網路安全威脅資訊格式規範正式釋出 國內威脅情報發展迎來新階段

Editor發表於2018-10-19
2018 年 10 月 10 日,我國正式釋出威脅情報的國家標準——《資訊保安技術網路安全威脅資訊格式規範Information security technology — Cyber security threat information format》(GB/T 36643-2018)。這份標準由中國電子技術標準化研究院牽頭制定,共有 29 家單位共同參與完成。

網路安全威脅資訊格式規範正式釋出 國內威脅情報發展迎來新階段

通過結構化、標準化的方法描述網路安全威脅資訊,以便實現各組織間網路安全威脅資訊的共享和利用,並支援網路安全威脅管理和應用的自動化。這意味著我國網路安全在法規、規範方面又更進一步,同時,也順應了當前階段網路安全領域威脅情報的發展現狀和趨勢。



國內外威脅情報共享發展現狀


國外的威脅資訊共享標準已經有成熟且廣泛的應用。其中,美國聯邦系統安全控制建議(NIST 800-53)、美國聯邦網路威脅資訊共享之南(NIST 800-150)、STIX 結構化威脅表示式、CyboX 網路可觀察表示式以及指標資訊的可信自動化交換 TAXII 等都為國際間威脅情報的交流和分享題攻克可靠參考。而 STIX 和 TAXII 作為兩大標準,不僅得到了包括 IBM、思科、戴爾、大型金融機構以及美國國防部、國家安全域性等主要安全行業機構的支援,還積累了大量實踐經驗,在實踐中不斷優化。


在國內,安全廠商、甲方企業和國家政府都越來越重視威脅情報的發展,他們對網路安全情報資訊的共享以及自動化有著迫切的期待和需求。這次標準恰巧應運而生。



標準概覽


標準從可觀測資料、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊目標、攻擊方法、應對措施等八個元件進行描述,並將這些元件劃分為物件、方法和事件三個域,最終構建出一個完整的網路安全威脅資訊表達模型。


其中:


威脅主體和攻擊目標構成攻擊者與受害者的關係,歸為物件域;


攻擊活動、安全事件、攻擊指標和可觀測資料則構成了完整的攻擊事件流程,歸為事件域;即有特定的經濟或政治目的、對資訊系統進行滲透入侵,實現攻擊活動、造成安全事件;而防禦方則使用網路中可以觀測或測量到的資料或事件作為攻擊指標,識別出特定攻擊方法;


在攻擊事件中,攻擊方所使用的方法、技術和過程(TTP)構成攻擊方法,而防禦方所採取的防護、檢測、響應、回覆等行動構成了應對措施;二者一起歸為方法域。


有了通用模型做參考,業內對網路安全威脅資訊的描述就可以達到一致,進而提升威脅資訊共享的效率和整體的網路威脅態勢感知能力。



標準的適用範圍


這份國家標準適用於網路安全威脅資訊供方和需方之間進行網路安全威脅資訊的生成、共享和使用,網路安全威脅資訊共享平臺的建設和運營可參考使用。


規範網路安全威脅資訊的格式和交換方式是實現網路安全威脅資訊共享和利用的前提和基礎,因此它在推動網路安全威脅資訊科技發展和產業化應用方面具有重要意義。


網路安全威脅資訊共享的目的在於通過產品間、系統間、組織間的威脅資訊共享和交換,提升整體安全檢測和防護能力。


適用於產品和產品、產品和服務之間自動化共享最新的威脅樣本、事件、檢測和防護規則;


適用於系統間自動化、半自動化共享威脅資訊和線索;


適用於組織間共享威脅分析報告和戰略級威脅資訊。


本標準的釋出,將在多個層面支撐國家網路安全工作的開展。


在國家級態勢感知層面,提供了不同層級系統間,統一的威脅資訊上傳下達格式,有助於態勢感知機制的快速建立;


在行業級通告預警層面,提供了統一的預警資訊格式,條件允許的場景下,能形成可機讀的檢測和防護規則,有助於大幅縮短響應時間;


在產業級協同聯動層面,有助於不同廠商產品間的自動化互動,提升產業整體能力水平。


此前,多位業內專家或廠商都曾在會議或其他場合表達過對威脅情報共享和標準化的期望。也有人分析稱自動化、標準化、體系化將是威脅情報發展的必由之路。本次《資訊保安技術網路安全威脅資訊格式規範》的釋出以及到 2019 年 5 月 1 日正式實施後,我國威脅情報的發展將迎來新階段。


來源:FreeBuf.COM
宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。 


更多閱讀:

相關文章