2018年10月10日,我国正式发布威胁情报国家标准——《信息安全技术网络安全威胁信息格式规范Information security technology — Cyber security threat information format》(GB/T36643-2018)。本标准由中国电子技术标准化研究院牵头制定,共有29家单位参与完成。通过结构化、标准化的方法描述网络安全威胁信息,实现网络安全威胁信息在各组织间的共享和利用,支撑网络安全威胁管理和应用的自动化。这意味着我国网络安全在法律法规方面取得了进一步的进步,同时也顺应了当前网络安全领域威胁情报的发展现状和趋势。国内外威胁情报共享发展现状国外威胁情报共享标准已经成熟并得到广泛应用。其中,美国联邦系统安全控制建议(NIST800-53)、美国联邦南方网络威胁信息共享(NIST800-150)、STIXStructuredThreatExpressions、CyboXCyber??ObservableExpressions、TrustedAutomationofIndicatorInformationExchangeTAXII等是国际威胁情报交流和共享的可靠参考。STIX和TAXII作为两大标准,不仅得到了包括IBM、Cisco、Dell在内的主要安全行业组织、大型金融机构、美国国防部、国家安全局的支持,也积累了大量实践经验和在实践中不断优化。在中国,安全厂商、甲方企业、国家政府都越来越重视威胁情报的发展,对网络安全情报信息的共享和自动化有着迫切的期待和需求。这个时候标准刚好应运而生。标准概述该标准描述了可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法和对策八个组成部分,并将这些组成部分划分为三个域:对象、方法和事件。最终构建了完整的网络安全威胁信息表达模型。其中:威胁主体与攻击目标构成了攻击者与受害者之间的关系,归为对象域;攻击活动、安全事件、攻击指标和可观测数据构成一个完整的攻击事件过程,归类为一个事件域;出于经济或政治目的,渗透、入侵信息系统,实施攻击活动,引发安全事故;而防御者则利用网络中可观测或可测量的数据或事件作为攻击指标,识别具体的攻击方式;其中,攻击者使用的方法、技术和程序(TTP)构成攻击方法,防御者采取的防护、检测、响应、回复等动作构成对策;两者一起归类为方法域。以通用模型为参考,业界可以实现对网络安全威胁信息的一致描述,从而提高威胁信息共享效率和整体网络威胁态势感知。标准适用范围本国家标准适用于网络安全威胁信息供需双方之间网络安全威胁信息的生成、共享和使用。可为网络安全威胁信息共享平台的建设和运营提供参考。规范网络安全威胁信息的格式和交换方式是实现网络安全威胁信息共享和利用的前提和基础,因此对于促进网络安全威胁信息技术的发展和产业应用具有重要意义。网络安全威胁信息共享的目的是通过产品、系统和组织之间威胁信息的共享和交换,提高整体安全检测和防护能力。适用于产品与产品、产品与服务之间自动共享最新的威胁样本、事件、检测与防护规则;适用于系统间威胁信息和线索的自动和半自动共享;适用于组织之间共享威胁分析报告和战略层面的威胁信息。该标准的发布将从多个层面支持国家网络安全工作的开展。在国家态势感知层面,为不同级别系统之间的威胁信息上传和分发提供了统一的格式,有助于态势感知机制的快速建立;在行业级通知预警层面,提供统一格式的预警信息,在条件允许的场景下,可以形成机器可读的检测和防护规则,可以大大缩短响应时间;在产业级协同联动层面,帮助不同厂商产品之间的自动交互,提升产业整体能力水平。此前,已有不少行业专家或厂商在会议或其他场合表达了对威胁情报共享和标准化的期待。也有人分析,自动化、标准化、系统化将是威胁情报发展的必由之路。本《信息安全技术网络安全威胁信息格式规范》发布并于2019年5月1日正式实施后,我国威胁情报的发展将迎来一个新的阶段。
