網(wǎng)絡(luò)威脅情報(bào)標(biāo)準(zhǔn)化建設(shè)分析

何志鵬 劉 鵬 王 鶴,3

1(西安郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 西安 710121) 2(中國(guó)科學(xué)院大學(xué)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心 北京 101408) 3(西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院 西安 710071)

近年來(lái),隨著數(shù)字經(jīng)濟(jì)的快速發(fā)展和數(shù)字化轉(zhuǎn)型的不斷深入,以及全球網(wǎng)絡(luò)信息化程度的加劇和網(wǎng)絡(luò)空間的急劇擴(kuò)張,數(shù)據(jù)資產(chǎn)不斷增大，數(shù)字業(yè)務(wù)不斷激增,網(wǎng)絡(luò)安全攻擊面持續(xù)擴(kuò)大,以數(shù)據(jù)為目標(biāo)的網(wǎng)絡(luò)攻擊行為日益頻繁,且復(fù)雜度與日俱增,并已呈現(xiàn)出多樣化、未知性等態(tài)勢(shì)[1].

同時(shí)在傳統(tǒng)網(wǎng)絡(luò)攻擊手段仍舊頻發(fā)的背景下,新興的網(wǎng)絡(luò)威脅手段也層出不窮,這種局面使得網(wǎng)絡(luò)安全防御變得困難重重.于是基于新安防理念、采用通用標(biāo)準(zhǔn)化數(shù)據(jù)格式運(yùn)行的網(wǎng)絡(luò)威脅情報(bào)技術(shù)逐漸展露頭腳,不僅極大提高了信息的使用效率,還有助于實(shí)現(xiàn)信息的多方共享,從而大幅增強(qiáng)保護(hù)、檢測(cè)與響應(yīng)(protect-detect-respond, PDR)能力,以獲得更好的防范效果.

1 威脅情報(bào)

網(wǎng)絡(luò)威脅情報(bào)(cyber threat intelligence, CTI)簡(jiǎn)稱(chēng)為威脅情報(bào),是傳統(tǒng)形式下的安全情報(bào)通過(guò)網(wǎng)絡(luò)空間為載體的自然延伸,但就目前為止,整個(gè)業(yè)界內(nèi)部對(duì)其并無(wú)一個(gè)公認(rèn)的定義,而被公眾所普遍接受的定義是Gartner機(jī)構(gòu)于2014年發(fā)布的《安全威脅情報(bào)服務(wù)市場(chǎng)指南》[2]中給出的.

“威脅情報(bào)是一種基于證據(jù)的知識(shí),包括情境、機(jī)制、指標(biāo)、影響和操作建議.威脅情報(bào)描述了現(xiàn)存的或者是即將出現(xiàn)針對(duì)資產(chǎn)的威脅或危險(xiǎn),并可以用于通知主體針對(duì)相關(guān)威脅或危險(xiǎn)采取某種響應(yīng)”.值得強(qiáng)調(diào)的是“網(wǎng)絡(luò)威脅情報(bào)”并不等同于“網(wǎng)絡(luò)威脅信息”,兩者存在本質(zhì)上差異,簡(jiǎn)化或?yàn)E用“威脅情報(bào)”一詞有可能使得組織對(duì)當(dāng)前發(fā)展現(xiàn)狀和趨勢(shì)作出誤判.表1為DarkReading對(duì)兩者特點(diǎn)的概述[3].概括來(lái)說(shuō),情報(bào)即為信息,信息不一定是情報(bào).把握好情報(bào)的利用會(huì)對(duì)企業(yè)發(fā)展與行業(yè)進(jìn)步產(chǎn)生極大的推進(jìn)作用.

總之,威脅情報(bào)就是對(duì)數(shù)字資產(chǎn)安全產(chǎn)生危害的信息集合.概括地講,對(duì)數(shù)字資產(chǎn)具有危害的信息便可以稱(chēng)之為威脅情報(bào),這也是目前整個(gè)業(yè)界所默認(rèn)的一種定義.

表1 “威脅信息”與“威脅情報(bào)”特點(diǎn)對(duì)比

網(wǎng)絡(luò)安全態(tài)勢(shì)其實(shí)作為一種權(quán)衡較量,是攻擊方和防守方間的非靜態(tài)平衡行為.由于信息的不對(duì)稱(chēng)性,通常攻擊方具有先發(fā)制人的優(yōu)勢(shì),而防守方往往處于被動(dòng)的地位[4].

針對(duì)于此,以傳統(tǒng)防火墻、殺毒軟件、入侵檢測(cè)系統(tǒng)為支撐,以漏洞掃描、木馬分析為手段運(yùn)作的傳統(tǒng)安防機(jī)制,其被動(dòng)式防御理念已然無(wú)法完全滿(mǎn)足當(dāng)下網(wǎng)絡(luò)空間安全建設(shè)的需求.

