threat

威胁情报

Threatintelligence标

准STI的分享

JennywascompiledinJanuary2021

现在的攻击都不是单一的攻击，下图描述了典型APT的攻击过程。

攻击者从侦查目标、制作攻击工具、送出工具、攻击目标弱点、拿下权

限、运行工具，后期远端维护工具，长期的控制目标。针对这种定向的

高级攻击，威胁情报共享是很好的解决办法。

二、STIX主要适用场景：

主要可适用在以下四类场景

1.威胁分析。威胁的判断、分析、调查、保留记录等使用。

2.威胁特征分类。将威胁特征进行分类，以人工方式或自动化工具。

3.威胁及安全事件应急处理：安全事件的防范、侦测、处理、总结等，

在安全事件处置过程中可以有很好的借鉴，以前做事件处理没有这么详

尽的信息。

4.威胁情报分享。用标准化的框架进行描述与分享。

下图主要描述了STIX的适用场景。

三、威胁建模：STIX提供统一的架构，可进行安全威胁情报的描述。

如图，展示了STIX的架构。核心是8个威胁的属性。

1、Obsverable：我们能够观察到的行为。是威胁情报中最基本的信息。

比如网络堵塞、系统遭受到的破坏等等现象。这些都是日后事件处理的

关键信息。

2、Indicators（威胁指标）：表征这个威胁的特征指标。也就是威胁外

在表象的内在特征。通过查看这些特征可以判定是否真的遭受了这个威

胁的攻击。包括威胁处理的条件,可能的影响，有效时间,建议的处理

方法，检测或测试方法,指标来源。

3、Incident（突发事件）：对事件的描述，包括时间、位置、影响、相

关的指标、利用TTP，攻击意图，影响评估，响应行动的要求，采取的行

动响应过程，事件的日志信息源等。

下面是一个关于网络钓鱼事件描述主要包含的信息，直接引用原文。

Time

GranulartofIncidentlifecycletimestamps

Description

Roles(Reporter,Responder,Coordinator,Victim)

