對(duì)主流網(wǎng)絡(luò)威脅情報(bào)標(biāo)準(zhǔn)應(yīng)用的比較研究

01研究背景自2013年Gartner首次對(duì)威脅情報(bào)進(jìn)行定義后，威脅情報(bào)逐漸成為網(wǎng)絡(luò)安全的熱點(diǎn)領(lǐng)域之一，于2015年進(jìn)入中國(guó)市場(chǎng)。政府、企業(yè)對(duì)CTI的重視程度不斷提高，積極推動(dòng)以CTI共享為基礎(chǔ)的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警體系構(gòu)建，企業(yè)各方圍繞威脅情報(bào)技術(shù)及商業(yè)模式開(kāi)展探索。本章圍繞CTI概念、重要性和生產(chǎn)周期等問(wèn)題進(jìn)行闡述。1.1理解“CTI”CTI是威脅情報(bào)中的一種。根據(jù)Gartner對(duì)威脅情報(bào)的定義，“威脅情報(bào)是某種基于證據(jù)的知識(shí)，包括上下文、機(jī)制、標(biāo)示、含義和能夠執(zhí)行的建議，這些知識(shí)與資產(chǎn)所面臨的、已有的或醞釀中的威脅或危害相關(guān)，可用于資產(chǎn)相關(guān)主體對(duì)威脅或危害的響應(yīng)處理決策提供信息支持”。可以把CTI簡(jiǎn)單理解為：與計(jì)算機(jī)、網(wǎng)絡(luò)和信息技術(shù)相關(guān)的威脅情報(bào)，使安全防護(hù)者在數(shù)據(jù)支持下能夠做出更快速、更明智的安全決策，在對(duì)抗網(wǎng)絡(luò)威脅時(shí)化“被動(dòng)”為“主動(dòng)”。CTI有3個(gè)關(guān)鍵特征：第一，它不僅是數(shù)據(jù)，而且是經(jīng)過(guò)分析的信息；第二，具有可操作性，可以指導(dǎo)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析、應(yīng)急響應(yīng)、網(wǎng)絡(luò)系統(tǒng)安全配置等實(shí)踐活動(dòng)；第三，CTI可以是戰(zhàn)略或戰(zhàn)術(shù)層面的，戰(zhàn)略層面是指可獲得對(duì)手動(dòng)機(jī)等深層情報(bào)，戰(zhàn)術(shù)層面是指可獲得技術(shù)、手段、路徑等淺層情報(bào)，如IP地址、域名、統(tǒng)一資源定位系統(tǒng)（UniformResourceLocator，URL）、文件哈希值等。1.2CTI的重要性在網(wǎng)絡(luò)威脅日益猖獗的今天，越來(lái)越多的企業(yè)認(rèn)識(shí)到CTI的價(jià)值，并逐漸加大這方面的支出力度。但大多數(shù)企業(yè)或機(jī)構(gòu)主要限于操作層面的威脅情報(bào)利用，即戰(zhàn)術(shù)層面CTI，例如將威脅情報(bào)與入侵防御系統(tǒng)、防火墻、安全網(wǎng)關(guān)、安全信息和事件管理系統(tǒng)（SecurityInformationandEventManagement，SIEM）的配置策略進(jìn)行關(guān)聯(lián)，這并未充分發(fā)揮CTI更深層次的價(jià)值，即戰(zhàn)略層面價(jià)值。CTI戰(zhàn)略層面價(jià)值主要體現(xiàn)在（不僅限于）：一是預(yù)測(cè)可能遭受的網(wǎng)絡(luò)攻擊行為，使安全團(tuán)隊(duì)預(yù)先做出決策；二是通過(guò)揭示網(wǎng)絡(luò)攻擊者的攻擊動(dòng)機(jī)、戰(zhàn)術(shù)、技術(shù)、流程，賦予網(wǎng)絡(luò)安全相關(guān)方相應(yīng)權(quán)力；三是幫助安全專業(yè)人員更好地分析威脅方的動(dòng)機(jī)，理清攻擊事件后的威脅邏輯；四是影響企業(yè)管理者投資決策，降低系統(tǒng)安全風(fēng)險(xiǎn)。