威脅情報(bào)技術(shù)則是以攻擊者一方視角為導(dǎo)向,對(duì)攻擊者手法進(jìn)行刻畫(huà),對(duì)攻擊工具進(jìn)行提取,最終繪制攻擊者畫(huà)像,形成主動(dòng)式防御模式機(jī)制.并通過(guò)威脅情報(bào)共享等手段,及時(shí)利用其他網(wǎng)絡(luò)中產(chǎn)生的高效威脅情報(bào)來(lái)提高防護(hù)方的應(yīng)對(duì)能力,縮短響應(yīng)時(shí)間,增強(qiáng)整體網(wǎng)絡(luò)威脅態(tài)勢(shì)感知能力,從而盡可能消除攻防雙方信息不對(duì)等狀況.

2 國(guó)內(nèi)外威脅情報(bào)標(biāo)準(zhǔn)化工作

標(biāo)準(zhǔn)是最好的建設(shè)參考,以標(biāo)準(zhǔn)化的模型作參考,業(yè)內(nèi)對(duì)網(wǎng)絡(luò)安全威脅情報(bào)的表征便可達(dá)成一致,威脅情報(bào)共享與交換的效率得以提升,網(wǎng)絡(luò)威脅態(tài)勢(shì)感知能力得以增強(qiáng),網(wǎng)絡(luò)空間安全防范不足現(xiàn)狀得以改善.

網(wǎng)絡(luò)威脅情報(bào)是構(gòu)筑“情報(bào)驅(qū)動(dòng)的網(wǎng)絡(luò)安全主動(dòng)式防御”的關(guān)鍵,而威脅情報(bào)標(biāo)準(zhǔn)的建設(shè)則是網(wǎng)絡(luò)威脅情報(bào)能否有效實(shí)踐、積極共享、實(shí)現(xiàn)價(jià)值最大化的關(guān)鍵點(diǎn)和重要發(fā)力點(diǎn),是網(wǎng)絡(luò)安全適應(yīng)新發(fā)展理念的重要技術(shù)基礎(chǔ),更是國(guó)家網(wǎng)絡(luò)安全保障水平的集中體現(xiàn).因此威脅情報(bào)標(biāo)準(zhǔn)的制定具有重大現(xiàn)實(shí)意義.本節(jié)將對(duì)國(guó)際上部分國(guó)家(組織)開(kāi)展的威脅情報(bào)標(biāo)準(zhǔn)化工作進(jìn)行概述.

2.1 美國(guó)標(biāo)準(zhǔn)化工作

作為互聯(lián)網(wǎng)領(lǐng)域的先行者,美國(guó)率先完成網(wǎng)絡(luò)空間安全防御理念的轉(zhuǎn)變,積極從被動(dòng)式防御轉(zhuǎn)向?yàn)橹鲃?dòng)式防御,在確保自身網(wǎng)絡(luò)空間處于安全的前提下,再次實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)空間這一戰(zhàn)略制高點(diǎn)的絕對(duì)控制權(quán)[5].

在威脅情報(bào)領(lǐng)域,美國(guó)憑借其技術(shù)上的優(yōu)勢(shì),先后推出了多種威脅情報(bào)共享標(biāo)準(zhǔn),形成了集“表征—共享—自動(dòng)化”為一體的網(wǎng)絡(luò)威脅情報(bào)體系,且已經(jīng)發(fā)展得十分成熟并在實(shí)踐中得到了廣泛應(yīng)用.表2詳細(xì)介紹了美國(guó)用于網(wǎng)絡(luò)威脅情報(bào)共享的主流相關(guān)標(biāo)準(zhǔn).其中,結(jié)構(gòu)化威脅信息表征格式(STIX)、威脅指標(biāo)信息可信自動(dòng)交換機(jī)制(TAXII)與網(wǎng)絡(luò)觀測(cè)特征描述格式(CybOX)3項(xiàng)標(biāo)準(zhǔn)與美國(guó)聯(lián)邦網(wǎng)絡(luò)威脅信息共享指南(NIST SP 800-150)，這些指導(dǎo)性文件為國(guó)際間網(wǎng)絡(luò)威脅情報(bào)的交流和分享提供了可靠的參考.

表2 美國(guó)用于網(wǎng)絡(luò)威脅情報(bào)共享主流相關(guān)標(biāo)準(zhǔn)

下面對(duì)上述3項(xiàng)主流標(biāo)準(zhǔn)和1份指導(dǎo)性指南作簡(jiǎn)要闡述.

圖1 STIX標(biāo)準(zhǔn)發(fā)展表

1) 結(jié)構(gòu)化威脅信息表征格式(structured threat information expression, STIX[6])提供了基于JSON(2.x版本)/XML(1.x版本)數(shù)據(jù)格式表征威脅情報(bào)內(nèi)容的方法,由MITRE聯(lián)合DHS發(fā)布,是一種由OASIS負(fù)責(zé)開(kāi)發(fā)和維護(hù)的情報(bào)表達(dá)規(guī)范.實(shí)踐證明,STIX標(biāo)準(zhǔn)可以表征威脅情報(bào)中威脅元素、威脅行為、安全事件等多方面的特征.圖1為STIX標(biāo)準(zhǔn)發(fā)展表,至2021年1月,OASIS發(fā)布了STIX 2.1版本最新修訂稿.

