美國(guó)一些媒體已開(kāi)始將2015年稱為"威脅情報(bào)共享元年"，威脅情報(bào)共享的概念也頻繁在新聞里刷臉。盡管今年上半年幾乎沒(méi)有什么新規(guī)范出來(lái)，但是由于部分人在威脅情報(bào)共享方面的努力，讓更多人開(kāi)始了解并關(guān)注這個(gè)領(lǐng)域。

IBM Security Systems X-Force的高級(jí)研究員Doug Franklin把安全從業(yè)者之前一直關(guān)注的統(tǒng)稱為DHS規(guī)范，因?yàn)檫@是美國(guó)國(guó)土安全部(DHS)在引導(dǎo)著這些社區(qū)驅(qū)動(dòng)的努力成果。 這些規(guī)范包括知名的CVE、CVSS等等。而最近，諸如 CybOX, STIX and TAXII也開(kāi)始進(jìn)入大家的關(guān)注范圍。

CybOX

Cyber Observable eXpression (CybOX) 規(guī)范定義了一個(gè)表征計(jì)算機(jī)可觀察對(duì)象與網(wǎng)絡(luò)動(dòng)態(tài)和實(shí)體的方法。可觀察對(duì)象包括文件，HTTP會(huì)話，X509證書(shū)，系統(tǒng)配置項(xiàng)等。CybOX 規(guī)范提供了一套標(biāo)準(zhǔn)且支持?jǐn)U展的語(yǔ)法，用來(lái)描述所有我們可以從計(jì)算系統(tǒng)和操作上觀察到的內(nèi)容。在某些情況下，可觀察的對(duì)象可以作為判斷威脅的指標(biāo)，比如Windows的RegistryKey。這種可觀察對(duì)象由于具有某個(gè)特定值，往往作為判斷威脅存在與否的指標(biāo)。IP地址也是一種可觀察的對(duì)象，通常作為判斷惡意企圖的指標(biāo)。

STIX

Structured Threat Information eXpression (STIX) 提供了基于標(biāo)準(zhǔn)XML的語(yǔ)法描述威脅情報(bào)的細(xì)節(jié)和威脅內(nèi)容的方法。STIX支持使用CybOX格式去描述大部分STIX語(yǔ)法本身就能描述的內(nèi)容，當(dāng)然，STIX還支持其他格式。標(biāo)準(zhǔn)化將使安全研究人員交換威脅情報(bào)的效率和準(zhǔn)確率大大提升，大大減少溝通中的誤解，還能自動(dòng)化處理某些威脅情報(bào)。實(shí)踐證明，STIX規(guī)范可以描述威脅情報(bào)中多方面的特征，包括威脅因素，威脅活動(dòng)，安全事故等。它極大程度利用DHS規(guī)范來(lái)指定各個(gè)STIX實(shí)體中包含的數(shù)據(jù)項(xiàng)的格式。

TAXII

Trusted Automated eXchange of Indicator Information (TAXII) 提供安全的傳輸和威脅情報(bào)信息的交換。很多文章讓人誤以為TAXII只能傳輸TAXII格式的數(shù)據(jù)，但實(shí)際上它支持多種格式傳輸數(shù)據(jù)。當(dāng)前的通常做法是用TAXII來(lái)傳輸數(shù)據(jù)，用STIX來(lái)作情報(bào)描述，用CybOX的詞匯。

TAXII在標(biāo)準(zhǔn)化服務(wù)和信息交換的條款中定義了交換協(xié)議，可以支持多種共享模型，包括hub-and-spoke，peer-to-peer，subscription。

TAXII在提供了安全傳輸?shù)耐瑫r(shí)，還無(wú)需考慮拓樸結(jié)構(gòu)、信任問(wèn)題、授權(quán)管理等策略，留給更高級(jí)別的協(xié)議和約定去考慮。

其它規(guī)范

不難看出，目前大量文章內(nèi)容聚焦在STIX，TAXII，CybOX。有些文章甚至都沒(méi)提到扮演著同樣重要角色的CVE和CVSS。另外，還有很多DHS的補(bǔ)充性規(guī)范也經(jīng)常被所謂的“專家”所忽視。

Common Platform Enumeration(CPE)和Common Configuration Enumeration(CCE)規(guī)范了平臺(tái)和配置的描述標(biāo)準(zhǔn)，就像CVE規(guī)范了漏洞的描述標(biāo)準(zhǔn)一樣。Common Configuration Scoring System(CCSS)則提供了一套基于CVSS的指標(biāo)。

