联系我们
发布日期:2018/10/12文章来源:盛邦安全
2018年10月10日,威胁情报新国标正式发布,盛邦安全作为web安全领域的领先品牌,全面实现对该国标的全方位支持。
威胁情报国家标准,指的是由中国电子技术标准化研究院牵头制定的《信息安全技术 网络安全威胁信息格式规范Information security technology—Cyber security threat information format》(GB/T 36643-2018)。该国家标准给出了一种结构化方法描述网络安全威胁信息,旨在实现各组织间网络安全威胁信息的共享和利用,并支持网络安全威胁管理和应用的自动化。
国标产生背景
随着大数据技术的迅猛发展,大数据环境下信息安全风险机理发生重大变化,管理边界面临重构,国家机密、商业秘密、隐私保护面临重大威胁和挑战,传统的信息安全管理范式已无法应对严峻的安全形势。因此,以情报为中心、大数据分析技术为手段、专家团队为支撑的数据驱动型动态信息安全防御思想,也就是威胁情报共享应运而生。
然而,当前在威胁情报范式、共享内容、交换格式、利用方式等方面存在着若干问题,亟需统一各界思想,充分利用各方力量达成安全协同,提高网络安全保障能力。
第一,威胁情报促进信息安全管理范式的转型。当前以情报为中心,利用大数据分析技术和情报分析人员的智慧,充分挖掘情报价值,为决策人员提供支持的主动式信息安全管理方式正在形成。
第二,威胁情报推动了国家信息安全的协同治理。大数据环境下,信息安全逐渐呈现出安全问题国家化的特点。美国构建的国家威胁情报整合中心联合了多个政企部门主体的情报力量,协同应对信息安全问题。我国于 2015年6月提出《中国互联网协会漏洞信息披露和处置自律公约》,是国内在信息安全协同治理方面的有益尝试。
第三,威胁情报推动了信息安全全球治理体制的变革。万物互联,信息安全需要国际社会共同维护和治理。威胁情报交换共享相关法律法规的提出,有利于建立基于大数据的情报共享合作机制,促进世界各国合力形成信息安全命运共同体。
第四,威胁情报开拓了情报研究新的领域,为大数据环境下的情报分析工作带来了新的方法和技术。当前威胁情报的获取和分析,过分依赖终端态势感知和自动化分析,缺乏情报学相关理论的指导,未针对情报本身进行充分分析,因此导致结果的准确性、可读性、指导性受到一定影响。只有采用情报学研究方法、研究思路、研究技术对威胁情报进行深入分析,才能充分发挥威胁情报的真正价值。为此,需要成立威胁情报共享工作组,健全威胁情报共享交换机制和模式,充分形成安全协同能力。
网络威胁情报和信息共享可帮助组织聚焦庞杂的网络安全信息,并对数据的使用进行优先级排序,组织要处理此类信息,就必然需要标准化、结构化的信息表达。网络安全威胁信息共享作为一项可以改变整个安全态势的新技术,已经被美国等西方国家所接受和应用,形成了STIX、TAXII、CYBOX、OpenIOC等标准,并正利用此技术建立新一代的网络安全事件响应体系,将其作为解决当前网络安全对抗的有效手段。
国标内容解析
该标准定义了一种通用的网络安全威胁信息表达模型,从对象、方法和事件三个维度建立描述体系,对网络安全威胁信息进行了划分,采用包括可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施在内的八个组件,构建整个网络安全威胁信息表达模型。通过“138”的架构实现了威胁信息的规范统一描述,可以提高威胁信息共享效率、互操作性,进而提升网络安全威胁态势感知能力。
1种通用的网络安全威胁信息表达模型:该表达模型实现了威胁信息的规范、统一描述,可以在网络安全攻击的全生命周期内支持对各类威胁信息共享架构,如集中式、P2P式等;
3个维度的威胁信息描述体系:通过对威胁信息在对象域、方法域、事件域三个维度进行划分,实现威胁信息的完整表达;
8个威胁信息描述组件:整个架构由呈现表象、陷落指标、安全事件、处置动作、威胁源头、突破目标、战役活动、攻击战术八个主要组件组成,八个组件之间互相关联,彼此映射。
通过呈现表象定位到陷落指标、安全事件和处置方法,从处置方法再定位到安全事件、威胁源头、突破目标、战役活动、攻击战术,而安全事件、威胁源头、突破目标、战役活动、攻击战术,又关联回陷落指标和安全事件。最终使得动态信息可观测性、陷落指标、安全事件、处置动作、突破目标、攻击战术、威胁源头和战役活动八个组件组成了统一的、可循环使用的整体架构。
其中,对象域负责描述网络安全威胁的参与角色,包括两个组件:“威胁主体”(一般是攻击者)和“攻击目标”(一般是受害者);方法域负责描述网络安全威胁中的方法类元素,包括两个组件:“攻击方法”(攻击者实施入侵所采用的方法、技术和过程),以及“应对措施”(包括针对攻击行为的预警、检测、防护、响应等动作);事件域负责在不同的层面描述网络安全威胁相关的事件,包括四个组件:“攻击活动”(以经济或政治为攻击目标)、“安全事件”(对完整信息系统进行渗透的行为)、“攻击指标”(对终端或设备实施的单步攻击)和“可观测数据”(在网络或主机层面捕获的基础事件)。
