公益译文项目
使用 STIX™规范
网络威胁情报信息
Sean Barnum
2014 年 2 月 20 日
原文名称
Standardizing Cyber Threat Intelligence Information with the Structured Threat Information eXpression(STIX™)
原文作者
Sean Barnum
原文发布日期
2014 年 2 月 20 日
文档信息
作者简介
原文发布单位 MITRE
原文出处
https://stixproject.github.io/
译者
小蜜蜂公益翻译组
校对者
小蜜蜂公益翻译组
免责声明
本文原文来自于互联网的公共方式,由“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,
“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”
社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。
在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或
部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,
法律责任由用户自负。
“安全加”社区
小蜜蜂公益翻译组
目录
摘要······························································································ 1
1 引言 ··························································································· 2
2 背景 ··························································································· 3
3 现用方法 ····················································································· 5
4 发展历史 ····················································································· 6
5 何为 STIX ? ················································································ 7
6 用例 ··························································································· 8
6.1 (用例 1)分析网络威胁 ··································································· 8
6.2 (用例 2)明确网络威胁的指标特征 ···················································· 8
6.3 (用例 3)管理网络威胁响应活动 ······················································· 8
6.4 (用例 4)共享网络威胁信息 ····························································· 9
7 指导原则 ··················································································· 10
7.1 清晰表达 ·······················································································10
7.2 集成,而非复制 ··············································································10
7.3 灵活性 ··························································································10
7.4 扩展性 ··························································································10
7.5 自动化 ··························································································10
7.6 可读性 ··························································································10
8 架构 ··························································································11
9 STIX 结构 ·················································································· 12