2) 威脅指標(biāo)信息可信自動(dòng)交換機(jī)制(trusted automated exchange of intelligence information, TAXII[7])是基于HTTP(S)交換威脅情報(bào)信息的一個(gè)應(yīng)用層協(xié)議,提供威脅情報(bào)信息的安全傳輸與交換服務(wù),可兼容多種傳輸格式的數(shù)據(jù).同時(shí)TAXII可支持多種共享模型,包括hub-and-spoke,peer-to-peer,subscription等.TAXII最大的優(yōu)勢(shì)在于進(jìn)行情報(bào)安全傳輸時(shí),無(wú)需將拓?fù)浣Y(jié)構(gòu)、信任認(rèn)證、授權(quán)管理等策略納入考慮范圍,而是將其留給更高等級(jí)的協(xié)議處理,極大提升了傳輸?shù)男?圖2為T(mén)AXII標(biāo)準(zhǔn)發(fā)展表,至2021年3月,OASIS發(fā)布了TAXII 2.1版本最新修訂稿.

圖2 TAXII標(biāo)準(zhǔn)發(fā)展表

3) 網(wǎng)絡(luò)可觀察對(duì)象描述(cyber observable expression, CybOX[8])規(guī)范給出了一種用于表征計(jì)算機(jī)可觀察對(duì)象與網(wǎng)絡(luò)動(dòng)態(tài)和實(shí)體的方法,現(xiàn)已被集成于STIX 2.x中.其中可觀察對(duì)象包括文件、HTTP會(huì)話(huà)、X509證書(shū)、系統(tǒng)配置項(xiàng)等,該規(guī)范提供了一套標(biāo)準(zhǔn)且支持?jǐn)U展的語(yǔ)法,用來(lái)描述所有可被從計(jì)算系統(tǒng)和操作上觀察到的內(nèi)容.可觀察對(duì)象由于具有某個(gè)特定值,故通常作為威脅存在與否的研判指標(biāo).圖3為CybOX標(biāo)準(zhǔn)發(fā)展年代表.

圖3 CybOX標(biāo)準(zhǔn)發(fā)展表

4) 《網(wǎng)絡(luò)威脅信息共享指南》(NIST SP 800-150[9])由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)依據(jù)《2014年聯(lián)邦信息安全現(xiàn)代化法案》(FISMA)所規(guī)定的法定職責(zé)進(jìn)行擬定,并協(xié)同美國(guó)商務(wù)部于2016年4月正式發(fā)布.《網(wǎng)絡(luò)威脅信息共享指南》作為《計(jì)算機(jī)安全事件響應(yīng)指南》(SP 800-61)的擴(kuò)充,將信息共享、協(xié)調(diào)、協(xié)同擴(kuò)展至事件響應(yīng)的全生命周期中,為建立、參與網(wǎng)絡(luò)威脅信息共享關(guān)系提供了指導(dǎo),幫助組織設(shè)定信息共享目標(biāo)、識(shí)別網(wǎng)絡(luò)威脅信息源、確定信息共享范圍、制定威脅信息發(fā)布與分發(fā)規(guī)則等,從而指導(dǎo)其總體網(wǎng)絡(luò)安全實(shí)踐.

其中STIX和TAXII兩大標(biāo)準(zhǔn)不僅被IBM、戴爾、思科以及大型金融機(jī)構(gòu)所采納,而且獲得了美國(guó)國(guó)防部、美國(guó)國(guó)土安全部等主要政府安全機(jī)構(gòu)的支持,在實(shí)踐中積累經(jīng)驗(yàn)并進(jìn)行不斷優(yōu)化.從目前來(lái)看,國(guó)際上尚無(wú)一款通用的網(wǎng)絡(luò)威脅情報(bào)標(biāo)準(zhǔn)規(guī)范,通常比較主流的情報(bào)共享平臺(tái)的做法是以《網(wǎng)絡(luò)威脅信息共享指南》指導(dǎo)文件為參照,在STIX模型框架下,采用CybOX提供的詞匯表征威脅情報(bào),并使用TAXII協(xié)議進(jìn)行情報(bào)安全傳輸.

2.2 我國(guó)標(biāo)準(zhǔn)化工作

2013年斯諾登“棱鏡門(mén)”事件所揭示的美國(guó)國(guó)家安全局對(duì)我國(guó)的網(wǎng)絡(luò)攻擊手段,讓我國(guó)深刻意識(shí)到網(wǎng)絡(luò)安全攻防態(tài)勢(shì)已經(jīng)逐漸發(fā)生改變,目前的技術(shù)防護(hù)措施難以從海量的安全威脅事件中發(fā)現(xiàn)真正的網(wǎng)絡(luò)攻擊行為,現(xiàn)有網(wǎng)絡(luò)安全防護(hù)能力亟需提升.

