《美国网络威胁情报共享技术框架与标准浅析_李瑜 (1)》由会员分享,可在线阅读,更多相关《美国网络威胁情报共享技术框架与标准浅析_李瑜 (1)(6页珍藏版)》请在金锄头文库上搜索。
1、美国网络威胁情报共享技术 框架与标准浅析 李 瑜 何建波 李俊华 余彦峰 谭 辉 / 国家保密科技测评中心 一、背景 随着网络技术的不断发展,网络空间大规 模扩张,信息安全所面临的安全威胁也越来越严 峻。传统的防火墙、入侵检测和防病毒软件等以 特征检测为手段的静态防御方式,已经难以对抗 持续变化和升级的攻击手段,比如APT攻击。针 对于此,“威胁情报”应运而生。威胁情报描述 了现存的,或者是即将出现的针对资产的威胁或 危险,并针对相关威胁或危险能够采取某种响应 措施。在整个防御过程中,单个或几个用户的威 胁情报信息往往是不够的,只有实现“共享”, 最大限度地将海量的安全威胁情报信息汇集起 来,
2、才能实现威胁情报信息不断地被收集、丰 富、分析、再收集,从而形成一个有效的闭环。 因此,随着新型威胁的不断增长,网络安全的防 御技术也不断进步,0Day漏洞情报、僵尸网络 情报等威胁情报的共享很大程度上解决了现有网 络安全防御技术的不足,并能够在监控、检测、 防护、响应体系中运用,提升现有体系的防护效 果和效率。 作为网络空间的主导者,美国政府高度重视 网络安全威胁信息的共享,早在2003年的网络 空间安全国家战略中就提出了建立信息共享与 分析中心(ISAC),确保能够接收实时的网络 威胁和漏洞数据。经过几年的不断发展,网络 安全信息共享法案网络威胁情报共享指南标 准(草稿)等相继发布,威胁情
3、报共享已经成 为美国信息安全所关注的重中之重。本文归纳分 析了美国主要的网络威胁情报共享技术框架与标 准,指出我国威胁情报共享存在的差距,最后就 涉密领域构建威胁情报共享体系提出建议,并论 证其可行性。 二、美国网络威胁情报共享的技术框架与 标准 (一)美国网络威胁情报管控的总体架构 美国政府依托其近几年不断发展完善的威胁 情报共享技术,构建了名为“网络天气地图”的 威胁情报管理体系,如图1所示。 第一,通过国家网络安全保护系统与互联 网中相关的探测器关联,收集相关的威胁情报信 息;第二,利用大数据分析技术,并结合外部的 其他威胁情报来源,提取形成有价值的威胁情 报;第三,根据威胁情报信息,生
4、成相关的安全 策略,并下发至防护设备,进行有目标的防护; 第四,将获得的威胁情报信息能够快速地在网络 16 | 保密科学技术 | 2016 年 6 月 pecial SchemeS 特别策划 中交换共享,并与外部威胁情报源共享。 (二)美国网络威胁情报共享的标准 随着网络威胁情报交换技术的发展,美国出 现了众多威胁情报共享交换标准,主流的标准包 括STIX、TAXII、OpenIOC等。 (1)STIX eXpression)是一种语言,提供了基于XML语法 描述威胁情报的方法,从而规范网络威胁信息的 描述、采集和交流。STIX架构如图2所示。 从图中可以看出,STIX的核心是威胁情报 201
5、6 年 6 月 | 保密科学技术 |17 特别策划 pecial SchemeS 图1 美国国土安全部基于威胁情报的网络天气地图架构 网络天气地图 物联网相关实体 边界防护 主机防护 示例实体 基础设施防护 因特网 观测 感知 决策 采取措施 威胁情报和 配置细节 国家威胁情报 防护系统 业务 分析 商业威 胁情报 威胁 数据源 格式化情报 (STI X/TAXI I) 分析 人工 管理 机器 信誉 分析 情报共享 交换源1 外部威胁情报交换源 交换源2 交换源3 的8个相关属性。 Obsverable:网络观测,这是威胁情报中最 基本的信息,比如DOS攻击造成的网络堵塞、系 统遭受到的破坏等