9.1 可观察物 ·······················································································12
9.2 指标 ·····························································································12
9.3 安全事件 ·······················································································12
9.4 策略、技术与过程(TTP) ·······························································12
9.5 行动 ·····························································································13
9.6 威胁源起方 ····················································································13
9.7 利用目标 ·······················································································13
9.8 行动方案(COA) ··········································································14
9.9 数据标记 ·······················································································14
10 实现 ······················································································· 15
11 用法 ························································································ 16
12 结论及未来工作 ········································································ 17
13 致谢 ······················································································· 18
参考···························································································· 19
摘要
对组织来说,获得网络威胁情报能力越来越必要,而成功获取该等能力的关键要素是与合作伙伴、友商
及所信任的其他人进行信息共享。网络威胁情报和信息共享可帮助组织聚焦庞杂的网络安全信息,并对数据
的使用进行优先级排序,组织要处理此类信息,就必然需要标准化的、结构化的信息表达。STIX 指“结构化
威胁信息表达”,是由多人群策群力共同定义、开发的描述结构化威胁信息的标准化语言,目前处于快速演
进中。STIX 语言用以描述各种网络威胁信息,表达准确、灵活,具有可扩展性,可自动化,并易于理解。虽
然是个较新的标准,且处于发展阶段,全球许多网络威胁相关组织及群体正积极采用或考虑采用 STIX。欢迎
各方人士通过 STIX 网站、Email 讨论清单及其他合作论坛踊跃加入这个开放、合作的群体,一起推动 STIX
的发展。
公益译文项目
1
商标信息
STIX、TAXII、CybOX、MAEC、CAPEC、CVE、CWE 及 CCE 为 MITRE 公司的商标。
本技术资料依据 HSHQDC-11-J-00221 合同为美国政府提供,受 DFARS 252.227-7013(1995 年
11 月)“非商业项目技术资料所含权利”条款的约束。
©2014 MITRE 公司版权所有。
反馈
STIX 的成功离不了各群体的输入。如对本文件或其他 STIX 文档有任何意见、问题、建议,可通过
邮件发送至 stix@mitre.org。
使用STIX™规范网络威胁情报信息2014年2月V1.12017
1 引言
网络威胁信息共享与梳理需要基于多人协作开发的标准,该标准应不断完善与细化。本文即为这一过程
中产生的文档。STIX 的形成得益于来自各行业、学术界与政府的组织与专家的反馈和积极参与,包括安全运
营中心、CERT、网络威胁情报单位网络威胁信息的消费者与生产者、安全主管人员与决策人员以及大量活跃
的信息共享群体,共享模型多种多样。HS-SEDI 代表美国国土安全部,协调 STIX 工作,欢迎各方踊跃加入
STIX 社区。
公益译文项目
2
使用STIX™规范网络威胁情报信息2014年2月V1.12017
公益译文项目
3
2 背景
网络安全是一个复杂的领域,涉及各方面问题,今后只会越来越复杂。人们对于复杂的技术越来越依赖,
与此同时,威胁环境不断恶化,速度之快令人心惊。传统的网络安全方法关注的是内部对于漏洞、缺陷与配
置的理解与处理,这很有必要,但还不够。对于当今与未来威胁的有效防护还需要对外部因素给以同样的关注,
了解攻击者的行为、能力与意图。内外协调,知己知彼,才能直击威胁本质,作出明智决策。
现下不断演变的威胁环境使攻击场景愈加复杂。除了商业化威胁,一些过去罕见的高级能力现在也很普