AffectedAsts

ImpactAsssment

RelatedIndicators

LeveragedTTP

RelatedThreatActors

Intent

DiscoveryMethod

RelatedIncidents

COARequested/COATaken

Confidence

Contact

History

4、TTP（Tactics,Techniques,andProcedures）：威胁情报中的关键

信息。TTP将安全事件全面进行了描述，并分手段、技术、过程三个维

度分析，包括了恶意攻击的行为、采用了什么工具、受害目标、利用了

什么弱点、影响及后果、killchain等等。

5、Campaign：攻击者的动机，为什么要发起这次攻击。

下面是关于campaign的描述样例

Names

Intent

RelatedTTPs

RelatedIncidents

RelatedIndicators

Attribution

AssociatedCampaigns

Confidence

Activity

InformationSource

6、ExploitTarget：被攻击系统、以及被利用的系统漏洞等信息

7、CourofAction：针对ExploitTargets所采取的行动，以降低

Incident的影响范围。

8、ThreatActor：威胁源，即攻击发起方是谁

针对威胁建模8要素，还有一种更形象的描述，见下图：

将关于8要素的形象描述，附加到STIX架构图上如下，可以更形象的理

解整体的安全威胁。

一、STIX简介

STIX是一种语言，目的是为规范网络威胁信息的规范包括威胁情报采

集，特性和交流。在一个结构化的方式来支持更有效的使得网络威胁管

理流程化，实现应用的自动化。

各种高层次的网络安全用例依赖这些信息包括：

分析网络威胁

指定指示灯显示方式的网络威胁

管理网络威胁应对活动

共享网络威胁信息

STIX提供了一个共同的机制在共享情报成员之间的实现案例的一致性，

提升效率，互操作性和整体的态势感知能力，跨平台和处理结构化网络

威胁的信息。此外，STIX提供了一个统一的数据标准模型用于网络威胁

信息，包含以下8类信息：

网络观测

指标

安全事件

对手战术，技术和程序（包括攻击模式，恶意软件，漏洞，杀链，

工具，基础设施，受害人目标等）

漏洞的目标（例如，漏洞，弱点或配置）

行动方案（例如，事件响应或漏洞/弱点补救措施或缓解）

网络攻击活动

网络威胁人员

以使这样的架构是实用的同时使得STIX既灵活和可扩展的。现有的标准

化语言可能被利用作为可选的扩展，在适当情况下和许多灵活机制被设

计成标准语言。几乎所有在此明确的结构化语言是可选的，使得任何单

一的用例可以利用STIX的标准在与其相关（从单一领域到整个语言或之

间的任何东西）的情报进行扩充，而不会因为格式而使得无法搜集情

报。STIX能力特定子集可以定义;并预先在共享社区内使用配置文件的

形式或者工具等。

二、STIX标准8类要素

1.攻击者的动机

事件或威胁行为者共同表达一个共同的意图或期望的效果。

例如，使用一组特定的的TTP（恶意软件和工具）的对手的

目标的工业部门与特定意图可能构成一个运动。在STIX的

数据模型，攻击者的动机都代表了自己的意图，更重要的

是，充当元结构来关联相关的TTP，事件和威胁行为者是动

机的一部分。

2.行动方针

明确有关行动路线可以采取无论是在响应攻击或之前攻击预

防措施的信息。它们被用来表示可能采取行动的两个课程

（有可能的备选方案是建议）在发生事故的过程中已经发生

或减轻的攻击目标（漏洞或配置错误）对于攻击的效果作出

反应。组件本身的过程中包含有关行动的行动意味着要在一

个工具自动实现的目标，它的功效，其可能产生的影响，成

本，结构参数观测，甚至是结构化的进程信息。

3.利用目标

明确有关可能被对手有针对性地进行开发利用技术漏洞，脆

弱性，或软件配置错误，系统或网络的风险信息。这些信息

可以来自于漏洞平台、地下黑市、0day等等。

4.事件

明确关于网络安全事件的信息。这可能是最熟悉的STIX构

建那些在计算机安全和事件响应方面的背景。它包含了大量

的关于所发生事件的信息，该事件对系统和信息，事件时间

表，联络点，以及其他描述性信息的影响。在STIX关系模

型，事件可能与所涉及的威胁者，他们是的，行动路线采取

或正在建议，指标被用于检测事件或者被发现了一部分的运

动调查中，在事件中被检测到的TTP了用来进行事件和观

测。

5.指标

传达特定的观测模式结合旨在代表一个网络安全范围内的文

物和/或利益行为的上下文信息。它们由一个或多个可观察

图案可能映射到相关的TTP上下文并与其它相关的元数据上

的在指示器里面进行量化，明确出处理的限制，有效的时