国标起草单位
正式颁布的威胁情报国家标准,集合了国内“产学研用”各个层面的力量,由中国电子技术标准化研究院牵头,29家单位共同参与起草完成。盛邦安全是此次威胁情报国家标准编制的重要参与单位之一,且是标准编制组指定的四家标准试用单位之一,在威胁情报国家标准的调研、编制、研讨和形成过程中做出了积极的努力和贡献。另外,盛邦安全产品已率先支持本标准,且试用效果良好。
国标适用范围和应用
规范网络安全威胁信息的格式和交换方式是实现网络安全威胁信息共享和利用的前提和基础,在推动网络安全威胁信息技术发展和产业化应用方面具有重要意义。网络安全威胁信息共享的目的在于通过产品间、系统间、组织间的威胁信息共享和交换,提升整体安全检测和防护能力。
· 适用于产品和产品、产品和服务之间自动化共享新的威胁样本、事件、检测和防护规则;
· 适用于系统间自动化、半自动化共享威胁信息和线索;
· 适用于组织间共享威胁分析报告和战略级威胁信息。
本标准的发布,将在多个层面支撑国家网络安全工作的开展:
· 在态势感知层面,提供了不同层级系统间统一的威胁信息上传下达格式,有助于态势感知机制的快速建立;
· 在行业级通告预警层面,提供了统一的预警信息格式,条件允许的场景下,能形成可机读的检测和防护规则,有助于大幅缩短响应时间;
· 在产业级协同联动层面,有助于不同厂商产品间的自动化交互,提升产业整体能力水平。
盛邦安全实现对国标的全方位支持
作为 “烽火台联盟”的发起者之一,也是该国标的较早应用单位之一,盛邦安全践行了对该国标的全方位支持,在产品研发、系统应用中实现了威胁信息的共享和利用,为国家网络安全保障提供技术支撑,为国家网络安全防御能力的提高贡献力量。
WebRAY网络安全态势感知平台实现对国标的支持与应用
WebRAY网络安全态势感知平台是集安全威胁检测、威胁情报利用、恶意文件分析、网络监控预警、异常行为溯源与取证等功能于一体的云计算互联网安全预警与运营平台。结合点(安全基线维度)、线(合规、预警、审计维度)、面(态势分析维度)三个功能层次,与安全情报收集、分析、共享密切结合,实现了重要资产的全方位动态监控,提高了资产感知、脆弱性感知和威胁感知的能力;通过对安全监控场景进行抽象,结合云计算与大数据挖掘技术,实现了威胁准确定位、预警自动分发,变被动监测为主动预警,提高了智能化的安全情报收集能力与告警分析能力。
WebRAY烽火台网站监控预警平台实现对国标的支持与应用
盛邦安全自主研发的网站监控预警平台引入了威胁情报信息,可以提高威胁检测发现、监控和防护能力。该国家标准的应用,以规范统一的要求,大大减少威胁信息共享之间的成本,提高威胁信息共享的效率。WebRAY烽火台网站监控预警平台在威胁信息的支持下,可实现大规模网站群监控,提高安全管理效率,降低安全成本,已经在上海世博会、广州亚运会、世界互联网大会、G20峰会、金砖国家会议等重要活动网络安全保障中发挥了重要的作用。
Web应用防护系统实现对国标的支持与应用
盛邦安全Web应用防护系统利用主动学习与动态算法相结合的方式进行安全建模,集攻击防御、信息保护、合规保障与应用优化于一体,针对Web应用提供立体化的防护方案。通过与威胁情报的共享反馈,扩展了自身威胁感知的能力范围,可利用情报信息针对性识别僵尸网络、恶意代理、Webshell等攻击类型,并建立对应的防护策略,提升了风险处置的效率及准确率,同时通过Web应用防护系统还作为情报中心的数据源,实时补充更新的风险地址信息。
WebRAY烽火台Web应用安全综合治理系统实现对国标的支持与应用
烽火台Web应用安全综合治理系统采用“五步法”思路,从Web应用梳理出发设定资产边界;然后创建资产备案审核管理流程,进行上线前安全检测;同时形成自动化运营机制,并通过旁路阻断以及防护探针,实现立体化防护。Web应用安全综合治理系统通过引入情报中心信息,提升了对僵尸主机、Webshell、Tor风险节点、非法扫描行为、篡改、恶意链接及漏洞利用等安全风险的发现能力,可以保留完整的溯源信息,并在事件爆发时进行“一键断网”应急响应处置。
烽火台联盟对国标的支持与应用
烽火台安全威胁情报联盟,创建于2015年10月,是国内较早威胁情报商业联盟组织,秉承“联合、共享、协作、共赢”的合作理念,旨在以安全威胁情报为核心,打造平等互惠的新生态圈模式,共谋共策,推进威胁情报的应用推广。盛邦安全是烽火台联盟的发起人和成员单位之一。
目前,烽火台联盟共有11家成员单位。成员单位之间的情报交换与共享,都是依据国家标准来设计与实现的,是网络安全威胁信息供方和需方之间进行网络安全威胁信息的生成、共享和使用的一个实际应用生态范例。