2018年10月10日����,威脅情報新國標正式發(fā)布,盛邦安全作為web安全領域的領先品牌��,全面實現(xiàn)對該國標的全方位支持����。
威脅情報國家標準,指的是由中國電子技術標準化研究院牽頭制定的《信息安全技術 網(wǎng)絡安全威脅信息格式規(guī)范Information security technology—Cyber security threat information format》(GB/T 36643-2018)���。該國家標準給出了一種結構化方法描述網(wǎng)絡安全威脅信息����,旨在實現(xiàn)各組織間網(wǎng)絡安全威脅信息的共享和利用�����,并支持網(wǎng)絡安全威脅管理和應用的自動化����。
國標產生背景
隨著大數(shù)據(jù)技術的迅猛發(fā)展,大數(shù)據(jù)環(huán)境下信息安全風險機理發(fā)生重大變化�����,管理邊界面臨重構�����,國家機密�����、商業(yè)秘密�����、隱私保護面臨重大威脅和挑戰(zhàn),傳統(tǒng)的信息安全管理范式已無法應對嚴峻的安全形勢��。因此��,以情報為中心�����、大數(shù)據(jù)分析技術為手段���、專家團隊為支撐的數(shù)據(jù)驅動型動態(tài)信息安全防御思想���,也就是威脅情報共享應運而生。
然而����,當前在威脅情報范式、共享內容�、交換格式、利用方式等方面存在著若干問題��,亟需統(tǒng)一各界思想�,充分利用各方力量達成安全協(xié)同����,提高網(wǎng)絡安全保障能力�。
第一����,威脅情報促進信息安全管理范式的轉型。當前以情報為中心�,利用大數(shù)據(jù)分析技術和情報分析人員的智慧,充分挖掘情報價值����,為決策人員提供支持的主動式信息安全管理方式正在形成。
第二�����,威脅情報推動了國家信息安全的協(xié)同治理����。大數(shù)據(jù)環(huán)境下,信息安全逐漸呈現(xiàn)出安全問題國家化的特點��。美國構建的國家威脅情報整合中心聯(lián)合了多個政企部門主體的情報力量,協(xié)同應對信息安全問題��。我國于 2015年6月提出《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》,是國內在信息安全協(xié)同治理方面的有益嘗試�����。
第三�,威脅情報推動了信息安全全球治理體制的變革。萬物互聯(lián)��,信息安全需要國際社會共同維護和治理���。威脅情報交換共享相關法律法規(guī)的提出����,有利于建立基于大數(shù)據(jù)的情報共享合作機制�,促進世界各國合力形成信息安全命運共同體。
第四����,威脅情報開拓了情報研究新的領域,為大數(shù)據(jù)環(huán)境下的情報分析工作帶來了新的方法和技術����。當前威脅情報的獲取和分析,過分依賴終端態(tài)勢感知和自動化分析,缺乏情報學相關理論的指導��,未針對情報本身進行充分分析��,因此導致結果的準確性�����、可讀性���、指導性受到一定影響。只有采用情報學研究方法����、研究思路、研究技術對威脅情報進行深入分析,才能充分發(fā)揮威脅情報的真正價值���。為此���,需要成立威脅情報共享工作組,健全威脅情報共享交換機制和模式�����,充分形成安全協(xié)同能力。
網(wǎng)絡威脅情報和信息共享可幫助組織聚焦龐雜的網(wǎng)絡安全信息�����,并對數(shù)據(jù)的使用進行優(yōu)先級排序��,組織要處理此類信息��,就必然需要標準化�、結構化的信息表達。網(wǎng)絡安全威脅信息共享作為一項可以改變整個安全態(tài)勢的新技術�����,已經(jīng)被美國等西方國家所接受和應用���,形成了STIX��、TAXII����、CYBOX�����、OpenIOC等標準,并正利用此技術建立新一代的網(wǎng)絡安全事件響應體系�����,將其作為解決當前網(wǎng)絡安全對抗的有效手段�����。
國標內容解析
該標準定義了一種通用的網(wǎng)絡安全威脅信息表達模型�,從對象、方法和事件三個維度建立描述體系�����,對網(wǎng)絡安全威脅信息進行了劃分�����,采用包括可觀測數(shù)據(jù)���、攻擊指標、安全事件���、攻擊活動�����、威脅主體���、攻擊目標�、攻擊方法���、應對措施在內的八個組件�,構建整個網(wǎng)絡安全威脅信息表達模型�����。通過“138”的架構實現(xiàn)了威脅信息的規(guī)范統(tǒng)一描述��,可以提高威脅信息共享效率����、互操作性,進而提升網(wǎng)絡安全威脅態(tài)勢感知能力���。
