2024年6月12日发(作者:)

现在的攻击都不是单一的攻击,下图描述了典型APT的攻击过程。攻击者

从侦查目标、制作攻击工具、送出工具、攻击目标弱点、拿下权限、运行工

具,后期远端维护工具,长期的控制目标。针对这种定向的高级攻击,威胁情

报共享是很好的解决办法。

二、 STIX 主要适用场景:

主要可适用在以下四类场景

1.威胁分析。威胁的判断、分析、调查、保留记录等使用。

2.威胁特征分类。将威胁特征进行分类,以人工方式或自动化工具。

3.威胁及安全事件应急处理:安全事件的防范、侦测、处理、总结等,在安全

事件处置过程中可以有很好的借鉴,以前做事件处理没有这么详尽的信息。

4. 威胁情报分享。用标准化的框架进行描述与分享。

下图主要描述了STIX的适用场景。

三、威胁建模: STIX 提供统一的架构,可进行安全威胁情报的描述。

如图,展示了STIX v1.0的架构。核心是8个威胁的属性。

1、Obsverable:我们能够观察到的行为。是威胁情报中最基本的信息。比如网

络堵塞、系统遭受到的破坏等等现象。这些都是日后事件处理的关键信息。

2、Indicators(威胁指标):表征这个威胁的特征指标。也就是威胁外在表象

的内在特征。通过查看这些特征可以判定是否真的遭受了这个威胁的攻击。包

括威胁处理的条件, 可能的影响,有效时间, 建议的处理方法,检测或测试方

法, 指标来源。

3、Incident(突发事件):对事件的描述,包括时间、位置、影响、相关的指

标、利用TTP,攻击意图,影响评估,响应行动的要求,采取的行动响应过

程,事件的日志信息源等。

下面是一个关于网络钓鱼事件描述主要包含的信息,直接引用原文。

►Time

►Granular set of Incident lifecycle timestamps

►Description

►Roles (Reporter, Responder, Coordinator, Victim)

►Affected Assets

►Impact Assessment

►Related Indicators

►Leveraged TTP

►Related Threat Actors

►Intent

►Discovery Method

►Related Incidents

►COA Requested / COA Taken

►Confidence

►Contact

►History

4、TTP(Tactics, Techniques, andProcedures):威胁情报中的关键信息。

TTP 将安全事件全面进行了描述,并分手段、技术、过程三个维度分析,包括

了恶意攻击的行为、采用了什么工具、受害目标、利用了什么弱点、影响及后

果、kill chain 等等。

5、Campaign:攻击者的动机,为什么要发起这次攻击。

下面是关于campaign的描述样例

►Names

►Intent

►Related TTPs

►Related Incidents

►Related Indicators

►Attribution

►Associated Campaigns

►Confidence

►Activity

►Information Source

6、ExploitTarget:被攻击系统、以及被利用的系统漏洞等信息

7、Course of Action:针对 ExploitTargets 所采取的行动,以降低

Incident 的影响范围。

8、ThreatActor:威胁源,即攻击发起方是谁?

针对威胁建模8要素,还有一种更形象的描述,见下图:

将关于8要素的形象描述,附加到STIX架构图上如下,可以更形象的理解整体

的安全威胁。

安全威胁情报标准STIX介绍

一、STIX简介

STIX是一种语言,目的是为规范网络威胁信息的规范包括威胁情报采集,特性

和交流。在一个结构化的方式来支持更有效的使得网络威胁管理流程化,实现

应用的自动化。

各种高层次的网络安全用例依赖这些信息包括:

分析网络威胁

指定指示灯显示方式的网络威胁

管理网络威胁应对活动

共享网络威胁信息

STIX提供了一个共同的机制在共享情报成员之间的实现案例的一致性,提升效

率,互操作性和整体的态势感知能力,跨平台和处理结构化网络威胁的信息。

此外,STIX提供了一个统一的数据标准模型用于网络威胁信息,包含以下8类

信息:

网络观测

指标

安全事件

对手战术,技术和程序(包括攻击模式,恶意软件,漏洞,杀链,工具,基础

设施,受害人目标等)

