今日頭條
官方微信
官方抖音
資訊頻道2018 年 10 月 10 日,我國正式發(fā)布威脅情報的國家標(biāo)準(zhǔn)——《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范Information security technology — Cyber security threat information format》(GB/T 36643-2018)。
這份標(biāo)準(zhǔn)由中國電子技術(shù)標(biāo)準(zhǔn)化研究院牽頭制定,共有 29 家單位共同參與完成。通過結(jié)構(gòu)化、標(biāo)準(zhǔn)化的方法描述網(wǎng)絡(luò)安全威脅信息,以便實現(xiàn)各組織間網(wǎng)絡(luò)安全威脅信息的共享和利用,并支持網(wǎng)絡(luò)安全威脅管理和應(yīng)用的自動化。這意味著我國網(wǎng)絡(luò)安全在法規(guī)、規(guī)范方面又更進(jìn)一步,同時,也順應(yīng)了當(dāng)前階段網(wǎng)絡(luò)安全領(lǐng)域威脅情報的發(fā)展現(xiàn)狀和趨勢。
國內(nèi)外威脅情報共享發(fā)展現(xiàn)狀
國外的威脅信息共享標(biāo)準(zhǔn)已經(jīng)有成熟且廣泛的應(yīng)用。其中,美國聯(lián)邦系統(tǒng)安全控制建議(NIST 800-53)、美國聯(lián)邦網(wǎng)絡(luò)威脅信息共享之南(NIST 800-150)、STIX 結(jié)構(gòu)化威脅表達(dá)式、CyboX 網(wǎng)絡(luò)可觀察表達(dá)式以及指標(biāo)信息的可信自動化交換 TAXII 等都為國際間威脅情報的交流和分享題攻克可靠參考。而 STIX 和 TAXII 作為兩大標(biāo)準(zhǔn),不僅得到了包括 IBM、思科、戴爾、大型金融機(jī)構(gòu)以及美國國防部、國家安全局等主要安全行業(yè)機(jī)構(gòu)的支持,還積累了大量實踐經(jīng)驗,在實踐中不斷優(yōu)化。
在國內(nèi),安全廠商、甲方企業(yè)和國家政府都越來越重視威脅情報的發(fā)展,他們對網(wǎng)絡(luò)安全情報信息的共享以及自動化有著迫切的期待和需求。這次標(biāo)準(zhǔn)恰巧應(yīng)運而生。
標(biāo)準(zhǔn)概覽
標(biāo)準(zhǔn)從可觀測數(shù)據(jù)、攻擊指標(biāo)、安全事件、攻擊活動、威脅主體、攻擊目標(biāo)、攻擊方法、應(yīng)對措施等八個組件進(jìn)行描述,并將這些組件劃分為對象、方法和事件三個域,最終構(gòu)建出一個完整的網(wǎng)絡(luò)安全威脅信息表達(dá)模型。
其中:
威脅主體和攻擊目標(biāo)構(gòu)成攻擊者與受害者的關(guān)系,歸為對象域;
攻擊活動、安全事件、攻擊指標(biāo)和可觀測數(shù)據(jù)則構(gòu)成了完整的攻擊事件流程,歸為事件域;即有特定的經(jīng)濟(jì)或政治目的、對信息系統(tǒng)進(jìn)行滲透入侵,實現(xiàn)攻擊活動、造成安全事件;而防御方則使用網(wǎng)絡(luò)中可以觀測或測量到的數(shù)據(jù)或事件作為攻擊指標(biāo),識別出特定攻擊方法;
在攻擊事件中,攻擊方所使用的方法、技術(shù)和過程(TTP)構(gòu)成攻擊方法,而防御方所采取的防護(hù)、檢測、響應(yīng)、回復(fù)等行動構(gòu)成了應(yīng)對措施;二者一起歸為方法域。
有了通用模型做參考,業(yè)內(nèi)對網(wǎng)絡(luò)安全威脅信息的描述就可以達(dá)到一致,進(jìn)而提升威脅信息共享的效率和整體的網(wǎng)絡(luò)威脅態(tài)勢感知能力。
標(biāo)準(zhǔn)的適用范圍
這份國家標(biāo)準(zhǔn)適用于網(wǎng)絡(luò)安全威脅信息供方和需方之間進(jìn)行網(wǎng)絡(luò)安全威脅信息的生成、共享和使用,網(wǎng)絡(luò)安全威脅信息共享平臺的建設(shè)和運營可參考使用。
規(guī)范網(wǎng)絡(luò)安全威脅信息的格式和交換方式是實現(xiàn)網(wǎng)絡(luò)安全威脅信息共享和利用的前提和基礎(chǔ),因此它在推動網(wǎng)絡(luò)安全威脅信息技術(shù)發(fā)展和產(chǎn)業(yè)化應(yīng)用方面具有重要意義。
網(wǎng)絡(luò)安全威脅信息共享的目的在于通過產(chǎn)品間、系統(tǒng)間、組織間的威脅信息共享和交換,提升整體安全檢測和防護(hù)能力。
適用于產(chǎn)品和產(chǎn)品、產(chǎn)品和服務(wù)之間自動化共享最新的威脅樣本、事件、檢測和防護(hù)規(guī)則;
適用于系統(tǒng)間自動化、半自動化共享威脅信息和線索;
適用于組織間共享威脅分析報告和戰(zhàn)略級威脅信息。
本標(biāo)準(zhǔn)的發(fā)布,將在多個層面支撐國家網(wǎng)絡(luò)安全工作的開展。
在國家級態(tài)勢感知層面,提供了不同層級系統(tǒng)間,統(tǒng)一的威脅信息上傳下達(dá)格式,有助于態(tài)勢感知機(jī)制的快速建立;
在行業(yè)級通告預(yù)警層面,提供了統(tǒng)一的預(yù)警信息格式,條件允許的場景下,能形成可機(jī)讀的檢測和防護(hù)規(guī)則,有助于大幅縮短響應(yīng)時間;
在產(chǎn)業(yè)級協(xié)同聯(lián)動層面,有助于不同廠商產(chǎn)品間的自動化交互,提升產(chǎn)業(yè)整體能力水平。
此前,多位業(yè)內(nèi)專家或廠商都曾在會議或其他場合表達(dá)過對威脅情報共享和標(biāo)準(zhǔn)化的期望。也有人分析稱自動化、標(biāo)準(zhǔn)化、體系化將是威脅情報發(fā)展的必由之路。本次《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》的發(fā)布以及到 2019 年 5 月 1 日正式實施后,我國威脅情報的發(fā)展將迎來新階段。
參考來源:全國標(biāo)準(zhǔn)信息公共服務(wù)平臺,天際友盟
北京市公安局海淀分局備案號:11010802023656號