现在的攻击都不是单一的攻击,下图描述了典型APT的攻击过程。攻击者从侦查目标、制作攻击工具、送出工具、攻击目标弱点、拿下权限、运行工具,后期远端维护工具,长期的控制目标。针对这种定向的高级攻击,威胁情报共享是很好的解决办法。
二、 STIX 主要适用场景:
主要可适用在以下四类场景
1.威胁分析。威胁的判断、分析、调查、保留记录等使用。
2.威胁特征分类。将威胁特征进行分类,以人工方式或自动化工具。
3.威胁及安全事件应急处理:安全事件的防范、侦测、处理、总结等,在安全事件处置grossmargin过程中可以有很好的借鉴,以前做事件处理没有这么详尽的信息。
4. 威胁情报分享。用标准化的框架进行描述与分享。
下图主要描述了STIX的适用场景。
三、威胁建模: STIX 提供统一的架构,可进行安全威胁情报的描述。
如图,展示了STIX v1.0的架构。核心是8个威胁的属性。
1、Obsverable:我们能够观察到的行为。是威胁情报中最基本的信息。比如网络堵塞、系统遭受到的破坏等等现象。这些都是日后事件处理的关键信息。
2、Indicators(威胁指标):表征这个威胁的特征指标。也就是威胁外在表象的内在特征。通过查看这些特征可以判定是否真的遭受了这个威胁的攻击。包括威胁处理的条件, 可能的影响,有效时间, 建议的处理方法,检测或测试方法, 指标来源。
3、Incident(突发事件):对事件的描述,包括时间、位置、影响、相关的指标、利用TTP,攻击意图,影响评估,响应行动的要求,采取的行动响应过程,事件的日志信息源等。
下面是一个关于网mighty络钓鱼事件描述主要包含的信息,直接引用原文。
►Time
►Granular t of Incident lifecycle timestamps
►Description
►Roles (Reporter, Responder, Coordinator, Victim)
►Affected Asts
►Impact Asssment
►Related Indicators
►Leveraged TTP
►Related Threat Actors
►Intent
►Discovery Method
►Related Incidents
►COA Requested / COA Taken
►Confidence
►Contact
►History
4、TTP(Tactics, Techniques, andProcedures):威胁情报中的关键信息。TTP 将安全事件全面进行了描述,并分手段、技术、过程三个维度分析,包括了恶意攻击的行为、采用了什么工具、受害目标、利用了什么弱点、影响及后果、kill chain 等等。
5、Campaign:攻击者的动机,为什么要发起这次攻击。
下面是关于campaign的描述样例
►Names
►Intent
►Related TTPs
►Related Incidents
►Related Indicators
►Attribution
►Associated Campaigns
►Confidence
►Activity
►Information Source
6、ExploitTarget:被攻击系统、以及被利用的系统漏洞等信息
7、Cour of Action:针对 ExploitTargets 所采取的行动,以降低 Incident 的影响范围。
8、ThreatActor:威胁源,即攻击发起方是谁?
针对威胁建模8要素,还有一种更形象的描述,见下图:
将关于8要素的形象描述,附加到STIX架构图上如下,可以更形象的理解整体的安全威胁。
安全威胁情报标准STIX介绍
一、STIX简介
STIX是一种语言,目的是为规范网络威胁信息的规范包括威胁情报采集,特性和交流。在一个结构化的方式来支持更有效的使得网络威胁管理流程化,实现应用的自动化。
各种高层次的网络安全用例依赖这些信息包括:
∙分析网络威胁
∙指定指示灯atapi显示方式的网络威胁
∙管理网络威胁应对活动
∙共享网络威胁信息
STIX提供了一个共同的机制在共享情报成员之间的实现案例的一致性,提升效率,互操作性和整体的态势感知能力,跨平台和处理结构化网络威胁的信息。此外,STIX提供了一个统一的数据标准模型用于网络威胁信息,包含以下8类信息:
∙网络观测
∙指标
∙安全事件