其他規(guī)范包括：

Common Weakness Enumeration (CWE) 定義了通用軟件設(shè)計(jì)與實(shí)現(xiàn)的弱點(diǎn)，安全漏洞往往是由這些弱點(diǎn)而來(lái)的。

Common Attack Pattern Enumeration and Classification (CAPEC) 提供了一個(gè)與跨事件攻擊相似的功能。

Malware Attribute Enumeration and Characterization (MAEC) 可用于描述惡意軟件的信息，類似于CVE和漏洞之間的關(guān)系。

Open Vulnerability Assessment Language (OVAL) 為評(píng)估漏洞范圍和影響提供了一個(gè)框架。

當(dāng)然還有其他的規(guī)范和標(biāo)準(zhǔn)，就不一一列舉了。所有這些規(guī)范的目標(biāo)都是覆蓋更全面的安全通信領(lǐng)域，并使之成為一種標(biāo)準(zhǔn)化的東西。

美國(guó)政府和威脅情報(bào)

美國(guó)的標(biāo)準(zhǔn)化工作和努力緊密圍繞Defense Information Systems Agency(國(guó)防信息系統(tǒng)局，簡(jiǎn)稱DISA)和美國(guó)National Institute of Standards and Technology(國(guó)際標(biāo)準(zhǔn)與技術(shù)研究院，簡(jiǎn)稱NIST)。 NIST主要制定系統(tǒng)安全的規(guī)范，特別是網(wǎng)絡(luò)安全框架規(guī)范，并主管計(jì)算機(jī)安全資源中心。 DISA則負(fù)責(zé)制定Secure Technical Implementation Guides (安全技術(shù)實(shí)施指南，簡(jiǎn)稱STIGs)來(lái)規(guī)范信息系統(tǒng)的安全安裝與維護(hù)。這些高級(jí)術(shù)語(yǔ)可不止是表面功夫，它們指代了包含技術(shù)指導(dǎo)在內(nèi)的多種標(biāo)準(zhǔn)，允許安裝和維修人員鎖定系統(tǒng)，否則可能容易受到攻擊。

最近，這些組織已經(jīng)完全支持NIST 的Security Content Automation Protocol (安全內(nèi)容自動(dòng)化協(xié)議，簡(jiǎn)稱SCAP)。National Vulnerability Database (國(guó)家漏洞數(shù)據(jù)庫(kù)，簡(jiǎn)稱NVD) 提供官方 SCAP 映射層。這個(gè)開(kāi)放標(biāo)準(zhǔn)的套件目的是：讓安全配置的管理和測(cè)量能像威脅情報(bào)共享一樣自動(dòng)化。

雖然不是經(jīng)常被提起，但STIX協(xié)議可以和其他方式一樣，輕松地封裝SCAP的payloads。事實(shí)上，來(lái)自DHS系列中的很多標(biāo)準(zhǔn)其實(shí)都已經(jīng)被SCAP覆蓋到了。SCAP實(shí)際包含以下的標(biāo)準(zhǔn)：

CVE

CCE(通用配置列表標(biāo)準(zhǔn))

CPE

CVSS

CCSS

OVAL

Extensible Configuration Checklist Description Format (可擴(kuò)展性配置清單描述格式標(biāo)準(zhǔn)，簡(jiǎn)稱XCCDF)

Open Checklist Interactive Language ​(開(kāi)放檢查表交互式語(yǔ)言，簡(jiǎn)稱OCIL)

上述的除了XCCDF，OCIL和CCSS來(lái)自DHS系列標(biāo)準(zhǔn)，剩下的都是NIST定義的。XCCDF給系統(tǒng)配置規(guī)則的結(jié)構(gòu)化集合提供了一個(gè)標(biāo)準(zhǔn)的描述。該標(biāo)準(zhǔn)支持自動(dòng)化信息交換，合規(guī)測(cè)試與評(píng)分，同時(shí)大家仍然可以根據(jù)具體需求來(lái)作定制化開(kāi)發(fā)。與DHS的安全威脅情報(bào)系列標(biāo)準(zhǔn)相比，XCCDF與DHS系列中的CCE僅存在少量差異。幸運(yùn)的是，這是SCAP覆蓋的內(nèi)容和DHS系列規(guī)范中唯一的明顯差異。

OCIL提供了一個(gè)標(biāo)準(zhǔn)化的框架，以描述清單問(wèn)題和解答問(wèn)題的步驟，而CCSS有一套指標(biāo)來(lái)衡量軟件配置問(wèn)題的安全性。它從公認(rèn)的CVSS規(guī)范衍生出來(lái)，并提供類似的功能。

