信息解决局域网共享

网络威胁信息共享指南公益译文项目美国国家标准与技术研究院(NIST)美国商务部2016年4月NIST特别刊物800-150(第二版)文档信息原文名称GuidetoCyberThreatInformationSharing原文作者ChrisJohnson,LeeBadger,DavidWaltermire,JulieSnyder,ClemSkorupka原文发布日期2016年4月作者简介原文发布单位美国国家标准与技术研究院美国商务部原文出处http://csrc.
nist.
gov/publications/drafts/800-150/sp800_150_second_draft.
pdf译者小蜜蜂公益翻译组校对者小蜜蜂公益翻译组免责声明本文原文来自于互联网的公共方式,由"安全加"社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,"安全加"社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与"安全加"社区联系.
"安全加"社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任.
在使用翻译版本中所包含的技术信息时,用户同意"安全加"社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任.
用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负.
小蜜蜂公益翻译组"安全加"社区目录执行摘要·11.
0导言·31.
1目的与范围·31.
2读者对象·31.
3文档结构·32.
0认识网络威胁信息共享42.
1威胁信息类型·42.
2信息共享的益处·42.
3信息共享面临的挑战·53.
0建立共享关系·73.
1定义信息共享目标·73.
2识别内部网络威胁信息源·73.
3定义信息共享活动的范围·93.
4制定信息共享规则·93.
5加入共享社团·123.
6为信息共享活动提供持续支持的计划·144.
0参与共享关系·154.
1参与持续沟通·154.
2使用和响应安全警报·154.
3使用指标·164.
4梳理与存储指标·174.
5编制和发布指标·18附录附录A网络威胁信息共享场景20附录B术语表22附录C缩略语23附录D参考资料24公益译文项目授权本文由NIST依据《2014年联邦信息安全现代化法案》(FISMA)(美国法典第44卷第3541节、113–283公法)规定的NIST法定职责拟定.
NIST负责开发信息安全标准和指南,包括联邦信息系统的最低要求.
但是,未经相关系统决策联邦官员的明确许可,这些标准和准则不得用于国家安全系统.
该指南符合美国行政管理和预算局(OMB)A-130通告的要求.
由商务部长依法授权制定的标准和指南具有强制性与约束力,本文内容与其冲突时,以前者为准.
本文所述准则并不会更改或取代商务部长、行政管理和预算局局长或其他联邦官员的现有权力.
本刊不受美国版权保护,非政府组织可自愿使用,但组织在使用本文时提及作者,NIST将不胜感激.
美国国家标准与技术研究院特别刊物800-150NISTSP800-150,共39页(2016年4月)分类编号:NSPUE2本文中可能提到的商业实体、设备或资料,仅为准确描述规程(procedure)或概念之用,并非暗示NIST推荐或者认可,也不表明这些实体、资料或设备是实现目的的最佳选择.
本文提及的NIST依据法定职责制定的其他文档,有些可能处于开发过程中.
也就是说,联邦机构在使用本文信息(包括概念和方法)时,所提及的同系列其他文档可能并未完成.
这种情况下,在上述文档完成之前,现有的要求、指南和规程依然有效.
为满足规划及过渡需要,联邦机构或会密切追踪NIST新文档的开发.
欢迎各组织在公开征求意见期间评审所有文档草案,并向NIST提供反馈意见.
欲了解NIST有关网络安全的其他刊物,请访问:http://csrc.
nist.
gov/publications.
公益译文项目计算机系统技术报告美国国家标准与技术研究院(NIST)信息技术实验室(ITL)为美国的测量和标准基础架构提供技术领导,促进美国经济与公共福利.
ITL负责开发测试项目、制定测试方法,并提供参考数据、概念验证实现和技术分析来推动信息技术的发展和生产应用.
ITL的职责包括制定管理、行政、技术及物理方面的标准和指南,实现经济高效的安全,并保护联邦信息系统中非国家安全相关信息的隐私.