網(wǎng)絡(luò)安全威脅情報(bào)作為一項(xiàng)可以改變整個(gè)安全態(tài)勢(shì)的新興技術(shù)迅速引起了我國(guó)的關(guān)注,在面對(duì)國(guó)內(nèi)不同類(lèi)型、不同廠(chǎng)商的安全設(shè)備之間的漏洞，威脅信息不通用,無(wú)法進(jìn)行大型網(wǎng)絡(luò)的維護(hù)管理,某一點(diǎn)確認(rèn)的安全事件不能及時(shí)在組織內(nèi)及時(shí)有效地進(jìn)行共享,組織內(nèi)部難以有效協(xié)同的情形下,我國(guó)迅速調(diào)研已經(jīng)被美國(guó)和國(guó)際社會(huì)所采納并應(yīng)用的STIX,TAXII,CybOX,TLP,OpenIOC等網(wǎng)絡(luò)威脅情報(bào)共享標(biāo)準(zhǔn),并大力推動(dòng)我國(guó)網(wǎng)絡(luò)安全威脅情報(bào)相關(guān)標(biāo)準(zhǔn)的制定、發(fā)布和執(zhí)行,并計(jì)劃利用威脅情報(bào)技術(shù)來(lái)打造新一代國(guó)家級(jí)網(wǎng)絡(luò)空間安全事件響應(yīng)體系,將其用作解決當(dāng)前國(guó)家網(wǎng)絡(luò)安全對(duì)抗的戰(zhàn)略手段[10].

2018年10月10日,我國(guó)正式頒布威脅情報(bào)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》(GB/T 36643—2018),該規(guī)范成為我國(guó)首個(gè)針對(duì)網(wǎng)絡(luò)威脅情報(bào)領(lǐng)域的相關(guān)標(biāo)準(zhǔn)[11].該標(biāo)準(zhǔn)給出了一種標(biāo)準(zhǔn)化的安全威脅信息模型和數(shù)據(jù)結(jié)構(gòu),其創(chuàng)建目的是促進(jìn)各組織間安全威脅信息的共享與利用,并支持安全威脅管理和應(yīng)用進(jìn)程的自動(dòng)化.

2.3 其他國(guó)家(組織)標(biāo)準(zhǔn)化工作

就目前來(lái)看,僅有中美兩國(guó)公布了網(wǎng)絡(luò)威脅情報(bào)領(lǐng)域的相關(guān)標(biāo)準(zhǔn),但這并不意味其他國(guó)家不重視威脅情報(bào)標(biāo)準(zhǔn)化的建設(shè),相反一些國(guó)家在很多方面的發(fā)展已十分成熟,如專(zhuān)項(xiàng)立法、機(jī)構(gòu)設(shè)立、平臺(tái)建設(shè)等,下面將簡(jiǎn)要概述部分國(guó)家(組織)在威脅情報(bào)領(lǐng)域開(kāi)展的標(biāo)準(zhǔn)化工作.

1) 歐盟委員會(huì)

歐盟是最為關(guān)切網(wǎng)絡(luò)威脅情報(bào)領(lǐng)域的組織之一.近年來(lái),歐盟提出了許多法律法規(guī)以促進(jìn)網(wǎng)絡(luò)威脅情報(bào)共享,為全球相關(guān)法律的實(shí)踐提供了經(jīng)驗(yàn).其中,較為重要的法規(guī)是2016年7月頒布的歐盟指令2016/1148,也稱(chēng)為“網(wǎng)絡(luò)和信息系統(tǒng)指令”(NIS)[12]；以及《一般數(shù)據(jù)保護(hù)條例》(GDPR)[13]；以及2019年頒布的《歐盟網(wǎng)絡(luò)安全法》[14].其中在《網(wǎng)絡(luò)和信息系統(tǒng)指令》法案中要求各成員國(guó)通過(guò)符合或改編自該指令的國(guó)家法規(guī),建立信息共享與分析中心的有利環(huán)境,以促進(jìn)歐盟成員國(guó)內(nèi)與成員國(guó)間的網(wǎng)絡(luò)威脅情報(bào)共享,從而保護(hù)關(guān)鍵基礎(chǔ)架構(gòu)領(lǐng)域的網(wǎng)絡(luò)和信息系統(tǒng).

2) 日本

隨著日美軍事一體化的加深,兩國(guó)在威脅情報(bào)共享領(lǐng)域的合作愈發(fā)緊密.日美采取了搭建高級(jí)別的情報(bào)共享磋商平臺(tái)、提升情報(bào)信息化共享水平、制定關(guān)于情報(bào)共享的法律法規(guī)等諸多措施,形成了相對(duì)完備的威脅情報(bào)共享機(jī)制.在情報(bào)傳輸標(biāo)準(zhǔn)方面,日美同盟協(xié)議中明確規(guī)定,日本自衛(wèi)隊(duì)所有骨干線(xiàn)路均需與駐日美軍的數(shù)字線(xiàn)網(wǎng)相連,于是日本采用美國(guó)Link-11，Link-16等數(shù)據(jù)鏈作標(biāo)準(zhǔn)通信格式[15].

