网络威胁情报标准化建设分析

2021-06-04何志鹏

信息安全研究 2021年6期

何志鹏刘鹏王鹤,3

1(西安邮电大学网络空间安全学院西安 710121) 2(中国科学院大学国家计算机网络入侵防范中心北京 101408) 3(西安电子科技大学网络与信息安全学院西安 710071)

近年来,随着数字经济的快速发展和数字化转型的不断深入,以及全球网络信息化程度的加剧和网络空间的急剧扩张,数据资产不断增大，数字业务不断激增,网络安全攻击面持续扩大,以数据为目标的网络攻击行为日益频繁,且复杂度与日俱增,并已呈现出多样化、未知性等态势[1].

同时在传统网络攻击手段仍旧频发的背景下,新兴的网络威胁手段也层出不穷,这种局面使得网络安全防御变得困难重重.于是基于新安防理念、采用通用标准化数据格式运行的网络威胁情报技术逐渐展露头脚,不仅极大提高了信息的使用效率,还有助于实现信息的多方共享,从而大幅增强保护、检测与响应(protect-detect-respond, PDR)能力,以获得更好的防范效果.

1 威胁情报

网络威胁情报(cyber threat intelligence, CTI)简称为威胁情报,是传统形式下的安全情报通过网络空间为载体的自然延伸,但就目前为止,整个业界内部对其并无一个公认的定义,而被公众所普遍接受的定义是Gartner机构于2014年发布的《安全威胁情报服务市场指南》[2]中给出的.

“威胁情报是一种基于证据的知识,包括情境、机制、指标、影响和操作建议.威胁情报描述了现存的或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应”.值得强调的是“网络威胁情报”并不等同于“网络威胁信息”,两者存在本质上差异,简化或滥用“威胁情报”一词有可能使得组织对当前发展现状和趋势作出误判.表1为DarkReading对两者特点的概述[3].概括来说,情报即为信息,信息不一定是情报.把握好情报的利用会对企业发展与行业进步产生极大的推进作用.

总之,威胁情报就是对数字资产安全产生危害的信息集合.概括地讲,对数字资产具有危害的信息便可以称之为威胁情报,这也是目前整个业界所默认的一种定义.

表1 “威胁信息”与“威胁情报”特点对比

网络安全态势其实作为一种权衡较量,是攻击方和防守方间的非静态平衡行为.由于信息的不对称性,通常攻击方具有先发制人的优势,而防守方往往处于被动的地位[4].

针对于此,以传统防火墙、杀毒软件、入侵检测系统为支撑,以漏洞扫描、木马分析为手段运作的传统安防机制,其被动式防御理念已然无法完全满足当下网络空间安全建设的需求.

威胁情报技术则是以攻击者一方视角为导向,对攻击者手法进行刻画,对攻击工具进行提取,最终绘制攻击者画像,形成主动式防御模式机制.并通过威胁情报共享等手段,及时利用其他网络中产生的高效威胁情报来提高防护方的应对能力,缩短响应时间,增强整体网络威胁态势感知能力,从而尽可能消除攻防双方信息不对等状况.

2 国内外威胁情报标准化工作

标准是最好的建设参考,以标准化的模型作参考,业内对网络安全威胁情报的表征便可达成一致,威胁情报共享与交换的效率得以提升,网络威胁态势感知能力得以增强,网络空间安全防范不足现状得以改善.

网络威胁情报是构筑“情报驱动的网络安全主动式防御”的关键,而威胁情报标准的建设则是网络威胁情报能否有效实践、积极共享、实现价值最大化的关键点和重要发力点,是网络安全适应新发展理念的重要技术基础,更是国家网络安全保障水平的集中体现.因此威胁情报标准的制定具有重大现实意义.本节将对国际上部分国家(组织)开展的威胁情报标准化工作进行概述.

2.1 美国标准化工作

作为互联网领域的先行者,美国率先完成网络空间安全防御理念的转变,积极从被动式防御转向为主动式防御,在确保自身网络空间处于安全的前提下,再次实现对网络空间这一战略制高点的绝对控制权[5].

