STIX和TAXII:了解国外较成熟的威胁情报标准

如今社会正面临着日益复杂多变的新型威胁场景(例如,国家黑客、网络犯罪、经济威胁、工业间谍、黑客行为和恐怖主义),如何进行有效地防御成为网络安全届必须面对的难题。

面对攻击,依据传统思维在安全事件已经发生后,进行应急响应的成本可谓是巨大的。为改变传统的事后防御的不利局面,企业信息安全防护体系建设思路已从被动防御逐步发展为主动防御。在攻击者开始进行漏洞利用之前就可以对其进行发现及遏制,以解决滞后性的威胁检测及威胁响应。

在这过程中,情报的传播速度与广泛程度对于复杂性威胁环境来说至关重要,因此,建立一个自动化的、帮助人为分析或执行的快速防御机制就是首要步骤。

目前成熟的国外威胁情报标准包括网络可观察表达式(CyboX)、结构化威胁信息表达式(StructuredThreatInformationeXpression,STIX)以及指标信息的可信自动化交换(TrustedAutomatedeXchangeofIndicatorInformation,TAXII)等。

其中,作为两大标准,STIX和TAXII的发展得到了主要安全行业机构的大力支持,其中包括IBM、HPE、思科和戴尔,大型金融机构以及包括国防部和国家安全局在内的美国政府机构等。

什么是结构化威胁信息表达式(Structured Threat Information eXpression,STIX)?

STIX提供了基于标准XML的语法描述威胁情报的细节和威胁内容的方法,是基于边缘和节点的图形数据模型。节点是STIX数据对象(STIX Data Objects ,SDO),边缘是STIX关系对象(STIX Relationship Objects ,SRO)。

SDO包含以下信息:

攻击模式; 身份; 观察到的数据; 威胁行为者; 安全漏洞等;

SRO旨在连接SDO,以便随着时间的推移,用户将能够深入地了解威胁行为者及其技术。STIX v2预计将于年底前推出,供应商也正在根据草案版本提供相关支持。

实践证明,STIX规范可以描述威胁情报中多方面的特征,包括威胁因素,威胁活动,安全事故等。它极大程度利用DHS规范来指定各个STIX实体中包含的数据项的格式。

Digital Shadows公司的Holland表示,

“企业正在意识到要构建成功的威胁情报程序,仅仅依靠技术是不够的,技术在其中起到促成并加速对人的分析的作用。我们开始看到面向结构化威胁情报表达式(STIX)此类标准后面有更多的牵引力量,这将推动威胁情报从业人员统一沟通规则,也将促成执行阻拦、侦测和响应敌人的防御功能身手更加敏捷。”

什么是指标信息的可信自动化交换(Trusted Automated eXchange of Indicator Information,TAXII)?

从TAXII GitHub网站得知,TAXII旨在标准化网络威胁信息的可信、自动化交换。指标信息的可信自动化交换(TAXII™)为威胁情报服务和消息交换制定了标准。实施后,可助力在不同的组织和产品/服务间共享可操作的网络威胁信息,以发现、防御和减轻网络威胁。

TAXII在标准化服务和信息交换的条款中定义了交换协议,可以支持多种共享模型,包括hub-and-spoke(轴辅式)、peer-to-peer(P2P)、subscription等。TAXII在提供了安全传输的同时,还无需考虑拓朴结构、信任问题、授权管理等策略,留给更高级别的协议和约定去考虑。

当前的通常做法是用TAXII来传输数据,用STIX来作情报描述。

实施

用户和安全供应商将参与到为威胁情报标准注入新的生命力的过程中。用户将能够把匿名数据传递给他们的安全供应商,而安全供应商也将能够快速地共享威胁情报给其他用户。您将仍然需要购买安全服务,但这些服务作为社区实时共享威胁和防御数据的一部分,将会更加有效。

目标

网络犯罪分子日益扩展的利润链,造成了非常严重的恶性循环,利润可以酝酿更为复杂严重的网络攻击。但是就像其他任何产品一样,复杂的恶意软件必须有利可图。

如今,一个单一的攻击向量可以被攻击者利用几十次或数百次,为攻击者创造了极大的利润。但是,如果一个新的攻击向量在经历一两次攻击后就失效了,那么他们的盈利能力就会下降。

未来十年,STIX和TAXII等举措必将成为左右网络安全战斗力的重要指标。如果您的公司有合作的安全供应商,请咨询他们是否了解STIX和TAXII,以及准备如何使用它们。

如何构建更加智能主动的防御体系,还需要结合具体的业务情景进行不断研究。随着威胁情报标准的制定以及大数据实时流处理、机器学习技术的应用,实时动态感知威胁情报、实时威胁情景学习与预测将使安全防护措施识别攻击的成功率和精准度进一步提升,促进主动防御体系的进一步成熟。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-04-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏PPV课数据科学社区

大数据史记2013:盘点中国2013行业数据量(下)

五一小长假结束了,我们继续来说说大数据史记。上次讲到了BAT代表的互联网公司,以及电信、金融、保险、电力、石化系统,接下来分析下其他行业。 1、公共安全、医疗...

36760
来自专栏企鹅号快讯

安全警报:2018 年黑客将首次用上人工智能,冰箱也不能幸免!

近日,全球网络安全服务厂商赛门铁克( Symantec ) 宣布,2018 年黑客将首次使用人工智能 ( AI ) 和机器学习 ( ML ) 技术发动网络攻击,...

24180
来自专栏安恒信息

黑客不死 CIO还要担心IT未来

IT技术几乎已经渗透到我们生活的方方面面。IT技术的发展对于我们的生活来说有很多好处,还有很多负面影响。目前包括美国在内的大多数国家,过分的依赖高科...

27840
来自专栏大数据文摘

从今年的安全泄露事故学到的6个教训

27140
来自专栏养码场

养码场技术社群一周播报

感谢红杉资本中国基金、嘉实投资和中国太平领投资,宝宝去年初完成总规模66.5亿元人民币的融资,A轮融资估值466.5亿元。

10310
来自专栏镁客网

我国完成119架无人机编队齐飞,创建集群无人机新纪录

12160
来自专栏FreeBuf

IntSights研究表明:暗网和加密聊天室情报将有助于预测黑客行为

很多攻击事件其实都是偶然事件,因为那些“脚本小子”碰巧在目标网站上找到了一个常见的且利用难度不大的漏洞。那些大规模数据泄露事件往往都是通过精心策划来执行和实现的...

14920
来自专栏数据猿

欧盟 “最严”数据保护新规正式生效,能拯救处于“裸奔”状态的网民吗?

10820
来自专栏孟永辉

58快运改名“快狗打车”:叫什么不重要,实现价值最重要

有关58快运改名的消息引发了行业内部的诸多讨论:有人说,58快运改名为“快狗打车”是对司机的侮辱;有人认为,58快运改名仅仅只是名称的改变,其实质还是要改变58...

7730

GDPR:对您的数据管理环境的影响(第1部分)

遵守欧盟“通用数据保护条例”(GDPR)的时间线正在快速接近。从2018年5月25日起,任何未能满足新法规的组织将面临最高达全球收入的4%或2000万欧元的罚款...

24240

扫码关注云+社区

领取腾讯云代金券