3) 俄羅斯

2019年,俄羅斯通過(guò)了最新網(wǎng)絡(luò)安全法案《主權(quán)互聯(lián)網(wǎng)法》,該法案呼吁建立一個(gè)互聯(lián)網(wǎng)的備用基礎(chǔ)設(shè)施,以便應(yīng)對(duì)可能出現(xiàn)的網(wǎng)絡(luò)威脅[16],這體現(xiàn)出俄羅斯在網(wǎng)絡(luò)威脅情報(bào)領(lǐng)域?qū)W(wǎng)絡(luò)安全乃至國(guó)家安全方面的戰(zhàn)略考慮.

4) 英國(guó)

近年來(lái)國(guó)際安全局勢(shì)復(fù)雜，恐怖襲擊事件頻發(fā),英國(guó)政府以國(guó)家安全局(MI5)、軍事情報(bào)第六處(MI6)和政府通信總部(GCHQ)三大機(jī)構(gòu)為支點(diǎn),強(qiáng)化網(wǎng)絡(luò)監(jiān)管和威脅情報(bào)監(jiān)聽(tīng),搶占“情報(bào)預(yù)警先機(jī)”,以保護(hù)國(guó)家安全和經(jīng)濟(jì)發(fā)展[17].

3 我國(guó)國(guó)標(biāo)與美STIX標(biāo)準(zhǔn)對(duì)比

美國(guó)STIX標(biāo)準(zhǔn)作為當(dāng)前最成熟的威脅情報(bào)共享標(biāo)準(zhǔn)已被國(guó)際社會(huì)所公認(rèn)，并得到了廣泛應(yīng)用,作為我國(guó)威脅情報(bào)領(lǐng)域標(biāo)準(zhǔn)化建設(shè)的開(kāi)篇之作——《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》，正是參照美國(guó)STIX標(biāo)準(zhǔn)并充分吸收其長(zhǎng)處的基礎(chǔ)上提出的.本節(jié)將從發(fā)布?xì)v程、模型框架、信息示例、平臺(tái)應(yīng)用4個(gè)方面對(duì)2種標(biāo)準(zhǔn)展開(kāi)對(duì)比論述.

3.1 發(fā)布?xì)v程

美國(guó)網(wǎng)絡(luò)威脅情報(bào)標(biāo)準(zhǔn)化工作由美國(guó)國(guó)土安全部(DHS)下屬的網(wǎng)絡(luò)安全和通訊辦公室(CS&C)具體落實(shí),并由國(guó)防信息系統(tǒng)局(DSIA)和國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)負(fù)責(zé)基礎(chǔ)環(huán)境的搭建,依托網(wǎng)絡(luò)安全服務(wù)商MITRE加以呈現(xiàn),再由OASIS-CTI-TC負(fù)責(zé)開(kāi)發(fā)與維護(hù)[18]

STIX標(biāo)準(zhǔn)正是在如上環(huán)境中誕生的標(biāo)準(zhǔn)化產(chǎn)品,根據(jù)美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組(US-CERT)和CERT.org于2010年擬定的名單,參與最初版本制定的討論者為IDXWG郵件的安全運(yùn)營(yíng)師及網(wǎng)絡(luò)威脅情報(bào)專(zhuān)家.通過(guò)針對(duì)網(wǎng)絡(luò)安全事件的自動(dòng)化數(shù)據(jù)交換問(wèn)題的討論,提出了粗略的結(jié)構(gòu)化威脅信息架構(gòu)草圖.

我國(guó)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》由國(guó)家市場(chǎng)監(jiān)督管理總局和中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)共同發(fā)布,是在《網(wǎng)絡(luò)安全威脅信息表達(dá)模型》上發(fā)展制定的.2015年,《網(wǎng)絡(luò)安全威脅信息表達(dá)模型》正式在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)立項(xiàng),由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院負(fù)責(zé)牽頭,天際友盟、百度等互聯(lián)網(wǎng)企業(yè),公安部第三研究所、中科院信工所等科研機(jī)構(gòu),上海交大、西電科大等高等院校多家單位共同參與起草.

3.2 模型框架

為了便于威脅信息的管理、分析與共享,并支持網(wǎng)絡(luò)安全威脅管理和應(yīng)用的自動(dòng)化,便需要一種標(biāo)準(zhǔn)化的模型框架來(lái)實(shí)現(xiàn)對(duì)安全威脅信息的統(tǒng)一劃分,以確保描述時(shí)的一致性與規(guī)范性,進(jìn)而提升威脅信息共享的效率與互操作性,最終達(dá)到增強(qiáng)整體網(wǎng)絡(luò)安全威脅態(tài)勢(shì)感知能力的目的.

STIX標(biāo)準(zhǔn)最初便將靈活性、可讀性、可擴(kuò)展性、自動(dòng)化性等特性貫穿于設(shè)計(jì)指導(dǎo)原則當(dāng)中,并在每一代新版本的基礎(chǔ)上不斷完善.其中在表現(xiàn)力方面,STIX標(biāo)準(zhǔn)的目標(biāo)是在所有目標(biāo)用例上提供匯總的表達(dá)范圍,而不是僅專(zhuān)門(mén)針對(duì)單個(gè)對(duì)象,以支持網(wǎng)絡(luò)安全領(lǐng)域內(nèi)與威脅相關(guān)用例的多樣性,為網(wǎng)絡(luò)威脅域內(nèi)的所有相關(guān)信息提供完整的表達(dá)能力.