在威胁情报领域,美国凭借其技术上的优势,先后推出了多种威胁情报共享标准,形成了集“表征—共享—自动化”为一体的网络威胁情报体系,且已经发展得十分成熟并在实践中得到了广泛应用.表2详细介绍了美国用于网络威胁情报共享的主流相关标准.其中,结构化威胁信息表征格式(STIX)、威胁指标信息可信自动交换机制(TAXII)与网络观测特征描述格式(CybOX)3项标准与美国联邦网络威胁信息共享指南(NIST SP 800-150)，这些指导性文件为国际间网络威胁情报的交流和分享提供了可靠的参考.

表2 美国用于网络威胁情报共享主流相关标准

下面对上述3项主流标准和1份指导性指南作简要阐述.

图1 STIX标准发展表

1) 结构化威胁信息表征格式(structured threat information expression, STIX[6])提供了基于JSON(2.x版本)/XML(1.x版本)数据格式表征威胁情报内容的方法,由MITRE联合DHS发布,是一种由OASIS负责开发和维护的情报表达规范.实践证明,STIX标准可以表征威胁情报中威胁元素、威胁行为、安全事件等多方面的特征.图1为STIX标准发展表,至2021年1月,OASIS发布了STIX 2.1版本最新修订稿.

2) 威胁指标信息可信自动交换机制(trusted automated exchange of intelligence information, TAXII[7])是基于HTTP(S)交换威胁情报信息的一个应用层协议,提供威胁情报信息的安全传输与交换服务,可兼容多种传输格式的数据.同时TAXII可支持多种共享模型,包括hub-and-spoke,peer-to-peer,subscription等.TAXII最大的优势在于进行情报安全传输时,无需将拓扑结构、信任认证、授权管理等策略纳入考虑范围,而是将其留给更高等级的协议处理,极大提升了传输的效率.图2为TAXII标准发展表,至2021年3月,OASIS发布了TAXII 2.1版本最新修订稿.

图2 TAXII标准发展表

3) 网络可观察对象描述(cyber observable expression, CybOX[8])规范给出了一种用于表征计算机可观察对象与网络动态和实体的方法,现已被集成于STIX 2.x中.其中可观察对象包括文件、HTTP会话、X509证书、系统配置项等,该规范提供了一套标准且支持扩展的语法,用来描述所有可被从计算系统和操作上观察到的内容.可观察对象由于具有某个特定值,故通常作为威胁存在与否的研判指标.图3为CybOX标准发展年代表.

图3 CybOX标准发展表

4) 《网络威胁信息共享指南》(NIST SP 800-150[9])由美国国家标准与技术研究院(NIST)依据《2014年联邦信息安全现代化法案》(FISMA)所规定的法定职责进行拟定,并协同美国商务部于2016年4月正式发布.《网络威胁信息共享指南》作为《计算机安全事件响应指南》(SP 800-61)的扩充,将信息共享、协调、协同扩展至事件响应的全生命周期中,为建立、参与网络威胁信息共享关系提供了指导,帮助组织设定信息共享目标、识别网络威胁信息源、确定信息共享范围、制定威胁信息发布与分发规则等,从而指导其总体网络安全实践.

其中STIX和TAXII两大标准不仅被IBM、戴尔、思科以及大型金融机构所采纳,而且获得了美国国防部、美国国土安全部等主要政府安全机构的支持,在实践中积累经验并进行不断优化.从目前来看,国际上尚无一款通用的网络威胁情报标准规范,通常比较主流的情报共享平台的做法是以《网络威胁信息共享指南》指导文件为参照,在STIX模型框架下,采用CybOX提供的词汇表征威胁情报,并使用TAXII协议进行情报安全传输.

2.2 我国标准化工作

2013年斯诺登“棱镜门”事件所揭示的美国国家安全局对我国的网络攻击手段,让我国深刻意识到网络安全攻防态势已经逐渐发生改变,目前的技术防护措施难以从海量的安全威胁事件中发现真正的网络攻击行为,现有网络安全防护能力亟需提升.

