威胁情报(Threatintelligence)标准(STIX)的分享

现在的攻击都不是单一的攻击，下图描述了典型APT 的攻击过程。攻击者从侦查目标、制作攻击工具、送出工具、攻击目标弱点、拿下权限、运行工具，后期远端维护工具，长期的控制目标。针对这种定向的高级攻击，威胁情报共享是很好的解决办法。 二、 STIX 主要适用场景： 主要可适用在以下四类场景 1.威胁分析。威胁的判断、分析、调查、保留记录等使用。 2.威胁特征分类。将威胁特征进行分类，以人工方式或自动化工具。 3.威胁及安全事件应急处理：安全事件的防范、侦测、处理、总结等，在安全事件处置过程中可以有很好的借鉴，以前做事件处理没有这么详尽的信息。 4. 威胁情报分享。用标准化的框架进行描述与分享。 下图主要描述了STIX 的适用场景。 三、威胁建模： STIX 提供统一的架构，可进行安全威胁情报的描述。 如图，展示了STIX v1.0 的架构。核心是8 个威胁的属性。 1、Obsverable：我们能够观察到的行为。是威胁情报中最基本的信息。比 如网络 堵 塞 、系 统遭 受 到的破 坏 等等现象 。这些 都是日 后事件处理的关 键 信息。 2、Indicators（ 威胁指 标）：表 征这个威胁的特征指 标。也 就 是威胁外 在表 象的内 在特征。通 过查看 这些 特征可以判定是否 真 的遭 受 了这个威胁的攻击。包括 威胁处理的条 件, 可能的影 响 ，有效 时 间 , 建议 的处理方法，检 测或测试 方法, 指 标来 源 。 3、Incident（ 突 发 事件）：对事件的描述，包 括 时 间 、位 置、影 响 、相 关 的指标、利 用 TTP，攻击意 图，影 响 评 估 ，响 应行动的要求 ，采 取 的行动响 应过程，事件的日 志 信息源 等。 下面 是一个关 于 网 络 钓 鱼 事件描述主要包 含 的信息，直 接 引 用原 文 。 ► Time ► Granular set of Incident lifecycle timestamps ► Description ► Roles (Reporter, Responder, Coordinator, Victim) ► Affected Assets ► Impact Assessment ► Related Indicators ► Leveraged TTP ► Related Threat Actors ► Intent ► Discovery Method ► Related Incidents ► COA Requested / COA Taken ► Confidence ► Contact ► History 4、TTP（Tactics, Techniques, andProcedures）：威胁情报中的关键信息。TTP 将安全事件全面进行了描述，并分手段、...