威胁情报共享的相关规范和标准
美国一些媒体已开始将2015年称为"威胁情报共享元年",威胁情报共享的概念也频繁在新闻里刷脸。尽管今年上半年几乎没有什么新规范出来,但是由于部分人在威胁情报共享方面的努力,让更多人开始了解并关注这个领域。
IBM Security Systems X-Force的高级研究员Doug Franklin把安全从业者之前一直关注的统称为DHS规范,因为这是美国国土安全部(DHS)在引导着这些社区驱动的努力成果。 这些规范包括知名的CVE、CVSS等等。而最近,诸如 CybOX, STIX and TAXII也开始进入大家的关注范围。
CybOX
Cyber Observable eXpression (CybOX) 规范定义了一个表征计算机可观察对象与网络动态和实体的方法。可观察对象包括文件,HTTP会话,X509证书,系统配置项等。CybOX 规范提供了一套标准且支持扩展的语法,用来描述所有我们可以从计算系统和操作上观察到的内容。在某些情况下,可观察的对象可以作为判断威胁的指标,比如Windows的RegistryKey。这种可观察对象由于具有某个特定值,往往作为判断威胁存在与否的指标。IP地址也是一种可观察的对象,通常作为判断恶意企图的指标。
STIX
Structured Threat Information eXpression (STIX) 提供了基于标准XML的语法描述威胁情报的细节和威胁内容的方法。STIX支持使用CybOX格式去描述大部分STIX语法本身就能描述的内容,当然,STIX还支持其他格式。标准化将使安全研究人员交换威胁情报的效率和准确率大大提升,大大减少沟通中的误解,还能自动化处理某些威胁情报。实践证明,STIX规范可以描述威胁情报中多方面的特征,包括威胁因素,威胁活动,安全事故等。它极大程度利用DHS规范来指定各个STIX实体中包含的数据项的格式。
TAXII
TAXII在标准化服务和信息交换的条款中定义了交换协议,可以支持多种共享模型,包括hub-and-spoke,peer-to-peer,subscription。
TAXII在提供了安全传输的同时,还无需考虑拓朴结构、信任问题、授权管理等策略,留给更高级别的协议和约定去考虑。
其它规范
不难看出,目前大量文章内容聚焦在STIX,TAXII,CybOX。有些文章甚至都没提到扮演着同样重要角色的CVE和CVSS。另外,还有很多DHS的补充性规范也经常被所谓的“专家”所忽视。
Common Platform Enumeration(CPE)和Common Configuration Enumeration(CCE)规范了平台和配置的描述标准,就像CVE规范了漏洞的描述标准一样。Common Configuration Scoring System(CCSS)则提供了一套基于CVSS的指标。
其他规范包括:
当然还有其他的规范和标准,就不一一列举了。所有这些规范的目标都是覆盖更全面的安全通信领域,并使之成为一种标准化的东西。
美国政府和威胁情报
美国的标准化工作和努力紧密围绕Defense Information Systems Agency(国防信息系统局,简称DISA)和美国National Institute of Standards and Technology(国际标准与技术研究院,简称NIST)。 NIST主要制定系统安全的规范,特别是网络安全框架规范,并主管计算机安全资源中心。 DISA则负责制定Secure Technical Implementation Guides (安全技术实施指南,简称STIGs)来规范信息系统的安全安装与维护。这些高级术语可不止是表面功夫,它们指代了包含技术指导在内的多种标准,允许安装和维修人员锁定系统,否则可能容易受到攻击。
虽然不是经常被提起,但STIX协议可以和其他方式一样,轻松地封装SCAP的payloads。事实上,来自DHS系列中的很多标准其实都已经被SCAP覆盖到了。SCAP实际包含以下的标准:
上述的除了XCCDF,OCIL和CCSS来自DHS系列标准,剩下的都是NIST定义的。XCCDF给系统配置规则的结构化集合提供了一个标准的描述。该标准支持自动化信息交换,合规测试与评分,同时大家仍然可以根据具体需求来作定制化开发。与DHS的安全威胁情报系列标准相比,XCCDF与DHS系列中的CCE仅存在少量差异。幸运的是,这是SCAP覆盖的内容和DHS系列规范中唯一的明显差异。
OCIL提供了一个标准化的框架,以描述清单问题和解答问题的步骤,而CCSS有一套指标来衡量软件配置问题的安全性。它从公认的CVSS规范衍生出来,并提供类似的功能。
MILE
更多
在美国还有许多其他的努力,无论是在现有的标准和规范的覆盖面下填补感知的差距或纠正他们的缺陷。Mandiant开发的Open Indicators of Compromise(开放妥协的指标,简称OpenIOC)规范提供了一个对于妥协的指标技术细节的词汇表。它与CybOX有一些重叠,但也扩展了可用的词汇。
最后,US-CERT开发了Traffic Light Protocol (红绿灯协议,简称TLP)。这个规范提供了一组名称,而不是一个数据格式,但是可以简单的被包含在任何相关的标准或规范之中。TLP将可能被共享的情报分类,以控制共享范围。它定义了四个层次的共享(对应四种颜色):
总结
Doug认为,无论是威胁情报共享的概念还是实践,还都不具有革命性的意义。现在可以看到越来越多的信息泄露的新闻,更多的还藏在水面下未被报道。攻击者最近频繁得手,而信息安全从业者作为防御方需要考虑如何反击。善用威胁情报共享,便可以帮助我们扭转局面。在需求如此明显的情况下,围绕着威胁情报共享的活动会越来越丰富。老美当前的做法是,推动威胁情报数据的获取、封装和消费的项目,并将这些项目成果融合成标准和规范,来推动威胁情报共享事业的发展。
在中国,我们也发现越来越多的安全圈朋友开始思考以何种方式共享威胁情报。感兴趣的朋友可以评论留言或者发邮件至share#sobug.com,Sobug考虑组织下圆桌讨论:)
本文作者:TeacherYang
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/34801.html