网络安全威胁情报作为一项可以改变整个安全态势的新兴技术迅速引起了我国的关注,在面对国内不同类型、不同厂商的安全设备之间的漏洞，威胁信息不通用,无法进行大型网络的维护管理,某一点确认的安全事件不能及时在组织内及时有效地进行共享,组织内部难以有效协同的情形下,我国迅速调研已经被美国和国际社会所采纳并应用的STIX,TAXII,CybOX,TLP,OpenIOC等网络威胁情报共享标准,并大力推动我国网络安全威胁情报相关标准的制定、发布和执行,并计划利用威胁情报技术来打造新一代国家级网络空间安全事件响应体系,将其用作解决当前国家网络安全对抗的战略手段[10].

2018年10月10日,我国正式颁布威胁情报国家标准《信息安全技术网络安全威胁信息格式规范》(GB/T 36643—2018),该规范成为我国首个针对网络威胁情报领域的相关标准[11].该标准给出了一种标准化的安全威胁信息模型和数据结构,其创建目的是促进各组织间安全威胁信息的共享与利用,并支持安全威胁管理和应用进程的自动化.

2.3 其他国家(组织)标准化工作

就目前来看,仅有中美两国公布了网络威胁情报领域的相关标准,但这并不意味其他国家不重视威胁情报标准化的建设,相反一些国家在很多方面的发展已十分成熟,如专项立法、机构设立、平台建设等,下面将简要概述部分国家(组织)在威胁情报领域开展的标准化工作.

1) 欧盟委员会

欧盟是最为关切网络威胁情报领域的组织之一.近年来,欧盟提出了许多法律法规以促进网络威胁情报共享,为全球相关法律的实践提供了经验.其中,较为重要的法规是2016年7月颁布的欧盟指令2016/1148,也称为“网络和信息系统指令”(NIS)[12]；以及《一般数据保护条例》(GDPR)[13]；以及2019年颁布的《欧盟网络安全法》[14].其中在《网络和信息系统指令》法案中要求各成员国通过符合或改编自该指令的国家法规,建立信息共享与分析中心的有利环境,以促进欧盟成员国内与成员国间的网络威胁情报共享,从而保护关键基础架构领域的网络和信息系统.

2) 日本

随着日美军事一体化的加深,两国在威胁情报共享领域的合作愈发紧密.日美采取了搭建高级别的情报共享磋商平台、提升情报信息化共享水平、制定关于情报共享的法律法规等诸多措施,形成了相对完备的威胁情报共享机制.在情报传输标准方面,日美同盟协议中明确规定,日本自卫队所有骨干线路均需与驻日美军的数字线网相连,于是日本采用美国Link-11，Link-16等数据链作标准通信格式[15].

3) 俄罗斯

2019年,俄罗斯通过了最新网络安全法案《主权互联网法》,该法案呼吁建立一个互联网的备用基础设施,以便应对可能出现的网络威胁[16],这体现出俄罗斯在网络威胁情报领域对网络安全乃至国家安全方面的战略考虑.

4) 英国

近年来国际安全局势复杂，恐怖袭击事件频发,英国政府以国家安全局(MI5)、军事情报第六处(MI6)和政府通信总部(GCHQ)三大机构为支点,强化网络监管和威胁情报监听,抢占“情报预警先机”,以保护国家安全和经济发展[17].

3 我国国标与美STIX标准对比

美国STIX标准作为当前最成熟的威胁情报共享标准已被国际社会所公认，并得到了广泛应用,作为我国威胁情报领域标准化建设的开篇之作——《信息安全技术网络安全威胁信息格式规范》，正是参照美国STIX标准并充分吸收其长处的基础上提出的.本节将从发布历程、模型框架、信息示例、平台应用4个方面对2种标准展开对比论述.

3.1 发布历程

美国网络威胁情报标准化工作由美国国土安全部(DHS)下属的网络安全和通讯办公室(CS&C)具体落实,并由国防信息系统局(DSIA)和国家标准与技术研究院(NIST)负责基础环境的搭建,依托网络安全服务商MITRE加以呈现,再由OASIS-CTI-TC负责开发与维护[18]

STIX标准正是在如上环境中诞生的标准化产品,根据美国计算机应急响应小组(US-CERT)和CERT.org于2010年拟定的名单,参与最初版本制定的讨论者为IDXWG邮件的安全运营师及网络威胁情报专家.通过针对网络安全事件的自动化数据交换问题的讨论,提出了粗略的结构化威胁信息架构草图.