針對(duì)于此,STIX 1.x開(kāi)創(chuàng)性地設(shè)計(jì)了將核心網(wǎng)絡(luò)威脅概念標(biāo)識(shí)為獨(dú)立且可重用的結(jié)構(gòu),并根據(jù)每種組件的內(nèi)在含義和內(nèi)容來(lái)表征其所有的相互關(guān)系,以此來(lái)對(duì)威脅信息進(jìn)行結(jié)構(gòu)化和系統(tǒng)化的描述和表達(dá).我國(guó)國(guó)家標(biāo)準(zhǔn)在充分吸取已有標(biāo)準(zhǔn)長(zhǎng)處的基礎(chǔ)上,最終參照STIX 1.x模型,設(shè)計(jì)和構(gòu)建出了國(guó)產(chǎn)網(wǎng)絡(luò)安全威脅信息模型,以規(guī)范化威脅信息的產(chǎn)生與類(lèi)別劃分.模型可用于搭建網(wǎng)絡(luò)安全威脅信息的基本架構(gòu),將其組成信息分解為3個(gè)維度及下屬的8個(gè)組件,并描述了組件間的關(guān)系.

隨著威脅情報(bào)在共享與交換方面的發(fā)展,因而對(duì)威脅情報(bào)的描述提出了更高的需求.STIX 1.x版本模型雖然在威脅情報(bào)表達(dá)的結(jié)構(gòu)化、系統(tǒng)化方面較之前有了很大的改進(jìn),但在部分概念的定義和關(guān)系的描述方面還不夠準(zhǔn)確,另外在描述組件間的關(guān)聯(lián)關(guān)系時(shí)也較為模糊,并無(wú)細(xì)致闡述具體是何種關(guān)系.

于是MITRE公司在STIX 1.x模型的基礎(chǔ)上,相繼推出了STIX 2.0模型和STIX 2.1模型.相較于之前模型,STIX 2.x模型采用全新分類(lèi)模式對(duì)原有獨(dú)立組件描述法進(jìn)行更新替換,如圖4所示.同時(shí)指出STIX模型構(gòu)建應(yīng)當(dāng)基于圖的語(yǔ)言,是節(jié)點(diǎn)與邊的連接圖.其中STIX域?qū)ο蠛蚐TIX網(wǎng)絡(luò)可觀察對(duì)象定義圖的節(jié)點(diǎn),STIX關(guān)系定義圖的邊.得益于上述工作的完善,使得STIX標(biāo)準(zhǔn)變得更加實(shí)用,更加易于集成,表達(dá)能力也更加豐富.

結(jié)合以上闡述,表3對(duì)各版本的STIX標(biāo)準(zhǔn)和我國(guó)國(guó)家標(biāo)準(zhǔn)在模型框架內(nèi)容與意義上進(jìn)行粗粒度對(duì)比[19].

STIX對(duì)象STIX核心對(duì)象STIX元對(duì)象STIX域?qū)ο?SDO)STIX網(wǎng)絡(luò)可觀測(cè)對(duì)象(SCO)STIX關(guān)系對(duì)象(SRO)語(yǔ)言?xún)?nèi)容對(duì)象標(biāo)記定義對(duì)象STIX捆綁對(duì)象

圖4 STIX 2.x對(duì)象分類(lèi)

表3 我國(guó)標(biāo)準(zhǔn)與美國(guó)STIX模型框架對(duì)比

3.3 信息示例

STIX標(biāo)準(zhǔn)和我國(guó)威脅情報(bào)標(biāo)準(zhǔn)作為業(yè)界共同合作開(kāi)發(fā)的通用結(jié)構(gòu)化語(yǔ)言,其必然需要具有強(qiáng)可讀性及延伸性,且方便使用者與機(jī)器解讀或編寫(xiě)擴(kuò)展并用于封裝情報(bào)的數(shù)據(jù)編碼格式.

STIX 1.x版本采用基于SGML的可擴(kuò)展標(biāo)記語(yǔ)言(XML)進(jìn)行數(shù)據(jù)編碼,之所以選用該語(yǔ)言是因?yàn)閄ML可以在不兼容的系統(tǒng)之間交換數(shù)據(jù),并以純文本格式進(jìn)行存儲(chǔ),這樣不僅可以大大減少交換數(shù)據(jù)時(shí)的復(fù)雜性,還使得XML便于記錄，更便于調(diào)試,是各種應(yīng)用程序之間進(jìn)行數(shù)據(jù)傳輸時(shí)最常用的工具.