漏洞的目标(例如,漏洞,弱点或配置)

行动方案(例如,事件响应或漏洞/弱点补救措施或缓解)

网络攻击活动

网络威胁人员

以使这样的架构是实用的同时使得STIX既灵活和可扩展的。现有的标准化语言

可能被利用作为可选的扩展,在适当情况下和许多灵活机制被设计成标准语

言。几乎所有在此明确的结构化语言是可选的,使得任何单一的用例可以利用

STIX的标准在与其相关(从单一领域到整个语言或之间的任何东西)的情报进

行扩充,而不会因为格式而使得无法搜集情报。STIX能力特定子集可以定义;

并预先在共享社区内使用配置文件的形式或者工具等。

二、STIX标准8类要素

1. 攻击者的动机

事件或威胁行为者共同表达一个共同的意图或期望的效果。例

如,使用一组特定的的TTP(恶意软件和工具)的对手的目标的

工业部门与特定意图可能构成一个运动。在STIX的数据模型,攻

击者的动机都代表了自己的意图,更重要的是,充当元结构来关

联相关的TTP,事件和威胁行为者是动机的一部分。

2. 行动方针

明确有关行动路线可以采取无论是在响应攻击或之前攻击预防措

施的信息。它们被用来表示可能采取行动的两个课程(有可能的

备选方案是建议)在发生事故的过程中已经发生或减轻的攻击目

标(漏洞或配置错误)对于攻击的效果作出反应。组件本身的过

程中包含有关行动的行动意味着要在一个工具自动实现的目标,

它的功效,其可能产生的影响,成本,结构参数观测,甚至是结

构化的进程信息。

3. 利用目标

明确有关可能被对手有针对性地进行开发利用技术漏洞,脆弱

性,或软件配置错误,系统或网络的风险信息。这些信息可以来

自于漏洞平台、地下黑市、0day等等。

4. 事件

明确关于网络安全事件的信息。这可能是最熟悉的STIX构建那些

在计算机安全和事件响应方面的背景。它包含了大量的关于所发

生事件的信息,该事件对系统和信息,事件时间表,联络点,以

及其他描述性信息的影响。在STIX关系模型,事件可能与所涉及

的威胁者,他们是的,行动路线采取或正在建议,指标被用于检

测事件或者被发现了一部分的运动调查中,在事件中被检测到的

TTP了用来进行事件和观测。

5. 指标

传达特定的观测模式结合旨在代表一个网络安全范围内的文物和/

或利益行为的上下文信息。它们由一个或多个可观察图案可能映

射到相关的TTP上下文并与其它相关的元数据上的在指示器里面

进行量化,明确出处理的限制,有效的时间,可能产生的影响。

该指标的踪迹,用于检测结构化试验机制,相关的宣传活动,提

出行动方案。

6. 威胁人员/源

明确威胁的来源或者人员。表征包括像威胁的人员,其动机和预

期效果,和历史上观察到的行为的复杂信息。在STIX关系模型,

威胁行为还包括信息,如观察到的TTP,历史入侵活动,并关联

出与其相关的其他威胁的人员。

7. TTP

是一种“战术,技术和程序”。在STIX它是用来表示对抗行为,

比如什么受害者,他们的目标,他们使用的攻击模式和恶意软

件,以及哪些资源(基础设施,工具,人物角色),他们的影响

力。因为它描述对手的行为,这是STIX的很大一部分,TTP构建

是最常用的和表达构建体中的一个。在STIX关系结构的TTP从指

标引用来描述它的TTP的指标表明,从活动和威胁行为描述被利

用在运动或威胁人员的TTP,在事发地描述它的TTP是在用攻击

的执行,以及对其他的TTP描述的TTP之间的各种各样的关系。

TTP还利用该漏洞的目标结构来描述它利用目标的TTP可能利

用,是攻击模型策略集合。

三、案例

(UC1)分析网络威胁

一个网络威胁分析师从各种手动或自动输入信号源的网络威胁活动的非结构化

