2018 年 10 月 10 日,我国正式发布威胁情报的国家标准——《信息安全技术网络安全威胁信息格式规范Information security technology — Cyber security threat information format》(GB/T 36643-2018)。
这份标准由中国电子技术标准化研究院牵头制定,共有 29 家单位共同参与完成。通过结构化、标准化的方法描述网络安全威胁信息,以便实现各组织间网络安全威胁信息的共享和利用,并支持网络安全威胁管理和应用的自动化。这意味着我国网络安全在法规、规范方面又更进一步,同时,也顺应了当前阶段网络安全领域威胁情报的发展现状和趋势。
国内外威胁情报共享发展现状
国外的威胁信息共享标准已经有成熟且广泛的应用。其中,美国联邦系统安全控制建议(NIST 800-53)、美国联邦网络威胁信息共享指南(NIST 800-150)、STIX 结构化威胁表达式、CyboX 网络可观察表达式以及指标信息的可信自动化交换 TAXII 等都为国际间威胁情报的交流和分享题攻克可靠参考。而 STIX 和 TAXII 作为两大标准,不仅得到了包括 IBM、思科、戴尔、大型金融机构以及美国国防部、国家安全局等主要安全行业机构的支持,还积累了大量实践经验,在实践中不断优化。
在国内,安全厂商、甲方企业和国家政府都越来越重视威胁情报的发展,他们对网络安全情报信息的共享以及自动化有着迫切的期待和需求。这次标准恰巧应运而生。
标准概览
标准从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施等八个组件进行描述,并将这些组件划分为对象、方法和事件三个域,最终构建出一个完整的网络安全威胁信息表达模型。
其中:
威胁主体和攻击目标构成攻击者与受害者的关系,归为对象域;
攻击活动、安全事件、攻击指标和可观测数据则构成了完整的攻击事件流程,归为事件域;即有特定的经济或政治目的、对信息系统进行渗透入侵,实现攻击活动、造成安全事件;而防御方则使用网络中可以观测或测量到的数据或事件作为攻击指标,识别出特定攻击方法;
在攻击事件中,攻击方所使用的方法、技术和过程(TTP)构成攻击方法,而防御方所采取的防护、检测、响应、回复等行动构成了应对措施;二者一起归为方法域。
有了通用模型做参考,业内对网络安全威胁信息的描述就可以达到一致,进而提升威胁信息共享的效率和整体的网络威胁态势感知能力。
标准的适用范围
这份国家标准适用于网络安全威胁信息供方和需方之间进行网络安全威胁信息的生成、共享和使用,网络安全威胁信息共享平台的建设和运营可参考使用。
规范网络安全威胁信息的格式和交换方式是实现网络安全威胁信息共享和利用的前提和基础,因此它在推动网络安全威胁信息技术发展和产业化应用方面具有重要意义。
网络安全威胁信息共享的目的在于通过产品间、系统间、组织间的威胁信息共享和交换,提升整体安全检测和防护能力。
适用于产品和产品、产品和服务之间自动化共享最新的威胁样本、事件、检测和防护规则;
适用于系统间自动化、半自动化共享威胁信息和线索;
适用于组织间共享威胁分析报告和战略级威胁信息。
本标准的发布,将在多个层面支撑国家网络安全工作的开展。
在国家级态势感知层面,提供了不同层级系统间,统一的威胁信息上传下达格式,有助于态势感知机制的快速建立;
在行业级通告预警层面,提供了统一的预警信息格式,条件允许的场景下,能形成可机读的检测和防护规则,有助于大幅缩短响应时间;
在产业级协同联动层面,有助于不同厂商产品间的自动化交互,提升产业整体能力水平。
此前,多位业内专家或厂商都曾在会议或其他场合表达过对威胁情报共享和标准化的期望。也有人分析称自动化、标准化、体系化将是威胁情报发展的必由之路。本次《信息安全技术网络安全威胁信息格式规范》的发布以及到 2019 年 5 月 1 日正式实施后,我国威胁情报的发展将迎来新阶段。