6、。 Indicators:威胁的特征指标,即能够刻画 一个威胁情报的特征要素,通过查看这些特征要 素能够判定是否发生了该威胁的攻击。主要包括 威胁检测或测试方法、特征指标的来源、造成的 影响、有效时间、处理方法等。 Incident:安全事件描述,包括威胁发生的 时间、位置、特征指标、攻击意图、攻击利用的 技术和过程、影响评估、采取的行动响应过程、 事件的日志等。 TTP:是Tactics、Techniques、Procedures 的缩写,指安全威胁的手段、技术、过程,这是 威胁情报中最为关键的信息,通过手段、技术、 过程三个维度对安全事件进行全面的描述,主要 包括恶意攻击的行为、采用的工具
7、、受害目标、 利用的弱点、影响及后果等。 Campaign:攻击动机,即攻击者为什么要 发起这次攻击,代表了攻击者的意图,它能够充 当元结构来关联相关的TTP、事件等。 Exploit Target:攻击目标,即被攻击系统, 以及被利用的系统漏洞等信息。明确有关可能被 对手有针对性利用的技术漏洞、软件配置错误、 系统或网络的风险信息。这些信息可能来自于漏 洞平台、地下黑市、0Day漏洞等等。 Course of Action:所采取的应对方案,针 对网络攻击所采取的行动,以降低威胁的影响及 破坏范围。 Threat Actor:威胁源,明确威胁的来源或 者人员,并关联出与其相关的其他威胁的人员
8、。 STIX主要可适用于四类场景: 威胁分析:包括威胁的判断、分析、调查、 保留记录等; 威胁特征分类:通过人工方式或自动化工具 将威胁特征进行分类; 威胁及安全事件应急处理:安全事件的防 范、侦测、处理、总结等,对以后的安全事件处 置能够有很好的借鉴作用; 威胁情报分享:用标准化的框架进行威胁情 报描述与共享。 实践证明,STIX规范可以描述威胁情报中 多方面的特征,包括威胁因素、威胁活动、安全 事故等。它支持使用CybOX格式去描述大部分 STIX语法本身就能描述的内容,而且STIX还支持 18 | 保密科学技术 | 2016 年 6 月 pecial SchemeS 特别策划 图2 S
9、T I X 架构 关联动机 攻击动机 威胁源 威胁特征指标 攻击技术手法 TTP 网络观测 安全事件描述 攻击应对措施 攻击目标 行为关联 相关动机 相关行为 相关攻击手法明确的攻击手法 关联特征指标 检测行为指标 关联特征指标 建议应对措施 攻击行为参数 应对措施请求 应对措施获取 被攻击 目标 攻击手法抽象 关联 攻击手法 关联 安全事件 关联攻击源 关联应对 措施 相关攻击事件描述 直接的攻击 技术手法 相关攻击源 潜在应对措施 关联目标 历史 动机 属性 Campaign Indicator Obsverable Threat Actor Incident Exploit Target
10、 Course of Action 2016 年 6 月 | 保密科学技术 |19 特别策划 pecial SchemeS 其他格式。标准化的规范使得安全研究人员交换威 胁情报的效率和准确率大大提升,有效减少了沟通 中的误解,并且能自动化处理某些威胁情报,STIX 具有较高的实用性、灵活性和可扩展性。 (2)TAXII TAXII(Trusted Automated eXchange of Indicator Information)提供了威胁情报安全传 输和信息交换标准,是对STIX在传输层面的补 充。TAXII定义了交换协议,可以支持多种共享 模型。TAXII不但能够传输TAXII格式的数
11、据, 也支持其他多种格式数据的传输。目前,美国通 用的做法是用TAXII来传输数据,用STIX来描述 情报,用CybOX作为威胁情报词汇。TAXII在提 供了安全传输的同时,兼顾了网络拓扑结构、不 同结点信任、授权管理等问题。TAXII威胁情报 利用架构如图3所示。 图3 T A X I I 威胁情报利用架构 如图4所示,TAXII主要的威胁情报共享 模型包括了点对点(Peer to Peer)、订阅型 (Source/Subscriber)、辐射型(Hub and Spoke)三种方式。 在点对点的威胁情报共享架构中,任意的组 织都是威胁情报的生产者和消费者,威胁情报的 信息流从一个点流动到
