, , , ,

(上海電力學院 計算機科學與技術學院, 上海 200090)

當今全球每個組織在一定程度上都與數(shù)字化掛鉤,可以說沒有哪個行業(yè)能夠完全避免網(wǎng)絡攻擊的侵擾,而且必然會在某些情況下被惡意攻擊者成功侵入.我們不得不承認,不管信息安全技術、產(chǎn)品和解決方案的種類有多么豐富,但實際上對黑客來說,黑掉一個企業(yè)網(wǎng)站比以前更加容易了.對于企業(yè)而言,基本上可分為兩類,即“知道自己被黑的”和“不知道自己被黑的”.一個企業(yè)的IT系統(tǒng)之所以會被黑客惦記和光顧,不是因為它有很多安全問題和弱點,而是因為它蘊含價值,是價值吸引了黑客的目光,因此可將上述分類修改為“值得被黑的”和“不值得被黑的”.傳統(tǒng)的針對病毒、漏洞的安全對抗往往讓企業(yè)忽略了自身所被覬覦的價值.

信息安全防護體系面臨的困境主要有:難以從海量的安全事件中發(fā)現(xiàn)真正的攻擊行為,入侵檢測系統(tǒng)(Intrusion Detection Systems,IDS)、安全管理平臺(Security Operations Center,SOC)等傳統(tǒng)安全產(chǎn)品的使用效率低下;某一點確認的安全事件不能在組織內(nèi)及時有效地進行共享和協(xié)同;不同類型、廠商的安全設備之間的漏洞、威脅信息不通用,不利于大型網(wǎng)絡的維護管理;斯諾登等事件揭示的美國國家安全局對我國的攻擊手段難以有效地發(fā)現(xiàn)和識別,亟需對現(xiàn)有的安全體系進行升級.因此,我們需要更加專注于破壞活動造成嚴重危害前將其遏制,從而將對日常工作的干擾降至最低.

圍繞威脅情報的安全對抗也許就是真正基于價值的對抗,隨著企業(yè)逐漸放棄傳統(tǒng)的響應為主、設備導向的保護戰(zhàn)略,而慢慢轉向通過情報主導型可視化與控制能力實現(xiàn)的主動檢測與響應的新策略,我們一直以來所熟知的安全態(tài)勢正在土崩瓦解[1].

1 威脅情報

1.1 威脅情報的定義

關于威脅情報有許多“熱”詞,如安全情報(Security Intelligence)、威脅情報(Threat Intelligence)、安全威脅情報(Security Threat Intelligence)、網(wǎng)絡威脅信息共享(Cyber Threat Information Sharing)、情報感知(Intelligence Aware)、情報驅(qū)動(Intelligence Driven)、基于情報感知的安全控制(Intelligence-Aware Security Control)、情境感知(Context Aware)等.信息安全圈一直在使用的諸如漏洞庫、指紋庫、IP信譽庫等詞語,都是威脅情報的一部分.

對威脅情報的定義有多種[2],常被引用的是GARTNER的定義[3]:威脅情報是針對已經(jīng)存在或正在顯露的威脅或危害資產(chǎn)行為,基于證據(jù)知識,包含情景、機制、影響和應對建議,用于幫助解決威脅或危害進行決策的知識.iSIGHT Partners定義為[4]:網(wǎng)絡威脅情報是關于已經(jīng)收集、分析和分發(fā),針對攻擊者及其動機、目的和手段,用于幫助所有級別安全和業(yè)務員工保護其企業(yè)核心資產(chǎn)的知識.SANS研究院定義為[5]:針對安全威脅、威脅者、危害指標,以及利用惡意軟件和漏洞的行為,所收集的用于評估和應用的數(shù)據(jù)集.也有專家認為情報就是線索,威脅情報就是為了還原已發(fā)生的攻擊和預測未發(fā)生的攻擊所需要的一切線索[6].

綜上所述,威脅情報總體上由兩部分組成:威脅信息,包含攻擊源、攻擊方式、攻擊對象、漏洞信息等;防御信息,包含訪問控制列表、規(guī)則(策略)庫等.

1.2 威脅情報的作用

從不同的角度分析威脅情報的作用如下[6].