然而STIX 2.x版本和我國(guó)國(guó)家標(biāo)準(zhǔn)認(rèn)為XML語(yǔ)言旨在傳輸數(shù)據(jù),而不是顯示數(shù)據(jù),所以采用了更便于理解和閱讀的基于JavaScript的JSON數(shù)據(jù)格式. JSON格式相較于XML來(lái)說(shuō)具有良好的自我描述性,結(jié)構(gòu)簡(jiǎn)單,生成和解析都更為方便.在實(shí)際應(yīng)用中如果使用XML格式,則需要讀取XML文檔,然后用XML DOM來(lái)遍歷文檔、讀取數(shù)值并存儲(chǔ)在變量中,而使用JSON格式則只需讀取JSON字符串即可,極大提升了數(shù)據(jù)的表征速率,更適用于追求響應(yīng)速度的威脅情報(bào)領(lǐng)域.

3.4 平臺(tái)應(yīng)用

目前面對(duì)復(fù)雜的攻擊形式和嚴(yán)重的攻擊后果,僅依靠單個(gè)組織的技術(shù)體量無(wú)法構(gòu)建起全局性的攻防視野,使之無(wú)法發(fā)揮出威脅情報(bào)的最大價(jià)值,進(jìn)而也無(wú)法對(duì)攻擊威脅作出及時(shí)響應(yīng)和有效防御.

網(wǎng)絡(luò)威脅情報(bào)共享平臺(tái)在精準(zhǔn)發(fā)現(xiàn)關(guān)鍵威脅、確立報(bào)警優(yōu)先級(jí)、重大安全事件預(yù)警和建立情報(bào)運(yùn)營(yíng)體系等方面發(fā)揮著重要作用.該模式下威脅情報(bào)的價(jià)值得以充分體現(xiàn),情報(bào)的搜集成本大大降低,信息孤島問(wèn)題明顯改善,共享成員的威脅檢測(cè)與應(yīng)急響應(yīng)能力大幅提升.

一個(gè)威脅情報(bào)共享標(biāo)準(zhǔn)的成熟程度與受眾范圍也可以從平臺(tái)應(yīng)用上得以體現(xiàn),下面將選取國(guó)內(nèi)外知名的威脅情報(bào)共享平臺(tái)進(jìn)行對(duì)比,對(duì)其選用的共享標(biāo)準(zhǔn)與支持的數(shù)據(jù)格式進(jìn)行分析總結(jié),如表4所示:

表4 國(guó)內(nèi)外知名威脅情報(bào)共享平臺(tái)比較

4 啟 發(fā)

通過(guò)第3節(jié)對(duì)我國(guó)國(guó)家標(biāo)準(zhǔn)與美國(guó)STIX標(biāo)準(zhǔn)在發(fā)布?xì)v程、模型框架、信息示例、平臺(tái)應(yīng)用4個(gè)方面的比對(duì),本文嘗試以威脅情報(bào)標(biāo)準(zhǔn)為切入點(diǎn),總結(jié)美國(guó)在網(wǎng)絡(luò)威脅情報(bào)標(biāo)準(zhǔn)建設(shè)工作中值得借鑒的方面:

1) 從項(xiàng)目定位上,美國(guó)的網(wǎng)絡(luò)威脅情報(bào)標(biāo)準(zhǔn)化工作從一開(kāi)始就是站在國(guó)家戰(zhàn)略高度進(jìn)行部署和推進(jìn)的,將其與國(guó)土安全和國(guó)家利益緊密相連.并且項(xiàng)目不止局限于標(biāo)準(zhǔn)的制定工作,而是將大量的人力、物力、財(cái)力資源應(yīng)用于標(biāo)準(zhǔn)的管理、更新和推廣上.

2) 從模型建設(shè)上,美國(guó)威脅情報(bào)標(biāo)準(zhǔn)更加趨向于構(gòu)建更細(xì)粒度且更易共享的知識(shí)模型和框架.從STIX 1.x版本模型到STIX 2.x版本模型,可以觀察到STIX對(duì)威脅信息的結(jié)構(gòu)化、系統(tǒng)化的表征是一個(gè)從無(wú)到有、從實(shí)用化再到自動(dòng)化的過(guò)程.

3) 從生態(tài)搭建上,美國(guó)正打造以新標(biāo)準(zhǔn)、新技術(shù)、新平臺(tái)為支點(diǎn)的網(wǎng)絡(luò)威脅情報(bào)生態(tài)系統(tǒng),用于提升網(wǎng)絡(luò)的安全性、交互性.以信息安全理念變革為驅(qū)使,從情報(bào)標(biāo)準(zhǔn)進(jìn)入實(shí)體項(xiàng)目,進(jìn)而實(shí)現(xiàn)產(chǎn)業(yè)平臺(tái)以及與之相適應(yīng)的協(xié)同體系,形成“標(biāo)準(zhǔn)—項(xiàng)目—平臺(tái)—體系”的邏輯路徑.

