2024年6月12日发(作者:)

威胁情报

Threatintelligence标

准STI的分享

Jenny was compiled in January 2021

现在的攻击都不是单一的攻击,下图描述了典型APT的攻击过程。

攻击者从侦查目标、制作攻击工具、送出工具、攻击目标弱点、拿下权

限、运行工具,后期远端维护工具,长期的控制目标。针对这种定向的

高级攻击,威胁情报共享是很好的解决办法。

二、 STIX 主要适用场景:

主要可适用在以下四类场景

1.威胁分析。威胁的判断、分析、调查、保留记录等使用。

2.威胁特征分类。将威胁特征进行分类,以人工方式或自动化工具。

3.威胁及安全事件应急处理:安全事件的防范、侦测、处理、总结等,

在安全事件处置过程中可以有很好的借鉴,以前做事件处理没有这么详

尽的信息。

4. 威胁情报分享。用标准化的框架进行描述与分享。

下图主要描述了STIX的适用场景。

三、威胁建模: STIX 提供统一的架构,可进行安全威胁情报的描述。

如图,展示了STIX 的架构。核心是8个威胁的属性。

1、Obsverable:我们能够观察到的行为。是威胁情报中最基本的信息。

比如网络堵塞、系统遭受到的破坏等等现象。这些都是日后事件处理的

关键信息。

2、Indicators(威胁指标):表征这个威胁的特征指标。也就是威胁外

在表象的内在特征。通过查看这些特征可以判定是否真的遭受了这个威