SP800系列文件聚焦于ITL在信息系统安全方面的研究、指导和外展活动以及联合业界、政府和各学术机构开展的协作活动.
摘要网络威胁信息指可帮助组织识别、评估、监控及响应网络威胁的任何信息.
此类信息包括攻陷指标(indicatorofcompromise,亦有译为"攻击指示器"、"入侵指示器"的)、威胁源起方(threatactor)使用的策略、技术与过程(TTP)、检测、控制或防护攻击的建议方法以及安全事件分析结果.
网络威胁信息的共享可同时提高分享组织与其他组织的安全状况.
本文为建立、参与网络威胁信息共享关系提供了指导,帮助组织设定信息共享目标、识别网络威胁信息源、确定信息共享活动范围、制定威胁信息发布与分发规则、加入现有共享社团、有效利用威胁信息,以支持其总体网络安全实践.
关键词网络威胁,网络威胁信息贡献,指标,信息安全,信息共享致谢本文作者包括NIST的克里斯约翰逊(ChrisJohnson)、李贝杰(LeeBadger)、大卫沃尔特米尔(DavidWaltermire)以及MITRE公司的朱莉斯奈德(JulieSnyder)和克莱姆斯科鲁普卡(ClemSkorupka).
在此,他们特向为本文做出贡献的同事表示感谢,包括US-CERT的汤姆·米勒(TomMillar),MITRE公司的凯伦·奎格(KarenQuigg)、理查德·穆拉德(RichardMurad)、卡洛斯·布拉斯克斯(CarlosBlazquez)、乔恩·贝克(JonBaker),NIST的穆若盖依尔·塞皮亚(MurugiahSouppaya),卡耐基·梅隆大学软件工程学院的瑞安·米尔夫(RyanMeeuf),G2公司的乔治·塞勒、格雷格·维特(GregWitte)、马特·史密斯(MattSmith),斯卡尔丰网络安全公司的凯伦·斯卡尔丰(KarenScarfone),乔治敦大学乔治敦安全通信中心的艾瑞克·伯格(EricBurger),网络工程服务公司的乔·德雷塞尔(JoeDrissel),互联网安全中心的托尼·萨格尔(TonySager),英特尔安全事业部的肯特·兰德菲尔德(KentLandfield),KEYW公司的布鲁斯·波特(BrucePotter),戴尔SecureWorks的杰夫·卡朋特(JeffCarpenter),北美电力可靠性公司(NERC),Gartner公司的安东·楚卫肯(AntonChuvakin),SANS技术研究所的约翰尼斯·乌尔里希(JohannesUllrich),国防工业基地协同信息共享环境(DCISE)的帕特里克·邓普西(PatrickDempsey),MassInsight的马修·舒斯特(MatthewSchuster),美联储的詹姆斯·考尔菲尔德(JamesCaulfield),Biogen公司的鲍勃·瓜伊(BobGuay)以及Courion公司的克里斯·沙利文(ChrisSullivan).
商标信息所有的商标或注册商标均属于各相关组织.
公益译文项目1执行摘要网络攻击日益频繁,复杂度也与日俱增,为组织保护数据及系统免受强大的威胁源起方的攻击带来了巨大挑战.
这些威胁源起方或为自主发起攻击的个人攻击者,或为有充足资源、行动一致的群体,多为犯罪集团成员或代表某国政府利益.
威胁源起方持续发起攻击,动机明确,动作敏捷,使用各种TTP入侵系统、中断业务、进行金融诈骗、泄露或窃取知识产权及其他敏感信息.
考虑到这些威胁所带来的风险,组织应更加重视共享网络威胁信息,利用这些信息提高自己的网络防护能力.
网络威胁信息指可帮助组织识别、评估、监控及响应网络威胁的任何信息,包括指标(与攻击相关的系统组件或可观察事件(observable))、TTP、安全警报、威胁情报报告、推荐安全工具配置等.
