对主流网络威胁情报标准应用的比较研究

01研究背景自2013年Gartner首次对威胁情报进行定义后，威胁情报逐渐成为网络安全的热点领域之一，于2015年进入中国市场。政府、企业对CTI的重视程度不断提高，积极推动以CTI共享为基础的网络安全监测预警体系构建，企业各方围绕威胁情报技术及商业模式开展探索。本章围绕CTI概念、重要性和生产周期等问题进行阐述。1.1理解“CTI”CTI是威胁情报中的一种。根据Gartner对威胁情报的定义，“威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临的、已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应处理决策提供信息支持”。可以把CTI简单理解为：与计算机、网络和信息技术相关的威胁情报，使安全防护者在数据支持下能够做出更快速、更明智的安全决策，在对抗网络威胁时化“被动”为“主动”。CTI有3个关键特征：第一，它不仅是数据，而且是经过分析的信息；第二，具有可操作性，可以指导网络安全风险分析、应急响应、网络系统安全配置等实践活动；第三，CTI可以是战略或战术层面的，战略层面是指可获得对手动机等深层情报，战术层面是指可获得技术、手段、路径等浅层情报，如IP地址、域名、统一资源定位系统（UniformResourceLocator，URL）、文件哈希值等。1.2CTI的重要性在网络威胁日益猖獗的今天，越来越多的企业认识到CTI的价值，并逐渐加大这方面的支出力度。但大多数企业或机构主要限于操作层面的威胁情报利用，即战术层面CTI，例如将威胁情报与入侵防御系统、防火墙、安全网关、安全信息和事件管理系统（SecurityInformationandEventManagement，SIEM）的配置策略进行关联，这并未充分发挥CTI更深层次的价值，即战略层面价值。CTI战略层面价值主要体现在（不仅限于）：一是预测可能遭受的网络攻击行为，使安全团队预先做出决策；二是通过揭示网络攻击者的攻击动机、战术、技术、流程，赋予网络安全相关方相应权力；三是帮助安全专业人员更好地分析威胁方的动机，理清攻击事件后的威胁逻辑；四是影响企业管理者投资决策，降低系统安全风险。1.3CTI的生产周期通常来说，可以将情报的生产周期划分为收集数据、处理数据（数据转化信息）、分析信息（信息产生情报）3个阶段。CTI在满足及时性、准确性和相关性的情报普适性要求的基础上，还需要满足可操作性要求（用于指导网络安全实践），如图1所示，在情报生产周期基础上，CTI生产周期增加了传播和利用两个阶段。图1网络威胁情报的生产周期收集阶段：根据既定需求，CTI分析团队收集数据，数据来源包括流量日志、公开可用的数据源、相关论坛、社交媒体、行业或领域专家等。收集阶段是CTI生产的开端，需要在充分了解用户需求以及上下文语境的前提下进行。此阶段未经处理和分析的数据不是情报，而是生产情报的基本材料。处理阶段：将原始数据处理成适合分析的格式，例如，将数据结构化为电子表格、解密文件等，同时评估数据的相关性和可靠性。这一阶段，数据经过处理和分析生成结构化信息，具备了可查找特性，成为信息。分析阶段：CTI分析团队根据信息产生情报，并为用户提供有价值的建议，可与用户安全防护系统的防御机制集成联动，支撑用户制定新的防护策略。利用/传播阶段：进入利用阶段还是传播阶段，取决于是否到达最终用户。利用阶段是指情报到达最终用户，用户根据CTI报告，确定是否需要调整网络安全防护措施及策略；传播阶段是指同一组织或不同组织间共享和传播CTI的过程。可以将CTI生态系统简单划分为生产者（包括CTI传递者）和消费者。CTI生产者汇集和接收网络威胁信息，经过处理、分析、编排后形成情报并发布，包括专业的威胁情报分析机构、情报服务机构等，是收集、处理、分析、传播阶段的行为主体。CTI消费者在获取情报后，及时调整安全策略、降低安全风险、实现情报价值，是利用阶段的行为主体。