現今組織越來越需要擁有蒐集網路威脅情報 (Cyber Threat Intelligence) 的能力,並且要有足夠的情報分享能力,以能夠與其信任夥伴分享網路威脅情報,足以共同防禦網路威脅。網路威脅情報分享 (Cyber Threat Intelligence and Information Sharing) 能夠幫助組織面對並聚焦在現今龐大且複雜的網路安全資訊,此時組織需要的是具標準化、架構性的資訊,才能一窺網路安全事件的全貌。STIX (Structured Threat Information eXpression) 是由 MITRE 公司 (The MITRE Corporation) 所定義與開發出用來快速能達到表示事件相關性與涵蓋性之語言,以表達出架構性的網路威脅資訊。STIX 語言將包含網路威脅資訊的全部範圍,並盡可能地達到完整表示、彈性化、可延展性、自動化與可解讀性等特性。
網路安全已經演變成一個複雜且具多重因子的問題,網路攻擊行為已不如過往那樣單純。我們可以從一個「Kill Chain (攻擊鏈)」知道一次網路攻擊可能分成好幾個步驟,亦可從中了解最新的攻擊行為與如何防範。
一、 攻擊者從觀察目標、製作攻擊工具、送出攻擊工具、攻擊目標弱點、控制目標、於目標執行工具,至遠端維護攻擊工具,循序漸進控制目標,並立足於目標以能進行更進一步的攻擊。此種攻擊過程即為廣為人知的 APT 攻擊 (Advanced Persistent Threat,即進階持續性滲透攻擊) 。正因 APT 攻擊的發展,讓網路安全防禦與事件調查變得更加困難,也因此衍伸出「網路威脅情報分享」等相關議題。
二、 STIX 是一種做為標準化網路威脅資訊的分類、獲取、特徵化與溝通之開發語言,可協助有效管理網路威脅之過程與自動化應用。高階的網路安全仰賴以下資訊:
- 網路可觀性 (Cyber Observation)。
- 事件跡象 (Indicators)。
- 惡意的行為的手法、技術與過程 (Tactics, Techniques, and Procedures,簡稱TTPs ,包含攻擊特徵、惡意軟體、暴露之弱點、kill chains、使用工具、事件架構、受害目標等)。
- 暴露目標 (Exploit Targets,例如弱點、漏洞等)
- 防範行動 (Course of Action,簡稱COA,包含事件應變或弱點補救措施)。
- 網路攻擊活動 (Cyber Attack Campaigns)。
- 網路威脅者 (Cyber Threat Actor)。
| UC | 敘述 | 角色 | |
| UC1 | 判斷、懷疑、分析 (決定是否為惡意、是否擴散)、調查 (誰是目標?何時發生?)、保留紀錄、建議對應作為、分享資訊。 | 網路威脅分析師 | |
| UC2 | 將觀察到的特性分類。以人工方式輔以自動化工具或架構化的威脅資訊。 | 網路威脅分析師 | |
| UC3 | 預防/偵測威脅行為,調查類似事件並回報,然後加以防禦以降低成為弱點或目標的機會 | ||
| 預防 | 評估針對潛在威脅的預防行為,決定採用方案。 | 網路決策人員 | |
| 偵測 | 監視網路行為,以透過威脅特徵偵測過去發生過的事件是否再度發生。 | 網路操作人員 | |
| 事件回報 | 調查事件的原因、辨別與分類,並予以降低威脅或校正。 | 網路操作人員 | |
| UC4 | 發布政策,分享資訊。 | 網路決策人員 | |
詳全文_淺談以STIX實現網路威脅情報標準化框架
沒有留言:
張貼留言