1.3CTI的生產(chǎn)周期通常來(lái)說(shuō)，可以將情報(bào)的生產(chǎn)周期劃分為收集數(shù)據(jù)、處理數(shù)據(jù)（數(shù)據(jù)轉(zhuǎn)化信息）、分析信息（信息產(chǎn)生情報(bào)）3個(gè)階段。CTI在滿足及時(shí)性、準(zhǔn)確性和相關(guān)性的情報(bào)普適性要求的基礎(chǔ)上，還需要滿足可操作性要求（用于指導(dǎo)網(wǎng)絡(luò)安全實(shí)踐），如圖1所示，在情報(bào)生產(chǎn)周期基礎(chǔ)上，CTI生產(chǎn)周期增加了傳播和利用兩個(gè)階段。圖1網(wǎng)絡(luò)威脅情報(bào)的生產(chǎn)周期收集階段：根據(jù)既定需求，CTI分析團(tuán)隊(duì)收集數(shù)據(jù)，數(shù)據(jù)來(lái)源包括流量日志、公開(kāi)可用的數(shù)據(jù)源、相關(guān)論壇、社交媒體、行業(yè)或領(lǐng)域?qū)＜业?。收集階段是CTI生產(chǎn)的開(kāi)端，需要在充分了解用戶需求以及上下文語(yǔ)境的前提下進(jìn)行。此階段未經(jīng)處理和分析的數(shù)據(jù)不是情報(bào)，而是生產(chǎn)情報(bào)的基本材料。處理階段：將原始數(shù)據(jù)處理成適合分析的格式，例如，將數(shù)據(jù)結(jié)構(gòu)化為電子表格、解密文件等，同時(shí)評(píng)估數(shù)據(jù)的相關(guān)性和可靠性。這一階段，數(shù)據(jù)經(jīng)過(guò)處理和分析生成結(jié)構(gòu)化信息，具備了可查找特性，成為信息。分析階段：CTI分析團(tuán)隊(duì)根據(jù)信息產(chǎn)生情報(bào)，并為用戶提供有價(jià)值的建議，可與用戶安全防護(hù)系統(tǒng)的防御機(jī)制集成聯(lián)動(dòng)，支撐用戶制定新的防護(hù)策略。利用/傳播階段：進(jìn)入利用階段還是傳播階段，取決于是否到達(dá)最終用戶。利用階段是指情報(bào)到達(dá)最終用戶，用戶根據(jù)CTI報(bào)告，確定是否需要調(diào)整網(wǎng)絡(luò)安全防護(hù)措施及策略；傳播階段是指同一組織或不同組織間共享和傳播CTI的過(guò)程。可以將CTI生態(tài)系統(tǒng)簡(jiǎn)單劃分為生產(chǎn)者（包括CTI傳遞者）和消費(fèi)者。CTI生產(chǎn)者匯集和接收網(wǎng)絡(luò)威脅信息，經(jīng)過(guò)處理、分析、編排后形成情報(bào)并發(fā)布，包括專業(yè)的威脅情報(bào)分析機(jī)構(gòu)、情報(bào)服務(wù)機(jī)構(gòu)等，是收集、處理、分析、傳播階段的行為主體。CTI消費(fèi)者在獲取情報(bào)后，及時(shí)調(diào)整安全策略、降低安全風(fēng)險(xiǎn)、實(shí)現(xiàn)情報(bào)價(jià)值，是利用階段的行為主體。02主要標(biāo)準(zhǔn)標(biāo)準(zhǔn)在CTI生產(chǎn)過(guò)程中發(fā)揮了重要作用，是CTI生產(chǎn)者構(gòu)建CTI平臺(tái)的基礎(chǔ)。對(duì)收集到的數(shù)據(jù)進(jìn)行自動(dòng)化處理，需要依據(jù)標(biāo)準(zhǔn)對(duì)數(shù)據(jù)進(jìn)行格式化，并利用通用語(yǔ)言進(jìn)行描述。對(duì)CTI進(jìn)行傳播，需要基于統(tǒng)一的數(shù)據(jù)格式，同時(shí)隱式地定義數(shù)據(jù)元素的信息密度需求。目前，主要的CTI標(biāo)準(zhǔn)已經(jīng)超過(guò)20種，共享交換標(biāo)準(zhǔn)是CTI標(biāo)準(zhǔn)的主要類別，如STIX、TAXII、IODEF、VERIS等。為便于對(duì)主流CTI標(biāo)準(zhǔn)的適用性進(jìn)行研究，首先對(duì)相關(guān)標(biāo)準(zhǔn)進(jìn)行梳理。