STIX和TAXII：了解國外較成熟的威脅情報(bào)標(biāo)準(zhǔn)

如今社會(huì)正面臨著日益復(fù)雜多變的新型威脅場景（例如，國家黑客、網(wǎng)絡(luò)犯罪、經(jīng)濟(jì)威脅、工業(yè)間諜、黑客行為和恐怖主義），如何進(jìn)行有效地防御成為網(wǎng)絡(luò)安全屆必須面對的難題。面對攻擊，依據(jù)傳統(tǒng)思維在安全事件已經(jīng)發(fā)生后，進(jìn)行應(yīng)急響應(yīng)的成本可謂是巨大的。為改變傳統(tǒng)的事后防御的不利局面，企業(yè)信息安全防護(hù)體系建設(shè)思路已從被動(dòng)防御逐步發(fā)展為主動(dòng)防御。在攻擊者開始進(jìn)行漏洞利用之前就可以對其進(jìn)行發(fā)現(xiàn)及遏制，以解決滯后性的威脅檢測及威脅響應(yīng)。

在這過程中，情報(bào)的傳播速度與廣泛程度對于復(fù)雜性威脅環(huán)境來說至關(guān)重要，因此，建立一個(gè)自動(dòng)化的、幫助人為分析或執(zhí)行的快速防御機(jī)制就是首要步驟。

目前成熟的國外威脅情報(bào)標(biāo)準(zhǔn)包括網(wǎng)絡(luò)可觀察表達(dá)式（CyboX）、結(jié)構(gòu)化威脅信息表達(dá)式（StructuredThreatInformationeXpression，STIX）以及指標(biāo)信息的可信自動(dòng)化交換（TrustedAutomatedeXchangeofIndicatorInformation，TAXII）等。

其中，作為兩大標(biāo)準(zhǔn)，STIX和TAXII的發(fā)展得到了主要安全行業(yè)機(jī)構(gòu)的大力支持，其中包括IBM、HPE、思科和戴爾，大型金融機(jī)構(gòu)以及包括國防部和國家安全局在內(nèi)的美國政府機(jī)構(gòu)等。

什么是結(jié)構(gòu)化威脅信息表達(dá)式（Structured Threat Information eXpression，STIX）？

STIX提供了基于標(biāo)準(zhǔn)XML的語法描述威脅情報(bào)的細(xì)節(jié)和威脅內(nèi)容的方法，是基于邊緣和節(jié)點(diǎn)的圖形數(shù)據(jù)模型。節(jié)點(diǎn)是STIX數(shù)據(jù)對象（STIX Data Objects ，SDO），邊緣是STIX關(guān)系對象（STIX Relationship Objects ，SRO）。

SDO包含以下信息：

攻擊模式；

身份；

觀察到的數(shù)據(jù)；

威脅行為者；

安全漏洞等；SRO旨在連接SDO，以便隨著時(shí)間的推移，用戶將能夠深入地了解威脅行為者及其技術(shù)。STIX v2預(yù)計(jì)將于年底前推出，供應(yīng)商也正在根據(jù)草案版本提供相關(guān)支持。

實(shí)踐證明，STIX規(guī)范可以描述威脅情報(bào)中多方面的特征，包括威脅因素，威脅活動(dòng)，安全事故等。它極大程度利用DHS規(guī)范來指定各個(gè)STIX實(shí)體中包含的數(shù)據(jù)項(xiàng)的格式。

Digital Shadows公司的Holland表示，

“企業(yè)正在意識(shí)到要構(gòu)建成功的威脅情報(bào)程序，僅僅依靠技術(shù)是不夠的，技術(shù)在其中起到促成并加速對人的分析的作用。我們開始看到面向結(jié)構(gòu)化威脅情報(bào)表達(dá)式(STIX)此類標(biāo)準(zhǔn)后面有更多的牽引力量，這將推動(dòng)威脅情報(bào)從業(yè)人員統(tǒng)一溝通規(guī)則，也將促成執(zhí)行阻攔、偵測和響應(yīng)敵人的防御功能身手更加敏捷?！笔裁词侵笜?biāo)信息的可信自動(dòng)化交換（Trusted Automated eXchange of Indicator Information，TAXII）？

從TAXII GitHub網(wǎng)站得知，TAXII旨在標(biāo)準(zhǔn)化網(wǎng)絡(luò)威脅信息的可信、自動(dòng)化交換。指標(biāo)信息的可信自動(dòng)化交換（TAXII?）為威脅情報(bào)服務(wù)和消息交換制定了標(biāo)準(zhǔn)。實(shí)施后，可助力在不同的組織和產(chǎn)品/服務(wù)間共享可操作的網(wǎng)絡(luò)威脅信息，以發(fā)現(xiàn)、防御和減輕網(wǎng)絡(luò)威脅。

TAXII在標(biāo)準(zhǔn)化服務(wù)和信息交換的條款中定義了交換協(xié)議，可以支持多種共享模型，包括hub-and-spoke（軸輔式）、peer-to-peer（P2P）、subscription等。TAXII在提供了安全傳輸?shù)耐瑫r(shí)，還無需考慮拓樸結(jié)構(gòu)、信任問題、授權(quán)管理等策略，留給更高級(jí)別的協(xié)議和約定去考慮。

當(dāng)前的通常做法是用TAXII來傳輸數(shù)據(jù)，用STIX來作情報(bào)描述。

實(shí)施

用戶和安全供應(yīng)商將參與到為威脅情報(bào)標(biāo)準(zhǔn)注入新的生命力的過程中。用戶將能夠把匿名數(shù)據(jù)傳遞給他們的安全供應(yīng)商，而安全供應(yīng)商也將能夠快速地共享威脅情報(bào)給其他用戶。您將仍然需要購買安全服務(wù)，但這些服務(wù)作為社區(qū)實(shí)時(shí)共享威脅和防御數(shù)據(jù)的一部分，將會(huì)更加有效。

目標(biāo)

網(wǎng)絡(luò)犯罪分子日益擴(kuò)展的利潤鏈，造成了非常嚴(yán)重的惡性循環(huán)，利潤可以醞釀更為復(fù)雜嚴(yán)重的網(wǎng)絡(luò)攻擊。但是就像其他任何產(chǎn)品一樣，復(fù)雜的惡意軟件必須有利可圖。

如今，一個(gè)單一的攻擊向量可以被攻擊者利用幾十次或數(shù)百次，為攻擊者創(chuàng)造了極大的利潤。但是，如果一個(gè)新的攻擊向量在經(jīng)歷一兩次攻擊后就失效了，那么他們的盈利能力就會(huì)下降。

未來十年，STIX和TAXII等舉措必將成為左右網(wǎng)絡(luò)安全戰(zhàn)斗力的重要指標(biāo)。如果您的公司有合作的安全供應(yīng)商，請咨詢他們是否了解STIX和TAXII，以及準(zhǔn)備如何使用它們。

如何構(gòu)建更加智能主動(dòng)的防御體系，還需要結(jié)合具體的業(yè)務(wù)情景進(jìn)行不斷研究。隨著威脅情報(bào)標(biāo)準(zhǔn)的制定以及大數(shù)據(jù)實(shí)時(shí)流處理、機(jī)器學(xué)習(xí)技術(shù)的應(yīng)用，實(shí)時(shí)動(dòng)態(tài)感知威脅情報(bào)、實(shí)時(shí)威脅情景學(xué)習(xí)與預(yù)測將使安全防護(hù)措施識(shí)別攻擊的成功率和精準(zhǔn)度進(jìn)一步提升，促進(jìn)主動(dòng)防御體系的進(jìn)一步成熟。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。