(1) 個人角度 刷流量的人需要代理IP,以便繞過IP限制;安全防御者需要僵尸網(wǎng)絡IP,其實攻擊者更需要.

(2) 公司角度 從事Web應用防護系統(tǒng)(Web Application Firewall,WAF)、掃描器、漏洞管理平臺的可以交換漏洞信息,從事殺毒和入侵檢測的可以交換惡意樣本信息,從事業(yè)務欺詐和網(wǎng)絡攻防的可以交換IP信譽信息.這些都是為了做到內(nèi)部資源(掃描器,WAF等安全組件)和外部資源(開源資源集合、廠商資源交換)的整合,從而起到協(xié)同防御的效果,并深度分析真正有價值的攻擊事件與高級的難以發(fā)現(xiàn)的APT(Advanced Persistent Threat)定點攻擊事件.

常見的網(wǎng)絡安全威脅情報服務包括:黑客或欺詐團體滲透、社會媒體和開源信息監(jiān)控、定向漏洞研究、深度定制的人工分析、技術指示器升級、網(wǎng)絡行為門戶、實時時間通知、品牌監(jiān)控和保護、憑據(jù)恢復、事故調(diào)查、釣魚網(wǎng)站下線、欺詐交易糾正和通知、偽造域名檢測等.

威脅情報產(chǎn)品化的方向大致有以下兩種.

(1) 威脅情報信息提供 一種是作為傳統(tǒng)安全產(chǎn)品,如WAF,Anti-malware,分布式拒絕服務(Distributed Denial of Service,DDoS),指揮控制(Command & Control,CC),域名系統(tǒng)(Domain Name System,DNS),安全信息和事件管理(Security Information and Event Management,SIEM),入侵防御系統(tǒng)(Intrusion Prevention System,IPS)等插件;另一種是以企業(yè)為目標用戶,以數(shù)據(jù)分析技術為支撐,以威脅情報提取為目的的企業(yè)一體化解決方案產(chǎn)品.

(2) 威脅情報信息交換 這是目前國外主流的盈利模式.

1.3 威脅情報現(xiàn)狀

近年來,威脅情報共享的概念在安全領域逐漸流行,越來越多的企業(yè)和國家開始關注威脅情報,探討如何利用威脅情報共享來有效防范網(wǎng)絡攻擊.美國陸續(xù)出臺了一系列的法案和總統(tǒng)令[2]:2013白宮行政命令EO-13636《提升關鍵基礎設施的網(wǎng)絡安全》;2013美國第21號總統(tǒng)令PPD-21《關鍵基礎設施的安全性和恢復力》;2012 CISPA《網(wǎng)絡情報共享和保護法案》;2015 CISA《網(wǎng)絡安全情報分享法案》.這些法令為網(wǎng)絡威脅情報的研究奠定了基礎.在美國,網(wǎng)絡安全和通信整合中心(The National Cybersecurity & Communications Integration Center,NCCIC)是國土安全部下屬的負責推動政府與企業(yè)共享網(wǎng)絡威脅信息的主要機構.直接歸國家情報總監(jiān)辦公室管轄的網(wǎng)絡威脅與情報整合中心(Cyber Threat Intelligence Integration Center,CTIIC)負責分析和整合國土安全部、聯(lián)邦調(diào)查局、中央情報局、國家安全局等部門收集到的網(wǎng)絡威脅信息.

國內(nèi)的烽火臺安全威脅情報聯(lián)盟于2015年10月創(chuàng)建,目前有9家成員公司,自主構建了輕型批量IOC交換標準及API情報交互方式,已經(jīng)初步實現(xiàn)聯(lián)盟內(nèi)部安全基礎數(shù)據(jù)及情報的順暢流轉.天際威脅情報平臺致力于提供最全面的安全威脅情報分析查詢、共享、可視化關聯(lián)服務,其Alice威脅情報溯源平臺頗有特色[7].

威脅情報是目前網(wǎng)絡安全行業(yè)的最熱話題之一,是業(yè)界公認的解決安全新威脅的有力武器,正在從理論研究走向應用實踐[8].

