现在的攻击都不是单一的攻击,下图描述了典型APT 的攻击过程。攻击者从侦查目标、制作攻击工具、送出工具、攻击目标弱点、拿下权限、运行工具,后期远端维护工具,长期的控制目标。针对这种定向的高级攻击,威胁情报共享是很好的解决办法。 二、 STIX 主要适用场景: 主要可适用在以下四类场景 1.威胁分析。威胁的判断、分析、调查、保留记录等使用。 2.威胁特征分类。将威胁特征进行分类,以人工方式或自动化工具。 3.威胁及安全事件应急处理:安全事件的防范、侦测、处理、总结等,在安全事件处置过程中可以有很好的借鉴,以前做事件处理没有这么详尽的信息。 4. 威胁情报分享。用标准化的框架进行描述与分享。 下图主要描述了STIX 的适用场景。 三、威胁建模: STIX 提供统一的架构,可进行安全威胁情报的描述。 如图,展示了STIX v1.0 的架构。核心是8 个威胁的属性。 1、Obsverable:我们能够观察到的行为。是威胁情报中最基本的信息。比 如网络 堵 塞 、系 统遭 受 到的破 坏 等等现象 。这些 都是日 后事件处理的关 键 信息。 2、Indicators( 威胁指 标):表 征这个威胁的特征指 标。也 就 是威胁外 在表 象的内 在特征。通 过查看 这些 特征可以判定是否 真 的遭 受 了这个威胁的攻击。包括 威胁处理的条 件, 可能的影 响 ,有效 时 间 , 建议 的处理方法,检 测或测试 方法, 指 标来 源 。 3、Incident( 突 发 事件):对事件的描述,包 括 时 间 、位 置、影 响 、相 关 的指标、利 用 TTP,攻击意 图,影 响 评 估 ,响 应行动的要求 ,采 取 的行动响 应过程,事件的日 志 信息源 等。 下面 是一个关 于 网 络 钓 鱼 事件描述主要包 含 的信息,直 接 引 用原 文 。 ► Time ► Granular set of Incident lifecycle timestamps ► Description ► Roles (Reporter, Responder, Coordinator, Victim) ► Affected Assets ► Impact Assessment ► Related Indicators ► Leveraged TTP ► Related Threat Actors ► Intent ► Discovery Method ► Related Incidents ► COA Requested / COA Taken ► Confidence ► Contact ► History 4、TTP(Tactics, Techniques, andProcedures):威胁情报中的关键信息。TTP 将安全事件全面进行了描述,并分手段、...