∙对xcv手战术,技术和程序(包括攻击模式,恶意软件,漏洞,杀链,工具,基础设施,受害人目标等)
∙漏洞的目标(例如,漏洞,弱点或配置)
∙行动方案(例如,事件响应或漏洞/弱点补救措施或缓解)
∙网络攻击活动
∙网brix络威胁人员
以使这样的架构是实用的同时使得STIX既灵活和可扩展的。现有的标准化语言可能被利用作为可选的扩展,在适当情况下和许多灵活机制被设计成标准语言。几乎所有在此明确的结构化语言是可选的,使得任何单一的用例可以利用STIX的标准在与其相关(从单一领域到整个语言或之间的任何东西)的情报进行扩充,而不会因为格式而使得无法搜集情报。STIX能力特定子集可以定义; 并预先在共享社区内使用配置文件的形式或者工具等。
二、STIX标准8类要素
1.攻击者的动机
事件或威胁行为者共同表达一个共同的意图或期望的效果。例如,使用一组特定的的TTP(恶意软件和工具)的对手的目标的工业部门与特定意图可能构成一个运动。在STIX的数据模型,攻击者的动机都代表了自己的意图,更重要的是,充当元结构来关联相关的TTP,事件和威胁行为者是动机的一部分。
2.行动方针
明确有关行动路线可以采取无论是在响应攻击或之前攻击预防措施的信息。它们被用来表
示可能采取行动的两个课程(有可能的备选方案是建议)在发生事故的过程中已经发生或减轻的攻击目标(漏洞或配置错误)对于攻击的效果作出反应。组件本身的过程中包含有关行动的行动意味着要在一个工具自动实现的目标,它的功效,其可能产生的影响,成本,结构参数观测,甚至是结构化的进程信息。
3.利用目标
明确有关可能被对手有针对性地进行开发利用技术漏洞,脆弱性,或软件配置错误,系统或网络的风险信息。这些信息可以来自于漏洞平台、地下黑市、0day等等。
4. 事件
明确关于网络安全事件的信息。这可能是最熟悉的STIX构建那些在计算机安全和事件响应方面的背景。它包含了大量的关于所发生事件的信息,该事件对系统和信息,事件时间表,联络点,以及其他描述性信息的影响。在STIX关系模型,事件可能与所涉及的威胁者,他们是的,行动路线采取或正在建议,指标被用于检测事件或者被发现了一部分的运动调查中,在事件中被检测到的typically>jocTTP了用来进行事件和观测。
5.指标
传达特定的观测模式结合旨在代表一个网络安全范围内的文物和/或利益行为的上下文信息。它们由一个或多个可观察图案可能映射到相关的TTP上下文并与其它相关的元数据上的在指示器里面进行量化,明确出处理的限制,有效的时间,可能产cateye生的影响。该指标的踪迹,用于检测结构化试验机制,相关的宣传活动,提出行动方案。
6.威胁人员/源
明确威胁的来源或者人员。表征包括像威胁的人员,其动机和预期效果,和历史上观察到的行为的复杂信息。在STIX关系模型,威胁行为还包括信息,如观察到的TTP,历史入侵活动,并关联出与其相关的其他威胁的人员。
7. TTP
是一种“战术,技术和程序”。在STIX它是用来表示对抗行为,比如什么受害者,他们的目标,他们使用的攻击模式和恶意软件,以及哪些资源(基础设施,工具,人物角色),他们的影响力。因为它描述对手的行为,这是STIX的很大一部分,TTP构建是最常用的和表
elet达构建体中的一个。在STIX关系结构的TTP从指标引用来描述它的TTP的指标表明,从活动和威toothpick胁行为描述被利用在运动或威胁人员的TTP,在事发地描述它的TTP是在用攻击的执行,以及对其他的TTP描述的TTP之间的各种各样的关系。TTP还利用该漏洞的目标结构来描述它利用目标的TTP可能利用,是攻击模型策略集合。
三、案例
(UC1)分析网络威胁
一个网络威胁分析师从各种手动或自动输入信号源的网络威胁活动的非结构化信息。分析师旨在了解有关威胁的性质,识别它们,并充分体现它们,这样所有的威胁的相关知识可以充分的表达,并随着时间的演变。该相关知识,包括威胁相关的行动,行为,能力,意向,由于威胁人员等。然后分析员可以指定相关威胁的指标模式,建议的行动方针的威胁响应活动或共享信息与其他可信方。例如,在一个潜在的网络钓鱼攻击的情况下,一个网络威胁分析人员可以分析和评估可疑的网络钓鱼电子邮件,分析任何电子邮件附件和链接以确定它们是否是恶意的,确定该电子邮件被发送到其他人,评估的通用谁/什么是被定位于网络钓鱼攻击,确定恶意附件是否被打开或链接紧随其后,并保留执行的所有分析的记
录。