我国国家标准《信息安全技术网络安全威胁信息格式规范》由国家市场监督管理总局和中国国家标准化管理委员会共同发布,是在《网络安全威胁信息表达模型》上发展制定的.2015年,《网络安全威胁信息表达模型》正式在全国信息安全标准化技术委员会立项,由中国电子技术标准化研究院负责牵头,天际友盟、百度等互联网企业,公安部第三研究所、中科院信工所等科研机构,上海交大、西电科大等高等院校多家单位共同参与起草.

3.2 模型框架

为了便于威胁信息的管理、分析与共享,并支持网络安全威胁管理和应用的自动化,便需要一种标准化的模型框架来实现对安全威胁信息的统一划分,以确保描述时的一致性与规范性,进而提升威胁信息共享的效率与互操作性,最终达到增强整体网络安全威胁态势感知能力的目的.

STIX标准最初便将灵活性、可读性、可扩展性、自动化性等特性贯穿于设计指导原则当中,并在每一代新版本的基础上不断完善.其中在表现力方面,STIX标准的目标是在所有目标用例上提供汇总的表达范围,而不是仅专门针对单个对象,以支持网络安全领域内与威胁相关用例的多样性,为网络威胁域内的所有相关信息提供完整的表达能力.

针对于此,STIX 1.x开创性地设计了将核心网络威胁概念标识为独立且可重用的结构,并根据每种组件的内在含义和内容来表征其所有的相互关系,以此来对威胁信息进行结构化和系统化的描述和表达.我国国家标准在充分吸取已有标准长处的基础上,最终参照STIX 1.x模型,设计和构建出了国产网络安全威胁信息模型,以规范化威胁信息的产生与类别划分.模型可用于搭建网络安全威胁信息的基本架构,将其组成信息分解为3个维度及下属的8个组件,并描述了组件间的关系.

随着威胁情报在共享与交换方面的发展,因而对威胁情报的描述提出了更高的需求.STIX 1.x版本模型虽然在威胁情报表达的结构化、系统化方面较之前有了很大的改进,但在部分概念的定义和关系的描述方面还不够准确,另外在描述组件间的关联关系时也较为模糊,并无细致阐述具体是何种关系.

于是MITRE公司在STIX 1.x模型的基础上,相继推出了STIX 2.0模型和STIX 2.1模型.相较于之前模型,STIX 2.x模型采用全新分类模式对原有独立组件描述法进行更新替换,如图4所示.同时指出STIX模型构建应当基于图的语言,是节点与边的连接图.其中STIX域对象和STIX网络可观察对象定义图的节点,STIX关系定义图的边.得益于上述工作的完善,使得STIX标准变得更加实用,更加易于集成,表达能力也更加丰富.

结合以上阐述,表3对各版本的STIX标准和我国国家标准在模型框架内容与意义上进行粗粒度对比[19].

STIX对象STIX核心对象STIX元对象STIX域对象(SDO)STIX网络可观测对象(SCO)STIX关系对象(SRO)语言内容对象标记定义对象STIX捆绑对象

图4 STIX 2.x对象分类

表3 我国标准与美国STIX模型框架对比

3.3 信息示例

STIX标准和我国威胁情报标准作为业界共同合作开发的通用结构化语言,其必然需要具有强可读性及延伸性,且方便使用者与机器解读或编写扩展并用于封装情报的数据编码格式.

STIX 1.x版本采用基于SGML的可扩展标记语言(XML)进行数据编码,之所以选用该语言是因为XML可以在不兼容的系统之间交换数据,并以纯文本格式进行存储,这样不仅可以大大减少交换数据时的复杂性,还使得XML便于记录，更便于调试,是各种应用程序之间进行数据传输时最常用的工具.

然而STIX 2.x版本和我国国家标准认为XML语言旨在传输数据,而不是显示数据,所以采用了更便于理解和阅读的基于JavaScript的JSON数据格式. JSON格式相较于XML来说具有良好的自我描述性,结构简单,生成和解析都更为方便.在实际应用中如果使用XML格式,则需要读取XML文档,然后用XML DOM来遍历文档、读取数值并存储在变量中,而使用JSON格式则只需读取JSON字符串即可,极大提升了数据的表征速率,更适用于追求响应速度的威胁情报领域.