2 情報交換標準

情報交換需要統(tǒng)一的標準,主要的標準和組織有結構化的威脅信息表達解決方案(Structured Threat Information Expression,STIX),可信自動交換指標信息(Trusted Automated Exchange of Indicator Information,TAXII ),CybOX ,MAEC,OpenIOC,IODEF,CIF,IDXWG等.其中STIX比較流行,更多的信息可以參考威脅情報共享的相關規(guī)范和標準[9-10].本文將重點介紹STIX,TAXII及美國政府網(wǎng)絡威脅情報共享指南標準草稿(NIST SP 800-150 Draft).

2.1 STIX

MITRE公司在其白皮書《Standardizing Cyber Threat Intelligence Information with the Structured Threat Information eXpression》[11]中提出了一種結構化的威脅信息表達解決方案(STIX),該框架已經(jīng)在US-CERT使用.

STIX主要適用于以下4類場景:威脅的判斷、分析、調(diào)查,以及保留記錄等;以人工方式或自動化工具將威脅特征進行分類;威脅及安全事件應急處理,如安全事件的防范、偵測、處理、總結等;用標準化的框架進行威脅情報的描述與分享.

STIX提供統(tǒng)一的架構進行安全威脅情報的描述,其核心包括8個威脅要素[12]:可觀察行為(Observable),是威脅情報中最基本的信息,如網(wǎng)絡堵塞、系統(tǒng)遭受到的破壞等現(xiàn)象,這些都是日后事件處理的關鍵信息;威脅指標(Indicators),表征這個威脅的特征指標,也就是威脅外在表象的內(nèi)在特征,通過查看這些特征可以判定是否真的遭受了這個威脅的攻擊,包括威脅處理的條件、可能的影響、有效時間、建議的處理方法、檢測或測試方法、指標來源等;突發(fā)事件(Incident),對事件的描述,包括時間、位置、影響、相關指標、戰(zhàn)術技術(Tactics,Techniques,and Procedures,TTP)、攻擊意圖、影響評估、響應行動的要求,以及采取的行動響應過程和事件的日志信息源等.戰(zhàn)術技術是威脅情報中的關鍵信息,將安全事件進行全面描述,并分為手段、技術、過程3個維度分析,包括了惡意攻擊的行為、采用了什么工具、受害目標、利用了什么弱點、影響及后果、kill chain等;動機(Campaign),即攻擊者為什么要發(fā)起這次攻擊;被攻擊系統(tǒng)(Exploit Target)及其被利用的系統(tǒng)漏洞等信息;應對行動(Course of Action),針對 Exploit Targets 所采取的行動,以降低Incident的影響范圍;威脅源(Threat Actor),即攻擊發(fā)起方。

許多機構已利用 STIX 進行威脅情報與資訊分享,一旦發(fā)生網(wǎng)絡安全事件,可通過 STIX 將事件發(fā)生的原因、經(jīng)過、處理等記錄下來,了解威脅及事件的全貌.

2.2 TAXII

TAXII主要定義了網(wǎng)絡威脅情報共享的協(xié)議、服務和信息格式等,是對STIX在傳輸層面的補充[13].目前,網(wǎng)絡威脅情報的共享方法主要有手工方式、網(wǎng)站訂閱方式以及自動化方式.TAXII主要可供安全情報的生產(chǎn)者(信息源,Source)、使用者(訂閱者,subscribers),以及威脅管理機構(包括政府、學術界、產(chǎn)業(yè)界等)使用.主要的威脅情報共享模型有輻射型(Hub and Spoke)、訂閱型(Source/Subscriber)、點對點(Peer to Peer)3種方式,分別如圖1所示.

圖1 3種共享模型

根據(jù)使用TAXII服務的目的,將相關方劃分為生產(chǎn)者(Producer)和消費者(Consumer).其中,生產(chǎn)者是STI的源提供者,可以是一個自然人,也可以是一個機構組織等;消費者是STI的接受者.這兩類角色不是彼此排斥的,一個組織有可能既是STI的生產(chǎn)者,同時也是消費者.TAXII對于威脅信息交換的服務類型以及如何獲得服務的通信格式給出了明確的說明,主要有以下4種:推送信息服務(Push Messaging),從生產(chǎn)者向消費者推送STI的服務;拉回信息服務(Pull messaging),消費者請求從生產(chǎn)者拉回消息的服務;發(fā)現(xiàn)服務(Discovery),允許消費者了解TAXII生產(chǎn)者提供的服務類型以及如何獲得服務;查詢服務(Query),允許消費者按照自定義的準則獲取相應的服務.

