面对新型威胁和更加有针对性的网络攻击,人们必须寻求新的技术和对抗手段。安全情报分析成为一个新的热点。其实,安全情报也不是什么新话题,我在以前的博文中也多次提到,安全情报也称作Actionable Intelligence,意即可付诸行动的情报,可以直接为安全防御提供可操作的指令。安全情报可以分为多种形式,有技术层面的,也有战略层面的,最热门的一个分支就是威胁情报(Threat Intelligence)。
围绕威胁情报,也有很多个方面,有侧重于威胁情报获取,有的侧重于利用威胁情报进行企业和组织网络的安全分析,有的侧重于威胁情报在不同组织和企业之间进行共享和交换。
在RSA2013大会上,受DHS之托,MITRE介绍了他们的STIX这个威胁情报的分享标准。其实这个STIX中触及到了一个很基础性的问题——威胁情报的建模。
如图,展示了STIX v1.0的架构。核心是8个威胁的属性。
Incident(突发事件):描述这个威胁的外在表象,威胁导致的后果;
Indicator(威胁指标):表征这个威胁的特征指标。也就是威胁外在表象的内在特征。通过查看这些特征可以判定是否真的遭受了这个威胁的攻击。
Obsverable:我们可以观察到的攻击活动。
TTP(威胁技战术和行动部署):对方是怎么攻击的?
ExploitTarget:对方在攻击的过程中利用到了哪些弱点?
Course of Action:我们能够采取什么样的应对措施?
ThreatActor:攻击发起方是谁?对攻击者的描述。
Campaign:攻击者的行动目标
【参考】