2.1MITRE系列標(biāo)準(zhǔn)作為一家對(duì)全球網(wǎng)絡(luò)空間安全發(fā)揮重大影響力的非營(yíng)利機(jī)構(gòu)，制定了STIX、TAXII、CybOX等一系列標(biāo)準(zhǔn)。最初CybOX和STIX標(biāo)準(zhǔn)通常一起使用，但隨著CybOX被集成到STIX2.0中，已經(jīng)成為STIX標(biāo)準(zhǔn)的一部分，因此CybOX不再是獨(dú)立的CTI標(biāo)準(zhǔn)。TAXII是為保障STIX傳輸而專門(mén)設(shè)計(jì)的標(biāo)準(zhǔn)。（1）STIX。STIX用于在CTI環(huán)境中捕獲、指定、描述和交換信息。STIX1.0于2013年4月發(fā)布，定義了網(wǎng)絡(luò)威脅分析、威脅特征分類、應(yīng)急響應(yīng)、威脅信息共享4種場(chǎng)景下的信息結(jié)構(gòu)化表示。STIX1.0基于可擴(kuò)展標(biāo)記語(yǔ)言（eXtensibleMarkupLanguage，XML）構(gòu)建了8個(gè)主要構(gòu)件，包括可觀測(cè)數(shù)據(jù)、攻擊指標(biāo)、安全事件、攻擊活動(dòng)、威脅主體、攻擊目標(biāo)、攻擊方法、應(yīng)對(duì)措施。STIX2.0基于JSON語(yǔ)言開(kāi)發(fā)，目前由12個(gè)對(duì)象組成。STIX的整體架構(gòu)設(shè)計(jì)使它能夠以全面的、標(biāo)準(zhǔn)化和結(jié)構(gòu)化的方式呈現(xiàn)信息，可以直接與威脅情報(bào)上下文中的其他語(yǔ)言進(jìn)行集成。（2）TAXII。TAXII用于跨產(chǎn)品、服務(wù)和組織邊界來(lái)共享網(wǎng)絡(luò)威脅信息。TAXII使用XML和超文本傳輸協(xié)議（HyperTextTransferProtocol，HTTP）進(jìn)行消息內(nèi)容的傳輸，允許自定義格式和協(xié)議，設(shè)置了機(jī)密性、完整性和屬性的標(biāo)準(zhǔn)機(jī)制。TAXII是STIX結(jié)構(gòu)化威脅信息的傳輸工具，但與STIX是兩個(gè)相互獨(dú)立的標(biāo)準(zhǔn)，TAXII也可用于傳輸非STIX數(shù)據(jù)。（3）CybOX。CybOX設(shè)計(jì)的目的是使諸如CTI等安全信息的自動(dòng)化共享成為可能，提供了70多個(gè)對(duì)象來(lái)達(dá)成這一目標(biāo)。這些對(duì)象可用于定義可測(cè)量的事件或有狀態(tài)屬性，例如文件、HTTP會(huì)話、互斥鎖、網(wǎng)絡(luò)連接、網(wǎng)絡(luò)流和X509證書(shū)等，既可以是動(dòng)態(tài)數(shù)據(jù)流，也可以是靜態(tài)的數(shù)字資產(chǎn)。目前，CybOX已經(jīng)被集成到STIX2.0中。2.2MILE系列標(biāo)準(zhǔn)輕量級(jí)交換托管事件（ManagedIncidentLightweightExchange，MILE）是國(guó)際互聯(lián)網(wǎng)工程任務(wù)組下設(shè)的一個(gè)標(biāo)準(zhǔn)工作組，專注于數(shù)據(jù)格式和傳輸協(xié)議。MILE工作組定義了CTI的一攬子標(biāo)準(zhǔn)，包括IODEF、結(jié)構(gòu)化網(wǎng)絡(luò)安全信息（IODEFforStructuredCyberSecurityInformation，IODEFSCI）、實(shí)時(shí)網(wǎng)絡(luò)防御（Real-timeInter-networkDefense，RID）等。如同MITRE的TAXII，RID標(biāo)準(zhǔn)是為了IODEF的傳輸而設(shè)計(jì)的。（1）IODEF。