TAXII的規(guī)格和文件主要包含如下內(nèi)容:服務規(guī)范,定義了TAXII的服務類型、情報類型以及情報交流格式;消息規(guī)范,采用XML格式;協(xié)議規(guī)范,確定了HTTP/HTTPS作為TAXII傳送的協(xié)議,從安全角度考慮可采用https協(xié)議傳輸;查詢格式規(guī)范,定義了缺省的查詢格式和處理規(guī)則;內(nèi)容及參考樣例,列舉了常用的樣例.

簡而言之,作為一項標準,STIX的主要功能是組織情報,TAXII的主要功能就是傳輸情報.

2.3 NIST SP 800-150 Draft

2014年10月,美國國家標準技術研究所發(fā)布了《NIST SP 800-150:網(wǎng)絡威脅信息共享指南》(草案)(以下簡稱《指南》).《指南》是對《NIST SP 800-61:計算機安全事件響應指南》的擴充,將信息共享、協(xié)同應對擴展至網(wǎng)絡安全事件應急響應的全生命周期(Creation or Collection,Processing,Dissemination,Use,Storage,Disposition).《指南》旨在幫助組織在事故應急響應生命周期過程中建立、參與和維護信息共享、協(xié)同合作關系.為使組織在整個事故應急響應生命周期中更為有效地利用信息共享和協(xié)同合作,《指南》提出了如下建議[14].

(1) 組織應建立一份數(shù)據(jù)資源清單.在該清單上,組織需要詳細記錄目前所擁有的信息,以及所能產(chǎn)生的信息和文檔在何種情況下可以共享.在決定與其他組織分享事件關聯(lián)信息時,應特別考慮共享的風險、共享操作的緊迫性和需求、共享所得到的利益、信息的敏感性、接受者的可靠度、維護信息的方法和能力等因素.

(2) 組織應與共享合作伙伴互換威脅情報、工具和專業(yè)技術.威脅情報應具備的特征包括時效性(Timely)、相關性(Relevant)、準確性(Accurate)、具體性(Specific)、可執(zhí)行性(Actionable).通過共享,組織將受益于同行的集體資源、能力和知識.信息共享的架構包括集中式(Centralized)和P2P式(Peer-to-Peer).

(3) 組織應采用開放的、標準的數(shù)據(jù)格式和傳輸協(xié)議,以促進高效和有效的信息互換.用來共享的信息,可以是結構化數(shù)據(jù)、可機讀數(shù)據(jù)(XML,CSV,JSON),也可以是未預先定義格式的非結構化數(shù)據(jù).典型的共享信息為:IP地址和域名;與網(wǎng)絡攻擊有關的資源定位符(URL);簡單郵件傳輸協(xié)議(SMTP)標題、釣魚式攻擊中所使用的E-mail地址、主題行和郵件內(nèi)容;惡意軟件樣本和人工痕跡;對手的戰(zhàn)術、技術和程序(及效果);響應和緩解措施;漏洞利用代碼;入侵特征和模式;攻擊流量的數(shù)據(jù)包捕獲;網(wǎng)絡流量資料;惡意軟件分析報告;活動/參與者分析;磁盤和內(nèi)存映像等.

(4) 組織應加強對本地數(shù)據(jù)的收集和分析,以及對外部來源數(shù)據(jù)的管理,加強自身的網(wǎng)絡安全和能力成熟度.通過對內(nèi)部和外部來源的信息進行匯總和分析,建立更加豐富的網(wǎng)絡活動環(huán)境,有利于更好地檢測各種網(wǎng)絡威脅.

(5) 組織應定義一個自適應的網(wǎng)絡安全方法,用于解決全生命周期內(nèi)的網(wǎng)絡攻擊.在網(wǎng)絡攻擊生命周期中始終保持對抗模式,開發(fā)并部署防御措施來檢測、限制或阻止惡意的搜索、數(shù)據(jù)傳送以及漏洞的執(zhí)行.一個典型網(wǎng)絡攻擊生命期包括探測(Reconnaissance)、準備和傳送(Weaponization and Delivery)、入侵(Exploitation)、植入(Install)、C& C逃逸和控制(Command and Control)、操縱(Actions on the Objective)6個階段.