3.4 平台应用

目前面对复杂的攻击形式和严重的攻击后果,仅依靠单个组织的技术体量无法构建起全局性的攻防视野,使之无法发挥出威胁情报的最大价值,进而也无法对攻击威胁作出及时响应和有效防御.

网络威胁情报共享平台在精准发现关键威胁、确立报警优先级、重大安全事件预警和建立情报运营体系等方面发挥着重要作用.该模式下威胁情报的价值得以充分体现,情报的搜集成本大大降低,信息孤岛问题明显改善,共享成员的威胁检测与应急响应能力大幅提升.

一个威胁情报共享标准的成熟程度与受众范围也可以从平台应用上得以体现,下面将选取国内外知名的威胁情报共享平台进行对比,对其选用的共享标准与支持的数据格式进行分析总结,如表4所示:

表4 国内外知名威胁情报共享平台比较

4 启发

通过第3节对我国国家标准与美国STIX标准在发布历程、模型框架、信息示例、平台应用4个方面的比对,本文尝试以威胁情报标准为切入点,总结美国在网络威胁情报标准建设工作中值得借鉴的方面:

1) 从项目定位上,美国的网络威胁情报标准化工作从一开始就是站在国家战略高度进行部署和推进的,将其与国土安全和国家利益紧密相连.并且项目不止局限于标准的制定工作,而是将大量的人力、物力、财力资源应用于标准的管理、更新和推广上.

2) 从模型建设上,美国威胁情报标准更加趋向于构建更细粒度且更易共享的知识模型和框架.从STIX 1.x版本模型到STIX 2.x版本模型,可以观察到STIX对威胁信息的结构化、系统化的表征是一个从无到有、从实用化再到自动化的过程.

3) 从生态搭建上,美国正打造以新标准、新技术、新平台为支点的网络威胁情报生态系统,用于提升网络的安全性、交互性.以信息安全理念变革为驱使,从情报标准进入实体项目,进而实现产业平台以及与之相适应的协同体系,形成“标准—项目—平台—体系”的逻辑路径.

5 建议

为了应对不断激增的新型网络攻击行为,缩小同美国等网络空间强国间的差距,我国在威胁情报领域还需要进行长时间的探索与积累.就针对威胁情报标准的建设而言,我国应从如下4个方面进行深入研究：

1) 以国家力量为核心进行威胁情报标准化工作.

就目前来说,我国对威胁情报标准化工作的重视程度还远远不够,而标准化工作则是推动威胁情报技术发展的前提和重要环节.在今后的标准建设中,应当以国家力量进行部署与落实,以“政、用、产、学、研”的合作形式完成资源上的协同与集成化,真正做到各司其职、各尽其职.加快威胁情报领域技术的发展,从而提升我国网络空间安全态势感知水平.

2) 加紧建设具有我国特色的威胁情报标准体系.

鉴于我国威胁情报技术仍处在发展应用的初期,各厂商、企业使用的场景也不尽相同,同时最新STIX标准版本规定得又过于细致,应用时较为困难繁琐,并不适合用于我国目前发展现状.所以我国急需在现有国标的基础上,积极调研国际上成熟的威胁情报共享标准,重点研究对我国威胁情报领域有建设性帮助的章节,建设一套针对我国国情的威胁情报标准体系,为今后技术的发展奠定基础.

3) 逐步将标准融入网络威胁情报生态环境.

归根结底,标准是应当作用于整个网络威胁生态环境当中,而绝不是狭义地去描述单个威胁情报,所以在今后的标准框架设计中,应当充分考虑基于威胁情报的共享机制、共享平台、智能化应用等生态元素,切实做好网络威胁情报生态环境的底层支持.建立起行之有效的奖惩制度,对于积极应用国家标准并提出建设性意见的企业和组织提供合理的奖励.同时加强相关法律法规的建设,引入正确的道德舆论导向,促进形成良性的网络威胁情报生态环境.