1、美国网络威胁情报共享技术框架与标准浅析 李 瑜 何建波 李俊华 余彦峰 谭 辉 / 国家保密科技测评中心 一、背景随着网络技术的不断发展,网络空间大规模扩张,信息安全所面临的安全威胁也越来越严峻。传统的防火墙、入侵检测和防病毒软件等以特征检测为手段的静态防御方式,已经难以对抗持续变化和升级的攻击手段,比如APT攻击。针对于此,“威胁情报”应运而生。威胁情报描述了现存的,或者是即将出现的针对资产的威胁或危险,并针对相关威胁或危险能够采取某种响应措施。在整个防御过程中,单个或几个用户的威胁情报信息往往是不够的,只有实现“共享”,最大限度地将海量的安全威胁情报信息汇集起来,才能实现威胁情报信息不断地
2、被收集、丰富、分析、再收集,从而形成一个有效的闭环。因此,随着新型威胁的不断增长,网络安全的防御技术也不断进步,0Day漏洞情报、僵尸网络情报等威胁情报的共享很大程度上解决了现有网络安全防御技术的不足,并能够在监控、检测、防护、响应体系中运用,提升现有体系的防护效果和效率。作为网络空间的主导者,美国政府高度重视网络安全威胁信息的共享,早在2003年的网络空间安全国家战略中就提出了建立信息共享与分析中心(ISAC),确保能够接收实时的网络威胁和漏洞数据。经过几年的不断发展,网络安全信息共享法案网络威胁情报共享指南标准(草稿)等相继发布,威胁情报共享已经成为美国信息安全所关注的重中之重。本文归纳分
3、析了美国主要的网络威胁情报共享技术框架与标准,指出我国威胁情报共享存在的差距,最后就涉密领域构建威胁情报共享体系提出建议,并论证其可行性。二、美国网络威胁情报共享的技术框架与标准(一)美国网络威胁情报管控的总体架构美国政府依托其近几年不断发展完善的威胁情报共享技术,构建了名为“网络天气地图”的威胁情报管理体系,如图1所示。第一,通过国家网络安全保护系统与互联网中相关的探测器关联,收集相关的威胁情报信息;第二,利用大数据分析技术,并结合外部的其他威胁情报来源,提取形成有价值的威胁情报;第三,根据威胁情报信息,生成相关的安全策略,并下发至防护设备,进行有目标的防护;第四,将获得的威胁情报信息能够快
4、速地在网络16| 保密科学技术 | 2016 年 6 月pecial SchemeS特别策划中交换共享,并与外部威胁情报源共享。(二)美国网络威胁情报共享的标准随着网络威胁情报交换技术的发展,美国出现了众多威胁情报共享交换标准,主流的标准包括STIX、TAXII、OpenIOC等。(1)STIXeXpression)是一种语言,提供了基于XML语法描述威胁情报的方法,从而规范网络威胁信息的描述、采集和交流。STIX架构如图2所示。从图中可以看出,STIX的核心是威胁情报2016 年 6 月 | 保密科学技术 | 17特别策划pecial SchemeS图1 美国国土安全部基于威胁情报的网络天气
5、地图架构网络天气地图物联网相关实体边界防护主机防护示例实体基础设施防护因特网观测感知决策采取措施威胁情报和配置细节国家威胁情报防护系统业务分析商业威胁情报威胁数据源格式化情报(STI X/TAXI I)分析人工管理机器信誉分析情报共享交换源1外部威胁情报交换源交换源2交换源3的8个相关属性。Obsverable:网络观测,这是威胁情报中最基本的信息,比如DOS攻击造成的网络堵塞、系统遭受到的破坏等。Indicators:威胁的特征指标,即能够刻画一个威胁情报的特征要素,通过查看这些特征要素能够判定是否发生了该威胁的攻击。主要包括威胁检测或测试方法、特征指标的来源、造成的影响、有效时间、处理方法