02主要标准标准在CTI生产过程中发挥了重要作用，是CTI生产者构建CTI平台的基础。对收集到的数据进行自动化处理，需要依据标准对数据进行格式化，并利用通用语言进行描述。对CTI进行传播，需要基于统一的数据格式，同时隐式地定义数据元素的信息密度需求。目前，主要的CTI标准已经超过20种，共享交换标准是CTI标准的主要类别，如STIX、TAXII、IODEF、VERIS等。为便于对主流CTI标准的适用性进行研究，首先对相关标准进行梳理。2.1MITRE系列标准作为一家对全球网络空间安全发挥重大影响力的非营利机构，制定了STIX、TAXII、CybOX等一系列标准。最初CybOX和STIX标准通常一起使用，但随着CybOX被集成到STIX2.0中，已经成为STIX标准的一部分，因此CybOX不再是独立的CTI标准。TAXII是为保障STIX传输而专门设计的标准。（1）STIX。STIX用于在CTI环境中捕获、指定、描述和交换信息。STIX1.0于2013年4月发布，定义了网络威胁分析、威胁特征分类、应急响应、威胁信息共享4种场景下的信息结构化表示。STIX1.0基于可扩展标记语言（eXtensibleMarkupLanguage，XML）构建了8个主要构件，包括可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施。STIX2.0基于JSON语言开发，目前由12个对象组成。STIX的整体架构设计使它能够以全面的、标准化和结构化的方式呈现信息，可以直接与威胁情报上下文中的其他语言进行集成。（2）TAXII。TAXII用于跨产品、服务和组织边界来共享网络威胁信息。TAXII使用XML和超文本传输协议（HyperTextTransferProtocol，HTTP）进行消息内容的传输，允许自定义格式和协议，设置了机密性、完整性和属性的标准机制。TAXII是STIX结构化威胁信息的传输工具，但与STIX是两个相互独立的标准，TAXII也可用于传输非STIX数据。（3）CybOX。CybOX设计的目的是使诸如CTI等安全信息的自动化共享成为可能，提供了70多个对象来达成这一目标。这些对象可用于定义可测量的事件或有状态属性，例如文件、HTTP会话、互斥锁、网络连接、网络流和X509证书等，既可以是动态数据流，也可以是静态的数字资产。目前，CybOX已经被集成到STIX2.0中。2.2MILE系列标准轻量级交换托管事件（ManagedIncidentLightweightExchange，MILE）是国际互联网工程任务组下设的一个标准工作组，专注于数据格式和传输协议。MILE工作组定义了CTI的一揽子标准，包括IODEF、结构化网络安全信息（IODEFforStructuredCyberSecurityInformation，IODEFSCI）、实时网络防御（Real-timeInter-networkDefense，RID）等。如同MITRE的TAXII，RID标准是为了IODEF的传输而设计的。（1）IODEF。IODEF由RFC5070定义，是一个基于XML的标准，用于计算机安全事件响应小组共享事件信息。IODEF定义了超过30个事件数据类/子类，涵盖信息包括关联、时间、操作系统和应用程序等，同时定义了数据处理标签，如灵敏度和置信度。（2）IODEF-SCI。IODEF-SCI是IODEF的扩展标准，增加了对附加信息的支持，包括攻击模式、平台信息、漏洞、弱点、对策指令、计算机事件日志和严重性。IODEF-SCI通过在IODEF文档中嵌入现有标准来支持附加信息。（3）RID。RID也是在IODEF基础上构建的CTI通信标准。根据RFC6545定义，RID是基于共享事件处理数据的主动型网络间通信方法，包括请求、确认、响应、报告和查询5种消息类型。RID标准包括一个策略类，它允许根据与共享方的关系应用不同的策略。