1種通用的網(wǎng)絡安全威脅信息表達模型:該表達模型實現(xiàn)了威脅信息的規(guī)范�、統(tǒng)一描述�����,可以在網(wǎng)絡安全攻擊的全生命周期內支持對各類威脅信息共享架構,如集中式�、P2P式等;
3個維度的威脅信息描述體系:通過對威脅信息在對象域�����、方法域�、事件域三個維度進行劃分,實現(xiàn)威脅信息的完整表達����;
8個威脅信息描述組件:整個架構由呈現(xiàn)表象、陷落指標���、安全事件、處置動作�、威脅源頭、突破目標�、戰(zhàn)役活動、攻擊戰(zhàn)術八個主要組件組成����,八個組件之間互相關聯(lián)�,彼此映射��。
通過呈現(xiàn)表象定位到陷落指標���、安全事件和處置方法���,從處置方法再定位到安全事件、威脅源頭��、突破目標�、戰(zhàn)役活動、攻擊戰(zhàn)術�,而安全事件、威脅源頭�、突破目標、戰(zhàn)役活動���、攻擊戰(zhàn)術�,又關聯(lián)回陷落指標和安全事件�����。最終使得動態(tài)信息可觀測性�����、陷落指標、安全事件����、處置動作、突破目標�、攻擊戰(zhàn)術、威脅源頭和戰(zhàn)役活動八個組件組成了統(tǒng)一的�����、可循環(huán)使用的整體架構����。
其中,對象域負責描述網(wǎng)絡安全威脅的參與角色�,包括兩個組件:“威脅主體”(一般是攻擊者)和“攻擊目標”(一般是受害者);方法域負責描述網(wǎng)絡安全威脅中的方法類元素����,包括兩個組件:“攻擊方法”(攻擊者實施入侵所采用的方法����、技術和過程)����,以及“應對措施”(包括針對攻擊行為的預警�、檢測、防護��、響應等動作)���;事件域負責在不同的層面描述網(wǎng)絡安全威脅相關的事件�,包括四個組件:“攻擊活動”(以經(jīng)濟或政治為攻擊目標)�、“安全事件”(對完整信息系統(tǒng)進行滲透的行為)、“攻擊指標”(對終端或設備實施的單步攻擊)和“可觀測數(shù)據(jù)”(在網(wǎng)絡或主機層面捕獲的基礎事件)����。
國標起草單位
正式頒布的威脅情報國家標準,集合了國內“產學研用”各個層面的力量�����,由中國電子技術標準化研究院牽頭��,29家單位共同參與起草完成��。盛邦安全是此次威脅情報國家標準編制的重要參與單位之一�����,且是標準編制組指定的四家標準試用單位之一,在威脅情報國家標準的調研���、編制��、研討和形成過程中做出了積極的努力和貢獻��。另外�����,盛邦安全產品已率先支持本標準�����,且試用效果良好�����。
國標適用范圍和應用
規(guī)范網(wǎng)絡安全威脅信息的格式和交換方式是實現(xiàn)網(wǎng)絡安全威脅信息共享和利用的前提和基礎���,在推動網(wǎng)絡安全威脅信息技術發(fā)展和產業(yè)化應用方面具有重要意義。網(wǎng)絡安全威脅信息共享的目的在于通過產品間、系統(tǒng)間���、組織間的威脅信息共享和交換,提升整體安全檢測和防護能力�。
· 適用于產品和產品、產品和服務之間自動化共享新的威脅樣本���、事件����、檢測和防護規(guī)則����;
· 適用于系統(tǒng)間自動化、半自動化共享威脅信息和線索�����;
· 適用于組織間共享威脅分析報告和戰(zhàn)略級威脅信息��。
本標準的發(fā)布�����,將在多個層面支撐國家網(wǎng)絡安全工作的開展:
· 在態(tài)勢感知層面,提供了不同層級系統(tǒng)間統(tǒng)一的威脅信息上傳下達格式��,有助于態(tài)勢感知機制的快速建立���;
· 在行業(yè)級通告預警層面���,提供了統(tǒng)一的預警信息格式,條件允許的場景下��,能形成可機讀的檢測和防護規(guī)則����,有助于大幅縮短響應時間;
· 在產業(yè)級協(xié)同聯(lián)動層面�,有助于不同廠商產品間的自動化交互,提升產業(yè)整體能力水平����。
盛邦安全實現(xiàn)對國標的全方位支持
作為 “烽火臺聯(lián)盟”的發(fā)起者之一,也是該國標的較早應用單位之一����,盛邦安全踐行了對該國標的全方位支持,在產品研發(fā)���、系統(tǒng)應用中實現(xiàn)了威脅信息的共享和利用�,為國家網(wǎng)絡安全保障提供技術支撐,為國家網(wǎng)絡安全防御能力的提高貢獻力量��。