MILE

Managed Incident Lightweight Exchange (輕量級(jí)交換托管事件，簡(jiǎn)稱MILE) 封裝的標(biāo)準(zhǔn)涵蓋了與DHS系列規(guī)范大致相同的的內(nèi)容，特別是CybOX，STIX和TAXII。MILE標(biāo)準(zhǔn)為指標(biāo)和事件定義了一個(gè)數(shù)據(jù)格式。該封裝還包含了 Incident Object Description and Exchange Format (事件對(duì)象描述和交換格式,簡(jiǎn)稱IODEF)。IODEF合并了許多DHS系列規(guī)范的數(shù)據(jù)格式，并提供了一種交換那些可操作的統(tǒng)計(jì)性事件信息的格式，且支持自動(dòng)處理。它還包含了IODEF for Structured Cybersecurity Information(結(jié)構(gòu)化網(wǎng)絡(luò)安全信息，簡(jiǎn)稱IODEF-SCI)擴(kuò)展和Realtime Internetwork Defense (實(shí)時(shí)網(wǎng)絡(luò)防御，簡(jiǎn)稱RID)，支持自動(dòng)共享情報(bào)和事件。

更多

在美國(guó)還有許多其他的努力，無(wú)論是在現(xiàn)有的標(biāo)準(zhǔn)和規(guī)范的覆蓋面下填補(bǔ)感知的差距或糾正他們的缺陷。Mandiant開(kāi)發(fā)的Open Indicators of Compromise(開(kāi)放妥協(xié)的指標(biāo)，簡(jiǎn)稱OpenIOC)規(guī)范提供了一個(gè)對(duì)于妥協(xié)的指標(biāo)技術(shù)細(xì)節(jié)的詞匯表。它與CybOX有一些重疊，但也擴(kuò)展了可用的詞匯。

Verizon公司創(chuàng)造的Vocabulary for Event Recording and Incident Sharing(事件記錄和事故共享詞匯，簡(jiǎn)稱VERIS) 定義了一個(gè)用于描述安全事件的詞匯表。就OpenIOC而言，它跟CybOX也有一些重疊，但它也擴(kuò)展了可用的詞匯。

最后，US-CERT開(kāi)發(fā)了Traffic Light Protocol (紅綠燈協(xié)議，簡(jiǎn)稱TLP)。這個(gè)規(guī)范提供了一組名稱，而不是一個(gè)數(shù)據(jù)格式，但是可以簡(jiǎn)單的被包含在任何相關(guān)的標(biāo)準(zhǔn)或規(guī)范之中。TLP將可能被共享的情報(bào)分類，以控制共享范圍。它定義了四個(gè)層次的共享(對(duì)應(yīng)四種顏色)：

紅色：該項(xiàng)目不能共享。

黃色：該項(xiàng)目只能在產(chǎn)生的組織內(nèi)共享。

綠色：該項(xiàng)目可以在組織外部共享，但有范圍限制。

白色：該項(xiàng)可被廣泛共享。

總結(jié)

Doug認(rèn)為，無(wú)論是威脅情報(bào)共享的概念還是實(shí)踐，還都不具有革命性的意義。現(xiàn)在可以看到越來(lái)越多的信息泄露的新聞，更多的還藏在水面下未被報(bào)道。攻擊者最近頻繁得手，而信息安全從業(yè)者作為防御方需要考慮如何反擊。善用威脅情報(bào)共享，便可以幫助我們扭轉(zhuǎn)局面。在需求如此明顯的情況下，圍繞著威脅情報(bào)共享的活動(dòng)會(huì)越來(lái)越豐富。老美當(dāng)前的做法是，推動(dòng)威脅情報(bào)數(shù)據(jù)的獲取、封裝和消費(fèi)的項(xiàng)目，并將這些項(xiàng)目成果融合成標(biāo)準(zhǔn)和規(guī)范，來(lái)推動(dòng)威脅情報(bào)共享事業(yè)的發(fā)展。

在中國(guó)，我們也發(fā)現(xiàn)越來(lái)越多的安全圈朋友開(kāi)始思考以何種方式共享威脅情報(bào)。感興趣的朋友可以評(píng)論留言或者發(fā)郵件至share#sobug.com，Sobug考慮組織下圓桌討論：)

【譯文出自SOBUG眾測(cè)平臺(tái) 翻譯：水母干 安全脈搏TeacherYang編輯整理】

原文鏈接：http://securityintelligence.com/navigating-a-sea-of-threat-intelligence-specifications/#.VZCsXPnvPIX 原作者：DOUG FRANKLIN