间，可能产生的影响。该指标的踪迹，用于检测结构化试验

机制，相关的宣传活动，提出行动方案。

6.威胁人员/源

明确威胁的来源或者人员。表征包括像威胁的人员，其动机

和预期效果，和历史上观察到的行为的复杂信息。在STIX

关系模型，威胁行为还包括信息，如观察到的TTP，历史入

侵活动，并关联出与其相关的其他威胁的人员。

是一种“战术，技术和程序”。在STIX它是用来表示对抗

行为，比如什么受害者，他们的目标，他们使用的攻击模式

和恶意软件，以及哪些资源（基础设施，工具，人物角

色），他们的影响力。因为它描述对手的行为，这是STIX

的很大一部分，TTP构建是最常用的和表达构建体中的一

个。在STIX关系结构的TTP从指标引用来描述它的TTP的

指标表明，从活动和威胁行为描述被利用在运动或威胁人员

的TTP，在事发地描述它的TTP是在用攻击的执行，以及对

其他的TTP描述的TTP之间的各种各样的关系。TTP还利用

该漏洞的目标结构来描述它利用目标的TTP可能利用，是攻

击模型策略集合。

三、案例

（UC1）分析网络威胁

一个网络威胁分析师从各种手动或自动输入信号源的网络威胁活动的非

结构化信息。分析师旨在了解有关威胁的性质，识别它们，并充分体现

它们，这样所有的威胁的相关知识可以充分的表达，并随着时间的演

变。该相关知识，包括威胁相关的行动，行为，能力，意向，由于威胁

人员等。然后分析员可以指定相关威胁的指标模式，建议的行动方针的

威胁响应活动或共享信息与其他可信方。例如，在一个潜在的网络钓鱼

攻击的情况下，一个网络威胁分析人员可以分析和评估可疑的网络钓鱼

电子邮件，分析任何电子邮件附件和链接以确定它们是否是恶意的，确

定该电子邮件被发送到其他人，评估的通用谁/什么是被定位于网络钓鱼

攻击，确定恶意附件是否被打开或链接紧随其后，并保留执行的所有分

析的记录。

（UC2）指定指示灯的显示方式网络威胁

一个网络威胁分析员指定代表以及他们的威胁环境和解释，处理和应用

模式及其配套成果相关元数据的特定网络威胁的观察特征衡量的模式。

这可以手动或使用自动工具结构化威胁信息。例如，在一确认网络钓鱼

攻击的情况下，一个网络威胁分析人员可以收获可观测量（例如，到或

从地址，实际的源，主体，嵌入URL，附件的类型，特异性连接，等等）

从相关集网络钓鱼电子邮件的进行分析，找出陈列在网络钓鱼攻击相关

的TTP，执行攻击的杀伤链的相关性，分配的指标适当的信心，确定适当

的处理的指导，产生任何相关的自动化规则图形的指标（如Snort的，

YARA，椭圆形等），分配行为的任何建议的课程，并打包了这一切为共

享一个连贯的记录（UC4，下同）和备查。

（UC3）管理网络威胁响应活动

网络决策者和网络运营人员共同努力，防止或检测网络威胁活动，并调

查和此类活动的任何检测到的发生率作出反应。行动预防课程可能是补

救性质的，减轻脆弱性，弱点或错误配置可能利用的目标。检测和具体

事件的调查后，恶意行动可追溯。例如，在确定的指标，网络决策者和

网络运营人员共同努力，充分认识环境中的网络钓鱼攻击，包括恶意软

件安装或恶意软件执行，评估的成本和有效性的影响已确认的网络钓鱼

攻击的情况下的潜在的行动，并实施适当的行动预防或侦探。

（）网络威胁防御

网络决策者评估行动的确定相关威胁的潜在预防的课程，并选择实施适

当的行动。网络运营人员工具无论是通过缓解一般预防性的应用程序或

通过先行指标预测解释引发具体的有针对性的缓解选择，以防止特定网

络威胁的发生作用的课程。例如，在与所定义的指标确认钓鱼攻击的情

况下，一个网络决策者可评估的行动建议的预防性课程（例如，实施于

所述电子邮件网关阻塞规则）的网络钓鱼攻击的一个指标中定义，决定

了其相关的成本和风险，并决定是否要执行它。如果决定实施行动建议

的过程中，网络运营人员进行实施。

（）网络威胁检测

网络操作人员汇报机制（自动和手动），以监测和以检测特定的网络威

胁的发生是否通过历史证据，目前正在通过动态的态势感知能力，或先

验通过先行指标预测演绎过去的评估网络作战。该检测通过的网络威胁

指示灯显示方式一般。例如，在确定指标确认钓鱼攻击的情况下，网络

操作人员可以收获任何指定的可观察到的模式，从攻击的定义指标和运

行环境中适当地应用它们来检测发生的网络钓鱼攻击的任何证据。

（）事件效应初探

网络操作人员潜在的网络威胁检测反应，调查发生了什么或正在发生，

试图识别和描述的实际威胁的性质，并有可能进行具体减轻或行动纠正

课程。例如，在一确认钓鱼攻击的情况下，网络操作人员可进行调查活

动，以确定网络钓鱼攻击是否成功在进行负面影响目标环境内（例如，

在安装或运行恶意软件），并且如果是这样，尝试详细表征那些影响

（例如，该系统受到影响，恶意软件，被窃取了什么数据等）。一旦被

理解，网络作战人员将执行适当的减轻或行动纠正战术（如擦除和恢复

系统，修复通道等）。