(6) 組織應確保需要持續(xù)分享的資源是有效的,為信息共享團隊提供必要的培訓,并提供硬件、軟件、服務和其他需要的基礎條件來支持不間斷的數(shù)據(jù)收集、存儲、分析和傳播.

(7) 組織應通過維持一個持續(xù)的對信息安全、漏洞和威脅的認知來保護敏感信息.

(8) 組織應建立必需的基礎設施來保障網(wǎng)絡安全,同時需要明確標識安裝、操作和維護這些功能的角色和職責,從而保證對網(wǎng)絡硬件和軟件的監(jiān)控和管理,并確保及時修補漏洞.

該標準還提出了在信息共享過程中需要注意的隱私問題:域名、IP地址、文件名、URL等信息不能暴露被攻擊者;捕獲的報文不能包含登陸憑據(jù)、財務信息、健康信息、案件信息及Web表單提交數(shù)據(jù)等;釣魚文件樣本不能包含任何與事件響應人員無關的敏感信息;Web/代理日志中不能包含如登陸憑據(jù)、URL參數(shù)中的ID數(shù)字等個人或業(yè)務行為;網(wǎng)絡流量/NetFlow信息不能暴露員工行為或企業(yè)中與調(diào)查無關的內(nèi)容(如訪問了醫(yī)療情況相關的網(wǎng)站);惡意代碼樣本,內(nèi)容不能包括用戶業(yè)務或個人的相關信息.

另外,信息的敏感性也至關重要,需要遵從諒解備忘錄MOUs,保密協(xié)議NDAs或其他協(xié)議框架,此外還需要遵從PII,SOX,PCI DSS,HIPPA,FISMA,GLBA等法律法規(guī).此外,還必須對交換的信息進行標識,約定其適用范圍.

3 機讀安全威脅情報實例

安全威脅情報提供的內(nèi)容一般會同時包含非機讀的對攻擊事件進行詳細分析和描述的文檔,以及機讀格式的事件描述文件.不同于傳統(tǒng)的安全通告和預警,安全威脅情報可以提供可機讀的情報文件.這些可機讀情報信息可迅速被支持的安全平臺(如SOC,SIEM平臺等)甚至安全設備(如防火墻、入侵監(jiān)測、防病毒等)所使用,并對相關網(wǎng)絡行為、主機、文件等進行監(jiān)測,從而有效發(fā)現(xiàn)和阻斷其他節(jié)點正在進行的APT攻擊,真正做到全網(wǎng)聯(lián)動、快速響應.

被FireEye公司收購的專業(yè)安全威脅情報公司Mandiant,在2013年發(fā)布APT1報告的附件中,除了對APT攻擊包含的惡意代碼家族分析和SSL證書之外,還包含APT1使用相關域名的全稱域名(Fully Qualified Domain Name,FQDN)信息、惡意代碼相關MD5 HASH,以及OpenIOC格式的相關可機讀的IOC文件.隨后,MITRE公司根據(jù)Mandiant報告,提供了STIX 1.1.1格式的機讀文件.SITX格式的APT1報告包含如下文件[15].

(1) Mandiant_APT1_Report.xml 使用STIX格式轉換的APT1報告全文.

(2) Appendix_D_FQDNs.xml CybOX擴展格式的攻擊相關域名的FQDN信息,網(wǎng)絡監(jiān)測設備和日志分析設備可讀取這些域名信息,發(fā)現(xiàn)與這些域名有訪問或連接的設備.

(3) Appendix_E_MD5s.xml CybOX擴展格式的攻擊使用相關惡意代碼MD5 HASH,日志分析平臺、主機、防病毒等安全設備可據(jù)此對惡意代碼存在的情況進行檢查.

(4) Appendix_F_SSLCertificates.xml CybOX擴展格式的攻擊使用的SSL證書信息,網(wǎng)絡監(jiān)測設備、日志分析設備、主機監(jiān)測等可據(jù)此發(fā)現(xiàn)使用這些證書的行為.

(5) Appendix_G_IOCs_No_Observables.xml使用OpenIOC擴展格式定義指示器的情報文件(非CybOX擴展格式),各種相關安全設備可據(jù)此對攻擊進行檢測.