6、等。Incident:安全事件描述,包括威胁发生的时间、位置、特征指标、攻击意图、攻击利用的技术和过程、影响评估、采取的行动响应过程、事件的日志等。TTP:是Tactics、Techniques、Procedures的缩写,指安全威胁的手段、技术、过程,这是威胁情报中最为关键的信息,通过手段、技术、过程三个维度对安全事件进行全面的描述,主要包括恶意攻击的行为、采用的工具、受害目标、利用的弱点、影响及后果等。Campaign:攻击动机,即攻击者为什么要发起这次攻击,代表了攻击者的意图,它能够充当元结构来关联相关的TTP、事件等。Exploit Target:攻击目标,即被攻击系统,以及被利用的系
7、统漏洞等信息。明确有关可能被对手有针对性利用的技术漏洞、软件配置错误、系统或网络的风险信息。这些信息可能来自于漏洞平台、地下黑市、0Day漏洞等等。Course of Action:所采取的应对方案,针对网络攻击所采取的行动,以降低威胁的影响及破坏范围。Threat Actor:威胁源,明确威胁的来源或者人员,并关联出与其相关的其他威胁的人员。STIX主要可适用于四类场景:威胁分析:包括威胁的判断、分析、调查、保留记录等;威胁特征分类:通过人工方式或自动化工具将威胁特征进行分类;威胁及安全事件应急处理:安全事件的防范、侦测、处理、总结等,对以后的安全事件处置能够有很好的借鉴作用;威胁情报分享:
8、用标准化的框架进行威胁情报描述与共享。实践证明,STIX规范可以描述威胁情报中多方面的特征,包括威胁因素、威胁活动、安全事故等。它支持使用CybOX格式去描述大部分STIX语法本身就能描述的内容,而且STIX还支持18| 保密科学技术 | 2016 年 6 月pecial SchemeS特别策划图2 STIX架构关联动机攻击动机威胁源威胁特征指标攻击技术手法TTP网络观测安全事件描述攻击应对措施攻击目标行为关联相关动机相关行为相关攻击手法明确的攻击手法关联特征指标检测行为指标关联特征指标建议应对措施攻击行为参数应对措施请求应对措施获取被攻击目标攻击手法抽象关联攻击手法关联安全事件关联攻击源关联
9、应对措施相关攻击事件描述直接的攻击技术手法相关攻击源潜在应对措施关联目标历史动机属性CampaignIndicatorObsverableThreat ActorIncidentExploit TargetCourse of Action2016 年 6 月 | 保密科学技术 | 19特别策划pecial SchemeS其他格式。标准化的规范使得安全研究人员交换威胁情报的效率和准确率大大提升,有效减少了沟通中的误解,并且能自动化处理某些威胁情报,STIX具有较高的实用性、灵活性和可扩展性。(2)TAXIITAXII(Trusted Automated eXchange of Indicator
10、 Information)提供了威胁情报安全传输和信息交换标准,是对STIX在传输层面的补充。TAXII定义了交换协议,可以支持多种共享模型。TAXII不但能够传输TAXII格式的数据,也支持其他多种格式数据的传输。目前,美国通用的做法是用TAXII来传输数据,用STIX来描述情报,用CybOX作为威胁情报词汇。TAXII在提供了安全传输的同时,兼顾了网络拓扑结构、不同结点信任、授权管理等问题。TAXII威胁情报利用架构如图3所示。图3 TAXII威胁情报利用架构如图4所示,TA X I I主要的威胁情报共享模型包括了点对点(P e e r t o P e e r)、订阅型(S o u r c
