电脑桌面
添加小米粒文库到电脑桌面
安装后可以在桌面快捷访问

威胁情报(Threatintelligence)标准(STIX)的分享

威胁情报(Threatintelligence)标准(STIX)的分享_第1页
1/7
威胁情报(Threatintelligence)标准(STIX)的分享_第2页
2/7
威胁情报(Threatintelligence)标准(STIX)的分享_第3页
3/7
现在的攻击都不是单一的攻击,下图描述了典型APT 的攻击过程。攻击者从侦查目标、制作攻击工具、送出工具、攻击目标弱点、拿下权限、运行工具,后期远端维护工具,长期的控制目标。针对这种定向的高级攻击,威胁情报共享是很好的解决办法。 二、 STIX 主要适用场景: 主要可适用在以下四类场景 1.威胁分析。威胁的判断、分析、调查、保留记录等使用。 2.威胁特征分类。将威胁特征进行分类,以人工方式或自动化工具。 3.威胁及安全事件应急处理:安全事件的防范、侦测、处理、总结等,在安全事件处置过程中可以有很好的借鉴,以前做事件处理没有这么详尽的信息。 4. 威胁情报分享。用标准化的框架进行描述与分享。 下图主要描述了STIX 的适用场景。 三、威胁建模: STIX 提供统一的架构,可进行安全威胁情报的描述。 如图,展示了STIX v1.0 的架构。核心是8 个威胁的属性。 1、Obsverable:我们能够观察到的行为。是威胁情报中最基本的信息。比 如网络 堵 塞 、系 统遭 受 到的破 坏 等等现象 。这些 都是日 后事件处理的关 键 信息。 2、Indicators( 威胁指 标):表 征这个威胁的特征指 标。也 就 是威胁外 在表 象的内 在特征。通 过查看 这些 特征可以判定是否 真 的遭 受 了这个威胁的攻击。包括 威胁处理的条 件, 可能的影 响 ,有效 时 间 , 建议 的处理方法,检 测或测试 方法, 指 标来 源 。 3、Incident( 突 发 事件):对事件的描述,包 括 时 间 、位 置、影 响 、相 关 的指标、利 用 TTP,攻击意 图,影 响 评 估 ,响 应行动的要求 ,采 取 的行动响 应过程,事件的日 志 信息源 等。 下面 是一个关 于 网 络 钓 鱼 事件描述主要包 含 的信息,直 接 引 用原 文 。 ► Time ► Granular set of Incident lifecycle timestamps ► Description ► Roles (Reporter, Responder, Coordinator, Victim) ► Affected Assets ► Impact Assessment ► Related Indicators ► Leveraged TTP ► Related Threat Actors ► Intent ► Discovery Method ► Related Incidents ► COA Requested / COA Taken ► Confidence ► Contact ► History 4、TTP(Tactics, Techniques, andProcedures):威胁情报中的关键信息。TTP 将安全事件全面进行了描述,并分手段、...

1、当您付费下载文档后,您只拥有了使用权限,并不意味着购买了版权,文档只能用于自身使用,不得用于其他商业用途(如 [转卖]进行直接盈利或[编辑后售卖]进行间接盈利)。
2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。
3、如文档内容存在违规,或者侵犯商业秘密、侵犯著作权等,请点击“违规举报”。

碎片内容

威胁情报(Threatintelligence)标准(STIX)的分享

确认删除?
VIP
微信客服
  • 扫码咨询
会员Q群
  • 会员专属群点击这里加入QQ群
客服邮箱
回到顶部