5 建 議

為了應(yīng)對(duì)不斷激增的新型網(wǎng)絡(luò)攻擊行為,縮小同美國(guó)等網(wǎng)絡(luò)空間強(qiáng)國(guó)間的差距,我國(guó)在威脅情報(bào)領(lǐng)域還需要進(jìn)行長(zhǎng)時(shí)間的探索與積累.就針對(duì)威脅情報(bào)標(biāo)準(zhǔn)的建設(shè)而言,我國(guó)應(yīng)從如下4個(gè)方面進(jìn)行深入研究：

1) 以國(guó)家力量為核心進(jìn)行威脅情報(bào)標(biāo)準(zhǔn)化工作.

就目前來(lái)說(shuō),我國(guó)對(duì)威脅情報(bào)標(biāo)準(zhǔn)化工作的重視程度還遠(yuǎn)遠(yuǎn)不夠,而標(biāo)準(zhǔn)化工作則是推動(dòng)威脅情報(bào)技術(shù)發(fā)展的前提和重要環(huán)節(jié).在今后的標(biāo)準(zhǔn)建設(shè)中,應(yīng)當(dāng)以國(guó)家力量進(jìn)行部署與落實(shí),以“政、用、產(chǎn)、學(xué)、研”的合作形式完成資源上的協(xié)同與集成化,真正做到各司其職、各盡其職.加快威脅情報(bào)領(lǐng)域技術(shù)的發(fā)展,從而提升我國(guó)網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知水平.

2) 加緊建設(shè)具有我國(guó)特色的威脅情報(bào)標(biāo)準(zhǔn)體系.

鑒于我國(guó)威脅情報(bào)技術(shù)仍處在發(fā)展應(yīng)用的初期,各廠(chǎng)商、企業(yè)使用的場(chǎng)景也不盡相同,同時(shí)最新STIX標(biāo)準(zhǔn)版本規(guī)定得又過(guò)于細(xì)致,應(yīng)用時(shí)較為困難繁瑣,并不適合用于我國(guó)目前發(fā)展現(xiàn)狀.所以我國(guó)急需在現(xiàn)有國(guó)標(biāo)的基礎(chǔ)上,積極調(diào)研國(guó)際上成熟的威脅情報(bào)共享標(biāo)準(zhǔn),重點(diǎn)研究對(duì)我國(guó)威脅情報(bào)領(lǐng)域有建設(shè)性幫助的章節(jié),建設(shè)一套針對(duì)我國(guó)國(guó)情的威脅情報(bào)標(biāo)準(zhǔn)體系,為今后技術(shù)的發(fā)展奠定基礎(chǔ).

3) 逐步將標(biāo)準(zhǔn)融入網(wǎng)絡(luò)威脅情報(bào)生態(tài)環(huán)境.

歸根結(jié)底,標(biāo)準(zhǔn)是應(yīng)當(dāng)作用于整個(gè)網(wǎng)絡(luò)威脅生態(tài)環(huán)境當(dāng)中,而絕不是狹義地去描述單個(gè)威脅情報(bào),所以在今后的標(biāo)準(zhǔn)框架設(shè)計(jì)中,應(yīng)當(dāng)充分考慮基于威脅情報(bào)的共享機(jī)制、共享平臺(tái)、智能化應(yīng)用等生態(tài)元素,切實(shí)做好網(wǎng)絡(luò)威脅情報(bào)生態(tài)環(huán)境的底層支持.建立起行之有效的獎(jiǎng)懲制度,對(duì)于積極應(yīng)用國(guó)家標(biāo)準(zhǔn)并提出建設(shè)性意見(jiàn)的企業(yè)和組織提供合理的獎(jiǎng)勵(lì).同時(shí)加強(qiáng)相關(guān)法律法規(guī)的建設(shè),引入正確的道德輿論導(dǎo)向,促進(jìn)形成良性的網(wǎng)絡(luò)威脅情報(bào)生態(tài)環(huán)境.

6 結(jié)束語(yǔ)

網(wǎng)絡(luò)威脅情報(bào)作為一種全新的網(wǎng)絡(luò)安防理念,自提出起便一直處于不斷發(fā)展之中,相較于傳統(tǒng)的安防模式,能夠更加有效地面對(duì)日趨復(fù)雜的網(wǎng)絡(luò)安全威脅.而標(biāo)準(zhǔn)化的建設(shè)則是確保整個(gè)威脅情報(bào)系統(tǒng)正常運(yùn)作的關(guān)鍵,是維系整個(gè)生態(tài)環(huán)境良性循環(huán)的必然要求,其發(fā)展的重要性和必然性不言而喻.

本文總結(jié)了國(guó)際上部分國(guó)家(組織)于網(wǎng)絡(luò)威脅情報(bào)領(lǐng)域開(kāi)展的標(biāo)準(zhǔn)化工作,重點(diǎn)從發(fā)布?xì)v程、模型框架、信息示例、平臺(tái)應(yīng)用4個(gè)方面對(duì)美國(guó)STIX標(biāo)準(zhǔn)與我國(guó)國(guó)家標(biāo)準(zhǔn)展開(kāi)對(duì)比論述,總結(jié)了美國(guó)在標(biāo)準(zhǔn)化工作上值得借鑒的方面,并給出了我國(guó)在今后標(biāo)準(zhǔn)建設(shè)時(shí)的建議.