11、 e / S u b s c r i b e r)、辐射型(H u b a n d Spoke)三种方式。在点对点的威胁情报共享架构中,任意的组织都是威胁情报的生产者和消费者,威胁情报的信息流从一个点流动到另一个点;在订阅型的威胁情报共享架构中,一个组织作为所有用户的威胁情报来源,威胁情报从这个源头流向所有的情报用户;在辐射型威胁情报共享架构中,一个组织作为情报中心,情报接收点与情报中心共享威胁情报,并与其他的情报接收点共享信息。情报中心在情报共享前能够对威胁情报进行分析和过滤。TAXII主要规范了如下内容:服务规范:定义了TAXII的服务类型、TAXII情报类型以及情报交流格式;消息规范:消
12、息统一采用XML格式;协议规范:确定了HTTP/HTTPS作为TAXII传送的协议,从安全角度推荐采用h t t p s协议传输;查询格式规范:定义了缺省的查询格式和处理规则。的优势是网络威胁信息共享速度更图4 TAXII威胁情报共享模型网络/主机入侵检测设备主机防护点威胁情报防护部署(机器)接收威胁情报(机器)威胁特征指标攻击应对措施观察到的行为威胁特征指标威胁情报分析(人工&机器)安全事件描述攻击技术手法攻击动机攻击源点A点B点C点D订阅者订阅者情报获取/产生结点情报获取/产生结点情报产生结点情报获取结点订阅者订阅者点E威胁情报源威胁情报汇聚快,能够更好地保护安全与隐私,降低技术门槛让更多
13、组织参与,分析优化,与其他产品的兼容性强。(3)OpenIOCOpenIOC(Open Indicator of Compromise)是MANDIANT公司发布的情报共享规范。OpenIOC是一个定义及共享威胁情报的格式,它能够通过机读的方式实现不同类型威胁情报的快速共享。OpenIOC主要使用XML来实现,XML语言提供了丰富、灵活的格式来将数据表示成可机读的形式,并定义自己的指示器属性表,里面列出了要使用的诸多属性。都是一个复合指示器,通常将多个Indicator组合到一起作为一个攻击指示器IOC(Indicator of Compromise),最终在形式上IOC就是一个复合表达式,当
14、表达式值为真时,则该IOC命中。IOC中主要包括如下定义:表达式(Expression):定义了一个或几个条件,当为真值时,表明存在一个入侵行为;简单表达式(Simple Expression):没有使用AND或OR两种逻辑运算符的表达式;复杂表达式(Complex Expression):多个简单表达式通过AND或OR连接;攻击指示器(IOC):多个表达式的连接,可以是简单表达式或复杂表达式,如图5所示。图5 IOC举例IOC存储在一个XML文件中,类型名为ioc,IOC的XML标签并不多,其粒度主要通过设置不同的属性来实现。通过模块化逻辑结构,可以随时根据获得的信息和知识进行IOC优化调整
15、。IOC用到的基本XML标签1如下:用于标识一个IOC对象;:用于定义具体的指示器符号:用于包含多个属性;:用于描述一个具体的属性,其id值标识该属性,condition表明该表达式成立条件;:用于定义属性的大类和子类,标记属性名,如document= “FileItem“;:用于定义属性值的类型以及属性值,如type=“char“;IOC工作流程主要包括:获取初始证据:根据主机或网络的异常行为获取最初的数据;建立主机或网络的IOCs:分析初步获得的数据,根据可能的技术特征建立IOCs;在企业中部署IOCs:在企业的其他机器或网络中部署IOCs,开始检测;发现更多的可疑主机;I O C s优化
16、:通过初步检测可获取的新证据,并进行分析,优化已有的IOCs。(4)其他标准三、我国威胁信息共享存在的差距(1)我国威胁信息共享缺乏上层组织与顶层架构。信息安全的防火墙等传统“老三样”已经难以有效应对新型的网络攻击,而威胁信息共享技术能够很大程度上弥补这种不足,在技术上已经形成了非发展不可的倒逼之势。而形成鲜明对比的是,目前我国尚未出现威胁信息共享的20| 保密科学技术 | 2016 年 6 月pecial SchemeS特别策划“国家队”。虽然国家近几年连续出台了互联网等级保护、涉密网分级保护的相关标准与规定,但是尚没有职能部门将政府机关、企业单位以及个人计算机的网络威胁信息组织起来分析利用
