STIX 2.0:技术发展之路
作者:星期四, 八月 17, 20170

公元前490年,雅典人和看起来强大而不可战胜的波斯人之间爆发了一场大战:马拉松战役。孤军作战,缺少斯巴达人的帮助之下,1万雅典战士打败了大流士王率领的3.5万大军。

对当地地理环境的熟悉、技术上的优势和战术技巧,让雅典人围歼了他们的敌人。2013年,两位历史学家将这场战役描绘成世界历史的关键转折点之一。他们推测,如果波斯人赢得此战,民主、自由市场和西方文明的其他标志性特征,就将不复存在了。

今天,保护全球关键基础设施的网络安全专家就好似古时的雅典人:生死存亡大战下自由社会的守护者。雅典人的技术性优势包括金属盾牌、纪律严明的组织和忠诚——或许可称之为进攻性反制措施。

应对现代攻击者的进攻性反制措施重要策略之一,是机器可读威胁情报(MRTI)的实时信息共享为有效共享MRTI,各方必须商定一个描述所有数据元素的通用本体。这是网络威胁分析和共享生态系统中所有产品设计和部署的基础。

7月,结构化信息系统发展组织(OASIS)的网络威胁情报技术委员会(CTI TC),通过了用于提供此类本体的 STIX 2.0 委员会规范。CTI TC 由全球公司企业的280名代表组成,完全投身于保护世界通信系统和其他关键基础设施。其中成员包含风险管理人员、威胁分析师、恶意软件分析师、事件响应从业者、修复动作工程师、数据架构师、数字取证专家和软件工程师。

STIX 2.0是个概念性数据模型,用于描述攻击指标(IOC),凸显网络攻击序列中可影响技术栈的其他各种元素。包括攻击者所用战术、技术和规程(TTP),威胁执行者的潜在动机和意图,恶意软件属性,受害目标确定的各种特征,以及其他元素。

STIX 2.0 可将不同元素数据源融合到单一数据集中,以评估其中的关联性。跨时间、跨恶意的“物理及数字基础设施”的关联,可帮助分析师梳理出模式,建立起关于攻击者及其动机和意图的有效理论。

为辅助这一过程,被称为威胁情报平台(TIP)的新一类情报产品应运而生,用于管理这些数据流。典型的TIP可以:

  • 查询综合数据集,测试分析师关于潜在关联的假设;
  • 用二级、三级关联丰富原始数据,进一步揭示攻击者动机和意图;
  • 存储原始数据和已处理数据,方便访问、对比和关联;
  • 处理数据,提供分析和报告服务;
  • 分析数据,进一步测试有关潜在攻击者活动的假设。

全球公司企业都在建立内部网络威胁分析团队,加入使用这些TIP的正式信息共享信任社区。这些社区内部的IOC共享,赋予了现代防御者战术和战略优势,用以对抗来自不同地域,有着各种动机的大量攻击者。

STIX 2.0 是现代防御者在技术上更为先进的金属盾牌。STIX 2.0 用基于JSON的无缝框架更新了基于XML的 1.x 版,以绩效为导向,由全球社区完全审查,很容易集成到现有工作流和技术中,让公司企业不仅可以共享基本的IOC,还能共享更为复杂更高阶的情报。对攻击者、目标、行动和入侵集的描述,被很容易地编码成机器可读的格式,帮助防御者基于可用的最大信息量对事件进行排序和响应。

回到我们的类比,人数劣势而组织性上占优的雅典人,在马路上战役中智取波斯人。在军号声的指引下,雅典人盾牌结阵,推进,赢下战役。

当雅典明显会赢下马拉松战役之时,费迪皮迪兹狂奔42公里报信“我们赢了!”的传说就此诞生。费迪皮迪兹报完喜讯即疲累而死。

现代马拉松就是这一跑步过程的再现。

如今,我们开启了 STIX 2.0 马拉松之旅。

多喝水!

相关阅读

Anomali推出免费STIX/TAXII威胁情报工具
既是竞争对手也是朋友 安全厂商小心翼翼迈向协作

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章