遍了。攻击者并不仅仅发动大规模的破坏行动(如几年前的 Storm 蠕虫爆发),反而常会低调行事,分阶段
发动一些定向攻击,以实现特定战术目标,在企业网络中长期潜伏。
要有效理解这种较新的攻击场景及其防护措施,可从“攻击链 1”着手,因为攻击链反应了攻击的各个步骤。
如下所示,攻击分成几个步骤进行,最终攻击者在被害者网络中建立了据点。这是现在复杂的高级持续威胁
(APT)的惯用伎俩。APT 源起方一般为国家,但是 APT 攻击也会被用以网络犯罪、金融威胁、工业间谍、
黑客行动与恐怖活动。
网络攻击链示例
APT 的目的是长期潜伏,造成持续伤害,显然也有这个能力。这就促使网络安全防护由传统的被动回应
转变为主动出击。漏洞被利用后再进行响应,代价高昂,因为效果有限,根除攻击据点也要花费很大力气。
要实现主动防御,网络防护者需要提前(最好在上图所示攻击链的利用阶段之前,也就是攻击左侧)阻止攻
击者,从根本上改变游戏性质。移到攻击左侧要求防护方的防护策略由事后调查与响应转变为受网络威胁情
报驱动。
传统的情报有助于了解敌方能力、行动以及意图,网络领域的情报也具有同样功能。网络情报用于了解信息,
归纳信息的特征,比如:已发生和可能发生哪些攻击行动、如何检测、识别和缓解这些攻击、相关威胁源起
方是谁,试图达到什么目的、从其已利用和将来可能利用的策略、技术与过程(TTP)来看,他们具备哪些能力、
他们可能要利用哪些漏洞、错误配置或缺陷、他们曾经采取了哪些行动等等。
全面了解攻击者所造成的威胁可进行更有效的决策支撑,确定行动优先级,更可能彻底打破攻防双方之
间的平衡。根据 Hutchins、Cloppert 及 Amin[9]:
“情报驱动的计算机网络防护(CND)使网络安全更具韧性。APT 源起方从本质上说是不停地进行入侵,根据每
次入侵的结果(成功或失败)调整行动。在攻击链模型中,只要有一项缓解措施击破了链条,阻止了攻击者,后续任
何相同动作都会被防护方识别及利用。”
“通过这个模型,防护方可制定弹性的缓解措施,并对新技术或流程的投资作出明智决策。”
“若防护方的防护快于攻击方的演进,攻击方则需要提高成本以达到自己的目标。这个模型表明,与传统认识相
反的是,攻击方与防护方相比并不具有内在优势。”
网络威胁情报本身就是一个挑战,因为组织单凭一己之力无法从内部获取到足够的相关信息,准确感知
威胁情况。要克服这种局限性,需与可信合作伙伴与团体进行相关的网络威胁信息共享。通过信息共享,每
个合作伙伴都可能会从理论和实践上更彻底地理解威胁情况,知晓识别攻击者所要获取的具体信息。A 组织
1 http://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-
Driven-Defense.pdf
使用STIX™规范网络威胁情报信息2014年2月V1.12017
今天面临的威胁可能就是 B 组织明天所要面临的威胁,尤其是当 A 和 B 同为某个攻击者的攻击目标时。若
A 组织基于自己对某个威胁的了解与观察总结出网络威胁指标 2,并将其作为个人实战经验进行分享,B 组织
则可以利用这个信息在攻击发动前(攻击链上的攻击左侧)解决这个威胁。
鉴于威胁情况变得日益复杂、事件发生的速度之快以及网络威胁情报与威胁信息共享中所涉及的海量数
据,采用自动化处理以辅助人类分析或以机器速度实施防护措施是有效对抗攻击的前提。自动化要求输入高
质量信息。高防护能力大多无法基于同类架构形成,而是从各种迥异的产品及系统中获得。将所有这些因素
结合起来要求标准化、结构化的威胁信息表达方式,以尽可能使更多的信息源群体贡献、利用信息,而无需
事先知道谁会提供什么信息。
威胁共享组织面临的一个挑战是要具有构筑网络威胁信息的能力,同时又不失人类在共享中的判断与控
制力。许多情况下,组织交换信息时希望信息既是人类可读,又是机器可解析的。多数信息共享项目都可以
满足这个要求,使组织不仅可以使用数据而且在情报收集流程中可以访问数据。情报流程主要由人类情报分
析师驱动,这类分析师关注的是不适于自动化的分析类型或要求人类进行的决策,第二种情况要求有人类互动,
以便分析师可通过读取威胁信息而直接感知威胁态势并了解威胁情境。此外,因为共享威胁信息的质量参差
不齐,情报分析师常要基于信息来源及信息产生方法评估信息的准确性。
由于上述因素,需要对威胁信息进行结构化的表达,这种表达方式应该清晰、灵活、可读,并且可以自动化,
具有可扩展性。本文简要介绍了由多人群策群力共同开发的针对这个问题的解决方案,即结构化威胁信息表
达(STIX)。
公益译文项目
4
2 网络威胁指标:与情境信息结合的一组网络可察物,用以表示一个具体的网络安全环境下的重要工件及 / 或行为。
使用STIX™规范网络威胁情报信息2014年2月V1.12017
3 现用方法
STIX 是较新的概念,但是网络威胁信息共享,尤其是指标,却早有实践。当前,管理、交换的信息一
般极为微细、多变,不够成熟与准确。而标准化结构只关注整个问题的单一方面,彼此独立或缺乏始终如
一的灵活性。许多现有的指标共享活动是人与人之间通过 Web 门户或加密电子邮件对于潜在指标非结构化
或半结构化描述的交流。较新的趋势是机器之间对于适用已知攻击模型的相对简单的指标数据集的传递,例
如,研究与教育网络信息共享与分析中心(REN-ISAC)的安全事件体系及其集体情报框架部件、华盛顿州
的公共区域信息安全事件管理(PRISEM)、能源部的网络联合模型(CFM)以及 CERT.FI 与 CERT.EE 的
AbuseHelper。
比较而言,STIX 旨在扩展指标共享,对表达更为准确的各类指标和其他各种网络威胁信息进行管理和广
泛交流。
现今,网络威胁信息的自动管理和交换常与特定的安全产品线、服务产品或特定人群解决方案相关。
STIX 可跨组织、人群、产品 / 服务共享全面、丰富和可靠的网络威胁信息。
公益译文项目
5
使用STIX™规范网络威胁情报信息2014年2月V1.12017