IODEF由RFC5070定義，是一個(gè)基于XML的標(biāo)準(zhǔn)，用于計(jì)算機(jī)安全事件響應(yīng)小組共享事件信息。IODEF定義了超過(guò)30個(gè)事件數(shù)據(jù)類/子類，涵蓋信息包括關(guān)聯(lián)、時(shí)間、操作系統(tǒng)和應(yīng)用程序等，同時(shí)定義了數(shù)據(jù)處理標(biāo)簽，如靈敏度和置信度。（2）IODEF-SCI。IODEF-SCI是IODEF的擴(kuò)展標(biāo)準(zhǔn)，增加了對(duì)附加信息的支持，包括攻擊模式、平臺(tái)信息、漏洞、弱點(diǎn)、對(duì)策指令、計(jì)算機(jī)事件日志和嚴(yán)重性。IODEF-SCI通過(guò)在IODEF文檔中嵌入現(xiàn)有標(biāo)準(zhǔn)來(lái)支持附加信息。（3）RID。RID也是在IODEF基礎(chǔ)上構(gòu)建的CTI通信標(biāo)準(zhǔn)。根據(jù)RFC6545定義，RID是基于共享事件處理數(shù)據(jù)的主動(dòng)型網(wǎng)絡(luò)間通信方法，包括請(qǐng)求、確認(rèn)、響應(yīng)、報(bào)告和查詢5種消息類型。RID標(biāo)準(zhǔn)包括一個(gè)策略類，它允許根據(jù)與共享方的關(guān)系應(yīng)用不同的策略。2.3OpenIOC標(biāo)準(zhǔn)OpenIOC是由Mandiant公司引入，已作為開(kāi)放標(biāo)準(zhǔn)發(fā)布。OpenIOC是一個(gè)情報(bào)共享規(guī)范，定義了超過(guò)500個(gè)技術(shù)術(shù)語(yǔ)，大多數(shù)術(shù)語(yǔ)以主機(jī)為中心，標(biāo)題以文件、驅(qū)動(dòng)程序、磁盤(pán)、系統(tǒng)、進(jìn)程或注冊(cè)表為開(kāi)頭。威脅指示（IndicatorofCompromise，IOC）可以使用布爾邏輯來(lái)定義一個(gè)特定的惡意軟件樣本或家族，用于查找不應(yīng)該存在的項(xiàng)以及驗(yàn)證預(yù)期的項(xiàng)，例如，運(yùn)行中的服務(wù)通常是有簽名的動(dòng)態(tài)鏈接庫(kù)（DynamicLinkLibrary，DLL）文件，但如果發(fā)現(xiàn)有一個(gè)DLL文件沒(méi)有有效的簽名，則可能是一個(gè)IOC。2.4VERIS標(biāo)準(zhǔn)VERIS框架提供了定義和共享事件信息的標(biāo)準(zhǔn)方法。使用VERIS框架，相關(guān)組織可以以標(biāo)準(zhǔn)格式和詞匯表提供數(shù)據(jù)，然后可以合并這些數(shù)據(jù)，并將其組合為更大的數(shù)據(jù)集便于分析和報(bào)告。VERIS旨在提供一種通用語(yǔ)言，以結(jié)構(gòu)化和可重復(fù)方式描述安全事件。03比較研究為向CTI生產(chǎn)者在構(gòu)建威脅情報(bào)工具、平臺(tái)及系統(tǒng)時(shí)選擇合適的CTI標(biāo)準(zhǔn)提供思路，給出了選擇CTI標(biāo)準(zhǔn)的主要考量因素，在研究、參考相關(guān)文獻(xiàn)后[6-8]，對(duì)CTI標(biāo)準(zhǔn)在不同場(chǎng)景下的適用性進(jìn)行了比較分析。3.1CTI標(biāo)準(zhǔn)應(yīng)用的主要考量因素CTI生產(chǎn)者選擇以何種標(biāo)準(zhǔn)構(gòu)建CTI工具、平臺(tái)及系統(tǒng)，可從兩個(gè)維度出發(fā)，一是考慮CTI標(biāo)準(zhǔn)設(shè)計(jì)架構(gòu)是否與威脅分析任務(wù)相匹配；二是考慮CTI標(biāo)準(zhǔn)是否滿足情報(bào)生產(chǎn)各階段的側(cè)重點(diǎn)需求。如表1所示，列出了評(píng)價(jià)CTI標(biāo)準(zhǔn)應(yīng)用適用性的主要考量因素。