12、另一个点;在订阅型的威 胁情报共享架构中,一个组织作为所有用户的 威胁情报来源,威胁情报从这个源头流向所有 的情报用户;在辐射型威胁情报共享架构中, 一个组织作为情报中心,情报接收点与情报中 心共享威胁情报,并与其他的情报接收点共享 信息。情报中心在情报共享前能够对威胁情报 进行分析和过滤。 TAXII主要规范了如下内容: 服务规范:定义了TAXII的服务类型、TAXII 情报类型以及情报交流格式; 消息规范:消息统一采用XML格式; 协议规范:确定了HTTP/HTTPS作为TAXII 传送的协议,从安全角度推荐采用https协议 传输; 查询格式规范:定义了缺省的查询格式和处 理规则。 的优
13、势是网络威胁信息共享速度更 图4 T A X I I 威胁情报共享模型 网络/主机 入侵检测设备 主机防护点 威胁情报防护 部署(机器) 接收威胁情报 (机器) 威胁特征指标 攻击应对 措施 观察到的 行为 威胁特征 指标 威胁情报分析 (人工&机器) 安全事件 描述 攻击技术 手法 攻击动机 攻击源 点A 点B 点C点D 订阅者 订阅者 情报获取/ 产生结点 情报获取/ 产生结点 情报 产生结点 情报 获取结点 订阅者 订阅者 点E 威胁情报源 威胁情报 汇聚 快,能够更好地保护安全与隐私,降低技术门槛 让更多组织参与,分析优化,与其他产品的兼容 性强。 (3)OpenIOC OpenIOC
14、(Open Indicator of Compromise) 是MANDIANT公司发布的情报共享规范。 OpenIOC是一个定义及共享威胁情报的格式,它 能够通过机读的方式实现不同类型威胁情报的快 速共享。OpenIOC主要使用XML来实现,XML 语言提供了丰富、灵活的格式来将数据表示成可 机读的形式,并定义自己的指示器属性表,里面 列出了要使用的诸多属性。 都是一个复合指示器,通常将多个Indicator组 合到一起作为一个攻击指示器IOC(Indicator of Compromise),最终在形式上IOC就是一个复 合表达式,当表达式值为真时,则该IOC命中。 IOC中主要包括如下定
15、义: 表达式(Expression):定义了一个或几个 条件,当为真值时,表明存在一个入侵行为; 简单表达式(Simple Expression):没有使 用AND或OR两种逻辑运算符的表达式; 复杂表达式(Complex Expression):多个 简单表达式通过AND或OR连接; 攻击指示器(IOC):多个表达式的连接, 可以是简单表达式或复杂表达式,如图5所示。 图5 I O C 举例 IOC存储在一个XML文件中,类型名为 ioc,IOC的XML标签并不多,其粒度主要通过 设置不同的属性来实现。通过模块化逻辑结构, 可以随时根据获得的信息和知识进行IOC优化调 整。IOC用到的基本X
16、ML标签1如下: :用于标识一个IOC对象; :用于定义具体的指示器符号: :用于包含多个属性; :用于描述一个具体的属 性,其id值标识该属性,condition表明该表达式 成立条件; :用于定义属性的大类和子类, 标记属性名,如document= “FileItem“; :用于定义属性值的类型以及属 性值,如type=“char“; IOC工作流程主要包括: 获取初始证据:根据主机或网络的异常行为 获取最初的数据; 建立主机或网络的IOCs:分析初步获得的 数据,根据可能的技术特征建立IOCs; 在企业中部署IOCs:在企业的其他机器或 网络中部署IOCs,开始检测; 发现更多的可疑主机; IOCs优化:通过初步检测可获取的新证 据,并进行分析,优化已有的IOCs。 (4)其他标准 三、我国威胁信息共享存在的差距 (1)我国威胁信息共享缺乏上层组织与顶 层架构。信息安全的防火墙等传统“老三样”已 经难以有效应对新型的网络攻击,而威胁信息共 享技术能够很大程度上弥补这种不足,在技术上 已经形成了非发展不可的倒逼之势。而形成鲜 明对比