多数组织在信息技术与安全运营实践中,生成了各种网络威胁信息在内部共享.
通过与共享社团其他参与者交流网络威胁信息,组织可利用共享群体的集体知识、经验及能力,更全面地了解所面临的威胁.
组织可利用这些知识,基于威胁信息,对防护能力、威胁检测技术及缓解策略进行决策.
通过关联、分析从多个数据源获得的网络威胁信息,组织可丰富已有信息,使其更具有操作性.
要丰富已有信息,可独立确认其他社团成员的观察结果或通过减少含糊之词及错误提高威胁信息的整体质量.
共享社团成员在接收信息后修复威胁,抑制了威胁的传播能力,这为其他成员(甚至是未收到网络威胁信息或收到但并未响应的成员)提供了一定程度的防护能力.
此外,通过共享网络威胁信息,组织可更有效地检测针对特定行业、业务实体或社会团体的攻击活动.
本文旨在帮助组织建立、参与网络威胁信息共享关系,介绍了共享的益处与挑战,明确了信任的重要性,梳理了处理数据时需考虑的具体事项.
作为指导性文件,本文讨论了如何通过安全有效的信息共享实践来促进网络安全运营与风险管理活动,帮助组织规划、实施与维护信息共享.
NIST鼓励组织间进行更广泛的网络威胁信息共享,一方面,组织可以从其他组织获取威胁信息,另一方面,组织可将内部产生的威胁信息提供给其他组织.
组织可参考如下建议,更有效地利用信息共享能力:设定信息共享目标(goalsandobjectives),以支持业务流程与安全指导方案(securitypolicies).
组织的信息共享目标应对整体网络安全战略有促进作用,可帮助组织更有效地管理网络相关风险.
组织应将自己员工及其他人员(如网络威胁信息共享组织的成员)的知识与经验结合起来,共享威胁信息,同时按照安全、隐私及合规性要求进行运营.
识别内部现有的网络威胁信息源.
组织应识别当前收集、分析及存储的威胁信息.
在库存流程中,组织应确定如何使用信息.
具体说,基于网络威胁信息,组织可识别机遇,优化决策流程,制定从其他(或为外部)来源或通过部署额外工具或传感器获得威胁信息的策略,判断哪些威胁信息可与外界共享.
指定信息共享活动范围.
组织信息共享活动的范围应与组织的资源、能力及目标相匹配.
信息共享工作应聚焦于能为组织及其共享合作伙伴带来最大价值的活动.
确定范围时,应判断哪类信息可经组织关键利益主体授权进行共享、此类信息在哪些情况下可进行共享以及信息可以并应该共享给谁.
制定信息共享规则.
共享规则旨在控制威胁信息发布和分发,防止传播敏感信息(这些信息若被不当披露,可能会为组织、客户或业务合作伙伴带来不利影响).
信息共享规则应考虑到接收人的可信性、共享信息的敏感性以及共享(或不共享)某类信息的潜在影响.
公益译文项目2参与信息共享工作.
组织应判断哪些共享活动可作为对现有威胁信息能力的补充,并积极参与这样的活动.
为了满足运营需要,组织或需要加入各种信息共享论坛,包括公共或私有社团、政府知识库(repository)、商业网络威胁情报流以及诸如公开网站、博客与数据流之类的公开源.
通过提供额外上下文、修订或建议优化措施,设法丰富指标.
组织应尽可能编制元数据,为每个指标提供上下文,描述指标应如何使用、理解,以及它与其他指标的关系.
此外,共享流程应包括指标发布、指标与相关元数据更新、错误或无意误共享的信息撤回机制.
这样的反馈对于社团内部共享指标的丰富、成熟与质量提升发挥着重要的作用.
利用自动化安全机制发布、使用、分析与响应网络威胁信息.
