STIX和TAXII：了解国外较成熟的威胁情报标准

如今社会正面临着日益复杂多变的新型威胁场景（例如，国家黑客、网络犯罪、经济威胁、工业间谍、黑客行为和恐怖主义），如何进行有效地防御成为网络安全届必须面对的难题。

面对攻击，依据传统思维在安全事件已经发生后，进行应急响应的成本可谓是巨大的。为改变传统的事后防御的不利局面，企业信息安全防护体系建设思路已从被动防御逐步发展为主动防御。在攻击者开始进行漏洞利用之前就可以对其进行发现及遏制，以解决滞后性的威胁检测及威胁响应。

在这过程中，情报的传播速度与广泛程度对于复杂性威胁环境来说至关重要，因此，建立一个自动化的、帮助人为分析或执行的快速防御机制就是首要步骤。

目前成熟的国外威胁情报标准包括网络可观察表达式（CyboX）、结构化威胁信息表达式（StructuredThreatInformationeXpression，STIX）以及指标信息的可信自动化交换（TrustedAutomatedeXchangeofIndicatorInformation，TAXII）等。

其中，作为两大标准，STIX和TAXII的发展得到了主要安全行业机构的大力支持，其中包括IBM、HPE、思科和戴尔，大型金融机构以及包括国防部和国家安全局在内的美国政府机构等。

什么是结构化威胁信息表达式（Structured Threat Information eXpression，STIX）？

STIX提供了基于标准XML的语法描述威胁情报的细节和威胁内容的方法，是基于边缘和节点的图形数据模型。节点是STIX数据对象（STIX Data Objects ，SDO），边缘是STIX关系对象（STIX Relationship Objects ，SRO）。

SDO包含以下信息：

攻击模式； 身份； 观察到的数据； 威胁行为者； 安全漏洞等；

SRO旨在连接SDO，以便随着时间的推移，用户将能够深入地了解威胁行为者及其技术。STIX v2预计将于年底前推出，供应商也正在根据草案版本提供相关支持。

实践证明，STIX规范可以描述威胁情报中多方面的特征，包括威胁因素，威胁活动，安全事故等。它极大程度利用DHS规范来指定各个STIX实体中包含的数据项的格式。

Digital Shadows公司的Holland表示，

“企业正在意识到要构建成功的威胁情报程序，仅仅依靠技术是不够的，技术在其中起到促成并加速对人的分析的作用。我们开始看到面向结构化威胁情报表达式(STIX)此类标准后面有更多的牵引力量，这将推动威胁情报从业人员统一沟通规则，也将促成执行阻拦、侦测和响应敌人的防御功能身手更加敏捷。”

什么是指标信息的可信自动化交换（Trusted Automated eXchange of Indicator Information，TAXII）？

从TAXII GitHub网站得知，TAXII旨在标准化网络威胁信息的可信、自动化交换。指标信息的可信自动化交换（TAXII™）为威胁情报服务和消息交换制定了标准。实施后，可助力在不同的组织和产品/服务间共享可操作的网络威胁信息，以发现、防御和减轻网络威胁。

TAXII在标准化服务和信息交换的条款中定义了交换协议，可以支持多种共享模型，包括hub-and-spoke（轴辅式）、peer-to-peer（P2P）、subscription等。TAXII在提供了安全传输的同时，还无需考虑拓朴结构、信任问题、授权管理等策略，留给更高级别的协议和约定去考虑。

当前的通常做法是用TAXII来传输数据，用STIX来作情报描述。

实施

用户和安全供应商将参与到为威胁情报标准注入新的生命力的过程中。用户将能够把匿名数据传递给他们的安全供应商，而安全供应商也将能够快速地共享威胁情报给其他用户。您将仍然需要购买安全服务，但这些服务作为社区实时共享威胁和防御数据的一部分，将会更加有效。

目标

网络犯罪分子日益扩展的利润链，造成了非常严重的恶性循环，利润可以酝酿更为复杂严重的网络攻击。但是就像其他任何产品一样，复杂的恶意软件必须有利可图。

如今，一个单一的攻击向量可以被攻击者利用几十次或数百次，为攻击者创造了极大的利润。但是，如果一个新的攻击向量在经历一两次攻击后就失效了，那么他们的盈利能力就会下降。

未来十年，STIX和TAXII等举措必将成为左右网络安全战斗力的重要指标。如果您的公司有合作的安全供应商，请咨询他们是否了解STIX和TAXII，以及准备如何使用它们。

如何构建更加智能主动的防御体系，还需要结合具体的业务情景进行不断研究。随着威胁情报标准的制定以及大数据实时流处理、机器学习技术的应用，实时动态感知威胁情报、实时威胁情景学习与预测将使安全防护措施识别攻击的成功率和精准度进一步提升，促进主动防御体系的进一步成熟。