WebRAY網(wǎng)絡安全態(tài)勢感知平臺實現(xiàn)對國標的支持與應用
WebRAY網(wǎng)絡安全態(tài)勢感知平臺是集安全威脅檢測��、威脅情報利用����、惡意文件分析����、網(wǎng)絡監(jiān)控預警、異常行為溯源與取證等功能于一體的云計算互聯(lián)網(wǎng)安全預警與運營平臺��。結合點(安全基線維度)����、線(合規(guī)、預警����、審計維度)、面(態(tài)勢分析維度)三個功能層次����,與安全情報收集��、分析�、共享密切結合�,實現(xiàn)了重要資產的全方位動態(tài)監(jiān)控,提高了資產感知�����、脆弱性感知和威脅感知的能力�;通過對安全監(jiān)控場景進行抽象,結合云計算與大數(shù)據(jù)挖掘技術�,實現(xiàn)了威脅準確定位、預警自動分發(fā)�����,變被動監(jiān)測為主動預警����,提高了智能化的安全情報收集能力與告警分析能力。
WebRAY烽火臺網(wǎng)站監(jiān)控預警平臺實現(xiàn)對國標的支持與應用
盛邦安全自主研發(fā)的網(wǎng)站監(jiān)控預警平臺引入了威脅情報信息���,可以提高威脅檢測發(fā)現(xiàn)���、監(jiān)控和防護能力�����。該國家標準的應用����,以規(guī)范統(tǒng)一的要求��,大大減少威脅信息共享之間的成本����,提高威脅信息共享的效率�。WebRAY烽火臺網(wǎng)站監(jiān)控預警平臺在威脅信息的支持下,可實現(xiàn)大規(guī)模網(wǎng)站群監(jiān)控�,提高安全管理效率,降低安全成本�����,已經(jīng)在上海世博會�����、廣州亞運會、世界互聯(lián)網(wǎng)大會���、G20峰會����、金磚國家會議等重要活動網(wǎng)絡安全保障中發(fā)揮了重要的作用�����。
Web應用防護系統(tǒng)實現(xiàn)對國標的支持與應用
盛邦安全Web應用防護系統(tǒng)利用主動學習與動態(tài)算法相結合的方式進行安全建模��,集攻擊防御��、信息保護�、合規(guī)保障與應用優(yōu)化于一體,針對Web應用提供立體化的防護方案�。通過與威脅情報的共享反饋,擴展了自身威脅感知的能力范圍�,可利用情報信息針對性識別僵尸網(wǎng)絡、惡意代理���、Webshell等攻擊類型�,并建立對應的防護策略�����,提升了風險處置的效率及準確率,同時通過Web應用防護系統(tǒng)還作為情報中心的數(shù)據(jù)源���,實時補充更新的風險地址信息�。
WebRAY烽火臺Web應用安全綜合治理系統(tǒng)實現(xiàn)對國標的支持與應用
烽火臺Web應用安全綜合治理系統(tǒng)采用“五步法”思路��,從Web應用梳理出發(fā)設定資產邊界�;然后創(chuàng)建資產備案審核管理流程,進行上線前安全檢測��;同時形成自動化運營機制���,并通過旁路阻斷以及防護探針,實現(xiàn)立體化防護����。Web應用安全綜合治理系統(tǒng)通過引入情報中心信息,提升了對僵尸主機���、Webshell����、Tor風險節(jié)點、非法掃描行為����、篡改、惡意鏈接及漏洞利用等安全風險的發(fā)現(xiàn)能力����,可以保留完整的溯源信息,并在事件爆發(fā)時進行“一鍵斷網(wǎng)”應急響應處置�。
烽火臺聯(lián)盟對國標的支持與應用
烽火臺安全威脅情報聯(lián)盟,創(chuàng)建于2015年10月���,是國內較早威脅情報商業(yè)聯(lián)盟組織��,秉承“聯(lián)合�、共享���、協(xié)作�����、共贏”的合作理念��,旨在以安全威脅情報為核心����,打造平等互惠的新生態(tài)圈模式,共謀共策����,推進威脅情報的應用推廣。盛邦安全是烽火臺聯(lián)盟的發(fā)起人和成員單位之一�����。
目前�����,烽火臺聯(lián)盟共有11家成員單位��。成員單位之間的情報交換與共享�����,都是依據(jù)國家標準來設計與實現(xiàn)的�,是網(wǎng)絡安全威脅信息供方和需方之間進行網(wǎng)絡安全威脅信息的生成����、共享和使用的一個實際應用生態(tài)范例�����。