2.3OpenIOC标准OpenIOC是由Mandiant公司引入，已作为开放标准发布。OpenIOC是一个情报共享规范，定义了超过500个技术术语，大多数术语以主机为中心，标题以文件、驱动程序、磁盘、系统、进程或注册表为开头。威胁指示（IndicatorofCompromise，IOC）可以使用布尔逻辑来定义一个特定的恶意软件样本或家族，用于查找不应该存在的项以及验证预期的项，例如，运行中的服务通常是有签名的动态链接库（DynamicLinkLibrary，DLL）文件，但如果发现有一个DLL文件没有有效的签名，则可能是一个IOC。2.4VERIS标准VERIS框架提供了定义和共享事件信息的标准方法。使用VERIS框架，相关组织可以以标准格式和词汇表提供数据，然后可以合并这些数据，并将其组合为更大的数据集便于分析和报告。VERIS旨在提供一种通用语言，以结构化和可重复方式描述安全事件。03比较研究为向CTI生产者在构建威胁情报工具、平台及系统时选择合适的CTI标准提供思路，给出了选择CTI标准的主要考量因素，在研究、参考相关文献后[6-8]，对CTI标准在不同场景下的适用性进行了比较分析。3.1CTI标准应用的主要考量因素CTI生产者选择以何种标准构建CTI工具、平台及系统，可从两个维度出发，一是考虑CTI标准设计架构是否与威胁分析任务相匹配；二是考虑CTI标准是否满足情报生产各阶段的侧重点需求。如表1所示，列出了评价CTI标准应用适用性的主要考量因素。表1对CTI标准应用适用性的主要考量因素从体系架构维度来看，CTI标准要能够完整、清晰地对威胁场景进行表征，至少覆盖4个要素。一是威胁，即CTI主题，是对威胁场景的整体概括。二是事件，即与主题相关的实例，包括网络攻击事件、信息泄露事件、内容安全事件等。三是威胁者，是对威胁主体及其行为、动机的描述，威胁主体包括发起威胁事件的组织或个人。四是防护，是对防护主体及其行为、动机的描述。从情报生产周期来看，CTI标准应符合各阶段不同的特性需求。在收集阶段，以通用格式提供数据。在处理阶段，结构化格式和机器可读性是必不可少的。在分析阶段，一方面，不仅需要以确定的数据模型来执行相关性并对信息进行分类，还需要有表征相关性的关联机制；另一方面，为使信息具有可访问性，对格式、系统和平台之间的互操作性要求高。在利用/传播阶段，需要健全的情报传输和交换机制进行保障。3.2CTI标准的比较分析从体系架构方面来看，STIX标准对威胁场景能够进行最全面的表征。表1中所指的4个要素能够通过STIX2.0所定义的12个域对象和2种关系对象进行充分表征。虽然IODEF和OpenIOC在体系结构方面相对完善，但对防护机制、威胁动机的表征方面存在缺陷。从生产周期方面来看，STIX标准更加满足不同生产阶段的特性需求。在收集及处理阶段，STIX2.0基于JSON语言提供了一种通用的结构化格式，兼顾了低开销和机器可读性。在分析阶段，STIX2.0对12个对象进行了清晰描述和文档化处理，同时提供了具有明确关联关系的数据模型。在传播/利用阶段，在TAXII标准的支持下，STIX2.0能够进行可靠传输。IODEF和OpenIOC基于XML语言，同样提供了一种通用的、具有机器可读性的结构化格式。在不考虑XML语言与JSON语言差异化的前提下，在关联关系表征机制、互操作性方面，IODEF和OpenIOC不如STIX表现优秀。另外，从目前CTI标准实际应用情况来看，STIX最具广泛性，被大多数CTI平台和工具支持，也被大多数组织使用，已经成为CTI生态系统中处于主导地位的事实标准。归根到底，CTI生产者对标准的选择，取决于威胁情报分析任务、合作对象以及CTI消费者的特定需求。如果某一个CTI生产者主要目的是共享事件数据，VERIS可能是最佳选项；如果在某个CTI组织内部已经使用支持OpenIOC的工具，采取OpenIOC肯定是最优选择；如果某CTI组织的情报分析主体只需具有普适性的行业标准