【入门篇】威胁情报共享的相关规范和标准

美国一些媒体已开始将2015年称为”威胁情报共享元年”,威胁情报共享的概念也频繁在新闻里刷脸。尽管今年上半年几乎没有什么新规范出来,但是由于部分人在威胁情报共享方面的努力,让更多人开始了解并关注这个领域。
IBM Security Systems X-Force的高级研究员Doug Franklin把安全从业者之前一直关注的统称为DHS规范,因为这是美国国土安全部(DHS)在引导着这些社区驱动的努力成果。 这些规范包括知名的CVE、CVSS等等。而最近,诸如 CybOX, STIX and TAXII也开始进入大家的关注范围。

CybOX

Cyber Observable eXpression (CybOX) 规范定义了一个表征计算机可观察对象与网络动态和实体的方法。可观察对象包括文件,HTTP会话,X509证书,系统配置项等。CybOX 规范提供了一套标准且支持扩展的语法,用来描述所有我们可以从计算系统和操作上观察到的内容。在某些情况下,可观察的对象可以作为判断威胁的指标,比如Windows的RegistryKey。这种可观察对象由于具有某个特定值,往往作为判断威胁存在与否的指标。IP地址也是一种可观察的对象,通常作为判断恶意企图的指标。

STIX

Structured Threat Information eXpression (STIX) 提供了基于标准XML的语法描述威胁情报的细节和威胁内容的方法。STIX支持使用CybOX格式去描述大部分STIX语法本身就能描述的内容,当然,STIX还支持其他格式。标准化将使安全研究人员交换威胁情报的效率和准确率大大提升,大大减少沟通中的误解,还能自动化处理某些威胁情报。实践证明,STIX规范可以描述威胁情报中多方面的特征,包括威胁因素,威胁活动,安全事故等。它极大程度利用DHS规范来指定各个STIX实体中包含的数据项的格式。

TAXII

Trusted Automated eXchange of Indicator Information (TAXII) 提供安全的传输和威胁情报信息的交换。很多文章让人误以为TAXII只能传输TAXII格式的数据,但实际上它支持多种格式传输数据。当前的通常做法是用TAXII来传输数据,用STIX来作情报描述,用CybOX的词汇。
TAXII在标准化服务和信息交换的条款中定义了交换协议,可以支持多种共享模型,包括hub-and-spoke,peer-to-peer,subscription。
TAXII在提供了安全传输的同时,还无需考虑拓朴结构、信任问题、授权管理等策略,留给更高级别的协议和约定去考虑。

其它规范

不难看出,目前大量文章内容聚焦在STIX,TAXII,CybOX。有些文章甚至都没提到扮演着同样重要角色的CVE和CVSS。另外,还有很多DHS的补充性规范也经常被所谓的“专家”所忽视。
Common Platform Enumeration(CPE)和Common Configuration Enumeration(CCE)规范了平台和配置的描述标准,就像CVE规范了漏洞的描述标准一样。Common Configuration Scoring System(CCSS)则提供了一套基于CVSS的指标。

其他规范包括:

  • Common Weakness Enumeration (CWE) 定义了通用软件设计与实现的弱点,安全漏洞往往是由这些弱点而来的。
  • Common Attack Pattern Enumeration and Classification (CAPEC) 提供了一个与跨事件攻击相似的功能。
  • Malware Attribute Enumeration and Characterization (MAEC) 可用于描述恶意软件的信息,类似于CVE和漏洞之间的关系。
  • Open Vulnerability Assessment Language (OVAL) 为评估漏洞范围和影响提供了一个框架。
当然还有其他的规范和标准,就不一一列举了。所有这些规范的目标都是覆盖更全面的安全通信领域,并使之成为一种标准化的东西。