表1對(duì)CTI標(biāo)準(zhǔn)應(yīng)用適用性的主要考量因素從體系架構(gòu)維度來(lái)看，CTI標(biāo)準(zhǔn)要能夠完整、清晰地對(duì)威脅場(chǎng)景進(jìn)行表征，至少覆蓋4個(gè)要素。一是威脅，即CTI主題，是對(duì)威脅場(chǎng)景的整體概括。二是事件，即與主題相關(guān)的實(shí)例，包括網(wǎng)絡(luò)攻擊事件、信息泄露事件、內(nèi)容安全事件等。三是威脅者，是對(duì)威脅主體及其行為、動(dòng)機(jī)的描述，威脅主體包括發(fā)起威脅事件的組織或個(gè)人。四是防護(hù)，是對(duì)防護(hù)主體及其行為、動(dòng)機(jī)的描述。從情報(bào)生產(chǎn)周期來(lái)看，CTI標(biāo)準(zhǔn)應(yīng)符合各階段不同的特性需求。在收集階段，以通用格式提供數(shù)據(jù)。在處理階段，結(jié)構(gòu)化格式和機(jī)器可讀性是必不可少的。在分析階段，一方面，不僅需要以確定的數(shù)據(jù)模型來(lái)執(zhí)行相關(guān)性并對(duì)信息進(jìn)行分類，還需要有表征相關(guān)性的關(guān)聯(lián)機(jī)制；另一方面，為使信息具有可訪問(wèn)性，對(duì)格式、系統(tǒng)和平臺(tái)之間的互操作性要求高。在利用/傳播階段，需要健全的情報(bào)傳輸和交換機(jī)制進(jìn)行保障。3.2CTI標(biāo)準(zhǔn)的比較分析從體系架構(gòu)方面來(lái)看，STIX標(biāo)準(zhǔn)對(duì)威脅場(chǎng)景能夠進(jìn)行最全面的表征。表1中所指的4個(gè)要素能夠通過(guò)STIX2.0所定義的12個(gè)域?qū)ο蠛?種關(guān)系對(duì)象進(jìn)行充分表征。雖然IODEF和OpenIOC在體系結(jié)構(gòu)方面相對(duì)完善，但對(duì)防護(hù)機(jī)制、威脅動(dòng)機(jī)的表征方面存在缺陷。從生產(chǎn)周期方面來(lái)看，STIX標(biāo)準(zhǔn)更加滿足不同生產(chǎn)階段的特性需求。在收集及處理階段，STIX2.0基于JSON語(yǔ)言提供了一種通用的結(jié)構(gòu)化格式，兼顧了低開(kāi)銷和機(jī)器可讀性。在分析階段，STIX2.0對(duì)12個(gè)對(duì)象進(jìn)行了清晰描述和文檔化處理，同時(shí)提供了具有明確關(guān)聯(lián)關(guān)系的數(shù)據(jù)模型。在傳播/利用階段，在TAXII標(biāo)準(zhǔn)的支持下，STIX2.0能夠進(jìn)行可靠傳輸。IODEF和OpenIOC基于XML語(yǔ)言，同樣提供了一種通用的、具有機(jī)器可讀性的結(jié)構(gòu)化格式。在不考慮XML語(yǔ)言與JSON語(yǔ)言差異化的前提下，在關(guān)聯(lián)關(guān)系表征機(jī)制、互操作性方面，IODEF和OpenIOC不如STIX表現(xiàn)優(yōu)秀。另外，從目前CTI標(biāo)準(zhǔn)實(shí)際應(yīng)用情況來(lái)看，STIX最具廣泛性，被大多數(shù)CTI平臺(tái)和工具支持，也被大多數(shù)組織使用，已經(jīng)成為CTI生態(tài)系統(tǒng)中處于主導(dǎo)地位的事實(shí)標(biāo)準(zhǔn)。歸根到底，CTI生產(chǎn)者對(duì)標(biāo)準(zhǔn)的選擇，取決于威脅情報(bào)分析任務(wù)、合作對(duì)象以及CTI消費(fèi)者的特定需求。如果某一個(gè)CTI生產(chǎn)者主要目的是共享事件數(shù)據(jù)，VERIS可能是最佳選項(xiàng)；如果在某個(gè)CTI組織內(nèi)部已經(jīng)使用支持OpenIOC的工具，采取OpenIOC肯定是最優(yōu)選擇；如果某CTI組織的情報(bào)分析主體只需具有普適性的行業(yè)標(biāo)準(zhǔn)