17、,也没有从顶层设计的角度去架构国内整个产业的未来发展。对于威胁信息共享来讲,我们已大大落后于美国的发展。(2)在威胁信息共享方面缺少相应的法规制度。威胁信息共享是一个多方参与的过程,开放的互联网易导致参与方信息披露、隐私泄露等风险,而涉密网虽然不存在隐私保护问题,却涉及党政机关、军工单位等的涉密信息保护问题,因此,威胁信息共享的过程中必然存在各种困难,如何处理政府职能部门之间、政府与企业之间、不同企业之间、政府与整个威胁情报生态链之间的合作模式,把握各参与方的互操作性,使得信息共享的参与方都能够从中获益,是亟待解决的问题。(3)安全产品之间不能互通使得威胁情报不具备共享的基础。一方面,不同类型
18、的安全防护产品,对安全事件描述、安全策略的定义各不相同;另一方面,即使是同类型的防护产品,不同厂商的日志格式、事件描述、安全策略定义也大相径庭。这样势必导致两个后果:一是从情报的采集来讲,由于不具备统一的安全威胁情报格式,分析平台难以对这些信息进行汇总分析;二是从防护的效果来讲,由于不同厂商的安全产品不能实现互联互通,即使某个产品发现了网络攻击威胁,也不能将消息及时传递给网络中的其他安全产品,难以构建一体化的全网防御。(4)产业的发展缺乏统一标准引导。目前,我国虽然也出现了一些威胁情报相关的企业或产业联盟并推出了相关产品,如360威胁情报中心、谷安天下安全值、微步在线、白帽汇等,但并没有形成针
19、对威胁情报的标准规范,一旦标准滞后于产品的发展,待威胁情报共享进入大发展阶段后,由于各家的情报信息不互通,其整体的安全防御效果必然大打折扣,若此时再回过头来进行威胁情报格式接口的规范统一,必然造成人力、物力、财力的极大浪费。四、意见建议目前,为了应对不断出现的新型网络攻击,缩小同美国等网络发达国家之间的差距,威胁情报共享技术的需求已越来越迫切。我国应当尽快建立国家层面的网络安全威胁情报共享体系,从顶层架构的角度解决制度、法规、标准等问题,提升对新一代网络攻击的发现、分析及响应处置能力。然而,由于我国的威胁情报发展正处于刚刚起步阶段,全国范围内建立威胁情报共享尚言之过早,我们认为选取党政机关、军
20、工企业都部署的涉密网络作为试点更显得切实可行,主要基于两点考虑:一是从顶层架构来讲,开放式的互联网难以对上网用户主机、软件通信接口、信息共享等做出统一要求,从威胁信息共享的基础数据采集角度来说,目前还不能提供大量的格式化基础数据。而党政机关、军工企业等的涉密网络建设标准、管理要求等都是由保密行政管理部门统一管辖,对比互联网来讲更容易从顶层架构的角度解决用户不愿共享信息的矛盾,更有利于提出统一的建设框架与建设标准。二是网络中的安全产品是威胁情报信息的采集点与响应点,保密领域的安全产品标准是强制性标准,这更有利于对威胁情报的描述及交换格式统一,使得不同产品之间能够互联互通,既有利于加大威胁信息收集源,又有利于实现在发现威胁情报后的快速响应,从而构建统一的、覆盖全国涉密领域的威胁情报发现、分析和处置体系。END参考文献:1 Windhawk.浅析安全威胁情报共享框架OpenIOCEB/OL. 2015-11-24. http:/www. 金湘宇.美国网络威胁情报共享的发展动态及启示J.赛博信息,2015,3(01):47.2016 年 6 月 | 保密科学技术 | 21特别策划pecial SchemeS
