对对手的防护和检测措施。网络防护者通过在网络攻击生命周期的获取目标、准备武器和分发武器阶段识别和参与对手活动,部署缓解措施或采取行动,确
10、保在对手成功执行和利用之前保护关键任务资产。无论在杀伤链中的哪个环节采取措施,网络防护都必须执行整个网络攻击生命周期的威胁分析,以确保响应的有效性。这种分析应包括:识别威胁指示信息,确定在网络攻击生命周期的哪个阶段观察这些指示信息,并将这些指示信息与其他威胁情报关联。只有通过了解对手在网络攻击生命周期中的操作,网络防护者才能够设计出 更有效 的防御策略。要建立主动防御,机构应设法了解整个网络攻击生命周期内对手的TTP,并获取和利用及时、准确、详细的相关威胁情报。平行机构间的信息共享是开发同级情报的一种有效方法。通过在扩展的时间段内观察对手的目的、活动和行为,可以开发出针对特定对手的 TTP。通
11、过与其他防护者共享这些信息可以使他们获得有价值的针对特定对手战略和总体规划的理解,从而增加其预测 入侵 者行为和开发更有力和有效防御功能的能力。3 威胁情报信息威胁情报是网络防御和事件响应的重要组成部分,是信息共享与协作的主要对象。机构应通过收集主动威胁其环境的相关情报,实施有针对性的战术和战略防御措施。威胁情报包括:有关对手利用的威胁、 TTP 和设备的信息 ; 对手指向的目标系统及其信息 ; 其他任何为网络防护者和事件响应者提供更多态势感知的威胁相关的信息等。一、 威胁情报及其特点有效的威胁情报表现出以下特点:l 及时性。威胁情报应当被快速传递,具有最小的延时,为接收方提供足够的机会来预测
12、威胁并准备相应的响应。 情报的及时性是环境相关的,需要考虑威胁的波动性、攻击速度、对手的能力和 TTP。有些决策可能需要在几秒或几分钟内传递战术情报,以应对快速变动的对手。有些威胁变化比较缓慢,是蓄谋已久的,可能需要使用数小时、数天、甚至数月的历史情报来有效处理和解决。l 相关性。威胁情报应具有接收者运行环境的适用性,说明机构可能要面对的威胁和可能遭遇的攻击,并描述接收者可能遇到的对手。威胁情报的接收者应进行风险分析,确定与特定威胁相关的风险。l 准确性。威胁情报应正确、完整和明确。不准确或不完整的信息可能妨碍重要的行动、引起不必要的行动、导致不恰当的反应或使接收者产生安全错觉。l 具体性。威
13、胁情报应描写事件或对手的细节,触及有关威胁的凸出层面,使接收者理解威胁的可能影响,能够评估可以采取的行动。l 可操作性。威胁情报应提供足够的信息和背景使接收者能够确定对抗威胁可以采取的行动和制定应对威胁的恰当方案。二、 威胁情报的来源现实中有许多网络威胁情报的来源,机构可以内部收集和开发,或通过共享社区、公开源、业务合作伙伴、业界同行、产品供应商、商业网络威胁情报服务、客户、执法机构或其他事件响应团队等,从外部情报资源获取。任何有关对手目标和动机的发现都是非常有价值的情报,与可信个人或机构有关的人际关系是极好的信息来源。内部威胁情报来源包括:入侵检测和防护系统、安全信息和事件管理产品、防 病毒
14、 软件和文件完整性检查软件的警报, 操作系统 、网络、服务和应用的日志等。应保留收集的内部威胁情报及相关证据,在机构安全策略允许的情况下与合作伙伴共享。外部威胁情报可以通过行业共享社区 (如:金融、电力、医疗等 ) 获得。在特定领域内运行的机构应考虑加入已建立的共享社区,或考虑与其他领域常常面临同样威胁和对手的机构形成共享社区。其他可能的外部威胁情报来源包括:服务于当地、 地区和政府执法部门等的社区 ; 省、市和地方政府 ; 应急响应人员和其他附属机构 ; 提供类似威胁情报和其他收费增值能力的商业网络威胁情报服务供应商等。许多可通过互联网访问的公开威胁情报公布了危害指示信息、 黑名单、恶意软件
15、和病毒信息、 垃圾邮件 发送者名单,以及其他新出现的威胁等信息。这些来源的信息可能需要人工收集和分析。4 信息共享体系架构基本的信息共享体系结构如图 2 所示,包括:中心共享式和点对点共享式。图 2 基本信息共享体系架构不同的信息共享体系架构,具有不同的特点,在选择信息共享体系架构时,应考虑以下关键因素:l 信息共享 参与者 的特点、可信性、能力和组成l 政府、成员机构和赞助商支持共享承诺的程度l 将要共享的信息类型和敏感程度l 所需信息的分发频率、多少和速度一、 中心共享式体系架构中心共享式体系架构具有一个中心,用于存储或交换来自成员或其他来源的信息。由成员提供的信息被中心直接转发给其他成员
16、,或由中心以某种方式处理后分发给指定的成员。中心进行的信息处理包括:对多个来源信息的聚合和关联、消毒、去属性,通过提供附加背景丰富信息,或进行趋势研究和分析,确定总体趋势、威胁和恶意活动等。基于该架构的共享通常建立正式的数据共享协议,规定哪些信息可以共享、可以与谁共享、是否允许注明来源,以及允许的详细程度等。中心存储的信息可能会相当详细、大量,并包含带有属性的数据元素。存储库的概要形成、消毒和分发过程应按照数据共享协议处理数据,并根据需要为共享成员提供抽象、去属性的摘要信息。接收频繁、大批量应用的中心存储库可以选择 自动化 汇总和消毒过程。中心共享式体系架构的好处在很大程度上取决于中心提供的服务。有些中心可能只以中间人的身份进行信息交换,另一些中心可能会执行附加的处理,以丰富信息。中心提供的服务可能包括:对多种来源的信息进行利用、汇总、关联、分析、验证、消毒、分发和存档等。使用开放、标准数据格式和传输协议的中心可以降低对参与者采用多种格式和协议进行信