信息。分析师旨在了解有关威胁的性质,识别它们,并充分体现它们,这样所

有的威胁的相关知识可以充分的表达,并随着时间的演变。该相关知识,包括

威胁相关的行动,行为,能力,意向,由于威胁人员等。然后分析员可以指定

相关威胁的指标模式,建议的行动方针的威胁响应活动或共享信息与其他可信

方。例如,在一个潜在的网络钓鱼攻击的情况下,一个网络威胁分析人员可以

分析和评估可疑的网络钓鱼电子邮件,分析任何电子邮件附件和链接以确定它

们是否是恶意的,确定该电子邮件被发送到其他人,评估的通用谁/什么是被定

位于网络钓鱼攻击,确定恶意附件是否被打开或链接紧随其后,并保留执行的

所有分析的记录。

(UC2)指定指示灯的显示方式网络威胁

一个网络威胁分析员指定代表以及他们的威胁环境和解释,处理和应用模式及

其配套成果相关元数据的特定网络威胁的观察特征衡量的模式。这可以手动或

使用自动工具结构化威胁信息。例如,在一确认网络钓鱼攻击的情况下,一个

网络威胁分析人员可以收获可观测量(例如,到或从地址,实际的源,主体,

嵌入URL,附件的类型,特异性连接,等等)从相关集网络钓鱼电子邮件的进

行分析,找出陈列在网络钓鱼攻击相关的TTP,执行攻击的杀伤链的相关性,

分配的指标适当的信心,确定适当的处理的指导,产生任何相关的自动化规则

图形的指标(如Snort的,YARA,椭圆形等),分配行为的任何建议的课程,

并打包了这一切为共享一个连贯的记录(UC4,下同)和备查。

(UC3)管理网络威胁响应活动

网络决策者和网络运营人员共同努力,防止或检测网络威胁活动,并调查和此

类活动的任何检测到的发生率作出反应。行动预防课程可能是补救性质的,减

轻脆弱性,弱点或错误配置可能利用的目标。检测和具体事件的调查后,恶意

行动可追溯。例如,在确定的指标,网络决策者和网络运营人员共同努力,充

分认识环境中的网络钓鱼攻击,包括恶意软件安装或恶意软件执行,评估的成

本和有效性的影响已确认的网络钓鱼攻击的情况下的潜在的行动,并实施适当

的行动预防或侦探。

(UC3.1)网络威胁防御

网络决策者评估行动的确定相关威胁的潜在预防的课程,并选择实施适当的行

动。网络运营人员工具无论是通过缓解一般预防性的应用程序或通过先行指标

预测解释引发具体的有针对性的缓解选择,以防止特定网络威胁的发生作用的

课程。例如,在与所定义的指标确认钓鱼攻击的情况下,一个网络决策者可评

估的行动建议的预防性课程(例如,实施于所述电子邮件网关阻塞规则)的网

络钓鱼攻击的一个指标中定义,决定了其相关的成本和风险,并决定是否要执

行它。如果决定实施行动建议的过程中,网络运营人员进行实施。

(UC3.2)网络威胁检测

网络操作人员汇报机制(自动和手动),以监测和以检测特定的网络威胁的发

生是否通过历史证据,目前正在通过动态的态势感知能力,或先验通过先行指

标预测演绎过去的评估网络作战。该检测通过的网络威胁指示灯显示方式一

般。例如,在确定指标确认钓鱼攻击的情况下,网络操作人员可以收获任何指

定的可观察到的模式,从攻击的定义指标和运行环境中适当地应用它们来检测

发生的网络钓鱼攻击的任何证据。

(UC3.3)事件效应初探

网络操作人员潜在的网络威胁检测反应,调查发生了什么或正在发生,试图识

别和描述的实际威胁的性质,并有可能进行具体减轻或行动纠正课程。例如,

在一确认钓鱼攻击的情况下,网络操作人员可进行调查活动,以确定网络钓鱼

攻击是否成功在进行负面影响目标环境内(例如,在安装或运行恶意软件),

并且如果是这样,尝试详细表征那些影响(例如,该系统受到影响,恶意软

件,被窃取了什么数据等)。一旦被理解,网络作战人员将执行适当的减轻或

行动纠正战术(如擦除和恢复系统,修复通道等)。