美国政府和威胁情报

美国的标准化工作和努力紧密围绕Defense Information Systems Agency(国防信息系统局,简称DISA)和美国National Institute of Standards and Technology(国际标准与技术研究院,简称NIST)。 NIST主要制定系统安全的规范,特别是网络安全框架规范,并主管计算机安全资源中心。 DISA则负责制定Secure Technical Implementation Guides (安全技术实施指南,简称STIGs)来规范信息系统的安全安装与维护。这些高级术语可不止是表面功夫,它们指代了包含技术指导在内的多种标准,允许安装和维修人员锁定系统,否则可能容易受到攻击。
最近,这些组织已经完全支持NIST 的Security Content Automation Protocol (安全内容自动化协议,简称SCAP)。National Vulnerability Database (国家漏洞数据库,简称NVD) 提供官方 SCAP 映射层。这个开放标准的套件目的是:让安全配置的管理和测量能像威胁情报共享一样自动化。
虽然不是经常被提起,但STIX协议可以和其他方式一样,轻松地封装SCAP的payloads。事实上,来自DHS系列中的很多标准其实都已经被SCAP覆盖到了。SCAP实际包含以下的标准:
  • CVE
  • CCE(通用配置列表标准)
  • CPE
  • CVSS
  • CCSS
  • OVAL
  • Extensible Configuration Checklist Description Format  (可扩展性配置清单描述格式标准,简称XCCDF)
  • Open Checklist Interactive Language ​(开放检查表交互式语言,简称OCIL)
上述的除了XCCDF,OCIL和CCSS来自DHS系列标准,剩下的都是NIST定义的。XCCDF给系统配置规则的结构化集合提供了一个标准的描述。该标准支持自动化信息交换,合规测试与评分,同时大家仍然可以根据具体需求来作定制化开发。与DHS的安全威胁情报系列标准相比,XCCDF与DHS系列中的CCE仅存在少量差异。幸运的是,这是SCAP覆盖的内容和DHS系列规范中唯一的明显差异。
OCIL提供了一个标准化的框架,以描述清单问题和解答问题的步骤,而CCSS有一套指标来衡量软件配置问题的安全性。它从公认的CVSS规范衍生出来,并提供类似的功能。

MILE

Managed Incident Lightweight Exchange (轻量级交换托管事件,简称MILE) 封装的标准涵盖了与DHS系列规范大致相同的的内容,特别是CybOX,STIX和TAXII。MILE标准为指标和事件定义了一个数据格式。该封装还包含了 Incident Object Description and Exchange Format (事件对象描述和交换格式,简称IODEF)。IODEF合并了许多DHS系列规范的数据格式,并提供了一种交换那些可操作的统计性事件信息的格式,且支持自动处理。它还包含了IODEF for Structured Cybersecurity Information(结构化网络安全信息,简称IODEF-SCI)扩展和Realtime Internetwork Defense (实时网络防御,简称RID),支持自动共享情报和事件。

更多

在美国还有许多其他的努力,无论是在现有的标准和规范的覆盖面下填补感知的差距或纠正他们的缺陷。Mandiant开发的Open Indicators of Compromise(开放妥协的指标,简称OpenIOC)规范提供了一个对于妥协的指标技术细节的词汇表。它与CybOX有一些重叠,但也扩展了可用的词汇。
Verizon公司创造的Vocabulary for Event Recording and Incident Sharing(事件记录和事故共享词汇,简称VERIS) 定义了一个用于描述安全事件的词汇表。就OpenIOC而言,它跟CybOX也有一些重叠,但它也扩展了可用的词汇。
最后,US-CERT开发了Traffic Light Protocol (红绿灯协议,简称TLP)。这个规范提供了一组名称,而不是一个数据格式,但是可以简单的被包含在任何相关的标准或规范之中。TLP将可能被共享的情报分类,以控制共享范围。它定义了四个层次的共享(对应四种颜色):
  • 红色:该项目不能共享。
  • 黄色:该项目只能在产生的组织内共享。
  • 绿色:该项目可以在组织外部共享,但有范围限制。
  • 白色:该项可被广泛共享。

总结

Doug认为,无论是威胁情报共享的概念还是实践,还都不具有革命性的意义。现在可以看到越来越多的信息泄露的新闻,更多的还藏在水面下未被报道。攻击者最近频繁得手,而信息安全从业者作为防御方需要考虑如何反击。善用威胁情报共享,便可以帮助我们扭转局面。在需求如此明显的情况下,围绕着威胁情报共享的活动会越来越丰富。老美当前的做法是,推动威胁情报数据的获取、封装和消费的项目,并将这些项目成果融合成标准和规范,来推动威胁情报共享事业的发展。