(6) Appendix_G_IOCs_No_OpenIOC.xml 使用CybOX擴展格式來定義指示器的情報文件(非OpenIOC擴展格式),相關安全設備可據(jù)此對攻擊進行檢測.

(7) Appendix_G_IOCs_Full.xml 包含使用CybOX擴展格式和OpenIOC擴展格式來定義指示器的情報文件,相關安全設備可據(jù)此對攻擊進行檢測.

4 結 語

隨著威脅情報服務的日益普及,信息安全將逐步走向數(shù)據(jù)驅(qū)動型安全時代.海量威脅數(shù)據(jù)令安全團隊不堪重負,聚合這些數(shù)據(jù)需要思想上的轉變和威脅情報的成熟,才能達到更好的風險規(guī)避效果.共享威脅情報信息可以幫助識別已知風險,自我學習有關可用服務的知識,以及擁有根據(jù)自身環(huán)境特別定制的威脅情報程序,將有助于組織防范網(wǎng)絡攻擊.威脅情報可幫助組織樹立正確的安全管理工作目標,從價值特性的角度關注組織的安全風險和安全建設,從而更為有效地捍衛(wèi)其最具價值的資產(chǎn)與信息.

[1] RECCO.成長中的威脅情報[EB/OL].[2016-10-24].http://www.secdoctor.com/html/xueshu/33791.html.

[2] 軍芳.乍暖還寒時分,網(wǎng)絡安全威脅情報價值凸顯——隱秘的網(wǎng)絡安全威脅情報[J].信息安全與通信保密,2015(12):76-77.

[3] McMILLAN Rob.Definition:threat intelligence[EB/OL].[2016-10-24].https://www.gartner.com/doc/2487216/definition-threat-intelligence.

[4] FireEye Inc.iSIGHT partners[EB/OL].[2016-10-27].https://www.isightpartners.com/.

[5] Southern African Neuroscience Society.SANS information security research[EB/OL].[2016-10-27].http://www.sans.org/.

[6] 碳基體.威脅情報是個啥[EB/OL].[2016-10-27].https://www.sec-un.org/threat-intelligence-is-what/.

[7] 楊澤明,李強,劉均榮,等.面向攻擊溯源的威脅情報共享利用研究[J].信息安全研究,2015,1(1):31-36.

[8] 萬濤.建立中國新網(wǎng)絡安全觀和威脅情報發(fā)展戰(zhàn)略勢在必行[J].中國信息安全,2015(11):47-53.

[9] NUKE.NUKE同學共享的安全威脅情報相關資料[EB/OL].[2016-11-12].https://www.sec-un.org/nuke-classmates-shared-security-threat-intelligence-related-information-continuous-updates/.

[10] NUKE.NUKE同學收集的國外開源威脅情報資源相關網(wǎng)站[EB/OL].[2016-10-24].http://www.sec-un.org/nuke-students-foreign-open-source-threat-intelligence-gathered-resources-related-websites/.

[11] MITRE.Standardizing cyber threat intelligence information with the structured threat information eXpression[EB/OL].[2017-01-11].http://stix.mitre.org/about/documents/STIX_Whitepaper_v1.0.pdf.

[12] LZY.威脅情報(Threat intelligence)標準(STIX)的分享[EB/OL].[2017-01-11].http://www.sec-un.org/information-on-perceptions-of-information-security-threat-intelligence-threat-intelligence-criteria-stix-share/.

[13] LZY.威脅情報的“結構化”“可機讀”—TAXII標準的分享[EB/OL].[2017-01-11].http://www.sec-un.org/threat-information-structured-machine-readable-taxii-standard-sharing/.

[14] 美國國家標準技術研究所.美國政府網(wǎng)絡威脅情報共享指南標準草稿 NIST SP 800-150 Draft[EB/OL].[2017-01-11].http://www.sec-un.org/united-states-cyber-threat-intelligence-sharing-guidelines-draft-nist-sp-800-150-draft.html.

[15] NUKE.機讀安全威脅情報實例之Mandiant APT1[EB/OL].[2017-01-11].https://www.sec-un.org/mandiant-security-threat-intelligence-instance-apt1/.