使用标准化数据格式与传输协议共享网络威胁信息可简化威胁信息处理的自动化过程.
使用自动化手段,可减少人为干预,快速共享、转换、丰富与分析网络威胁信息.
主动制定网络威胁共享协议.
组织应提前规划,在安全事件发生前制定共享协议,而不是在网络安全事件发生时才仓促草就.
提前规划可确保参与组织明白其角色、职责与信息处理要求.
保护敏感网络威胁信息的安全与隐私.
在处理网络威胁信息时可能会涉及个人验证信息(PII)、知识产权及商业秘密等敏感信息.
这些信息若不当披露则会导致经济损失,违反法律、法规、合同,引起法律诉讼,或损害组织声誉.
因此,组织应实施必要的安全与隐私控制措施及操作规程以保护信息不被非法泄露或修改.
持续支持信息共享活动.
每个组织都应制定信息共享计划,为持续的基础设施维护与用户支持做准备.
计划内容应包括如何收集、分析内外部威胁信息以及在制定与部署防护措施时如何使用这些信息,方法应具有可持续性,以保证资源充分,能满足收集、存储、分析与传播网络威胁信息的需要.
公益译文项目31.
0导言1.
1目的与范围本文为组织共享网络威胁信息提供指导,介绍了如何使用从外部接收的网络威胁信息以及如何生成可与其他组织共享的网络威胁信息.
文档中还阐述了在参与信息共享社团时应考虑的具体事项.
本文针对NISTSP800-61《计算机安全事件处理指南》第4节"统筹与信息共享"中提出的信息共享概念进行了详细论述.
1.
2读者对象本文目标读者为计算机安全事件响应团队(CSIRT)、系统与网络管理员、安全人员、隐私管理人员、技术支持人员、首席信息安全官(CISO)、首席信息官(CIO)、计算机安全项目经理以及网络威胁信息共享活动中涉及的其他关键利益主体.
虽然本指南主要读者为联邦机构,也同样适用于其他的各种政府及非政府组织.
1.
3文档结构本文档其他部分还包括:第2节介绍了基本的网络威胁信息共享概念,阐述了共享信息的益处,讨论了组织在实施共享时所面临的挑战;第3节为组织之间建立共享关系提供了指导;第4节描述了在参与共享关系时应考虑的事项;附录A提供了各种场景,说明共享网络威胁信息可提升相关组织效率,并可以通过利用合作伙伴的网络经验与能力来增强自己的网络防护能力;附录B列举了本文中使用的术语及其定义;附录C列举了本文中使用的缩略语;附录D列举了本文所引用的材料.
公益译文项目42.
0认识网络威胁信息共享本章介绍了网络威胁信息共享的基本概念,将网络威胁信息进行了分类,定义了常用术语,并探讨了共享网络威胁信息的潜在用途以及威胁信息共享的益处与挑战.
2.
1威胁信息类型网络威胁指"对信息系统的未授权访问、损害、信息披露或修改和/或拒绝服务可能会对组织运营(包括任务、职能、形象或声誉)、组织资产、个人、其他组织或国家造成潜在不利影响的情形或事件.
"【2】为了简洁起见,本文用"威胁"指代"网络威胁",造成威胁的个人和群组亦称为"威胁源起方"或简单说成"源起方".
威胁信息指与威胁相关、可帮助组织防护威胁或检测威胁活动的任何信息.
威胁信息主要分为如下几类:指标:指可表明攻击即将或正在发生、或可能已出现入侵的技术因素(technicalartifact)或可观察事件1,包括可疑命令和控制(C&C)服务器的IP地址、可疑DNS域名、引用恶意内容的URL、恶意可执行文件的哈希值及恶意邮件的主题.
策略、技术与过程(TTP):指源起方行为.
策略是对行为的概括描述,技术是对策略涉及行为的具体描述,过程是对技术的进一步、更详细的描述.
从TTP可看出源起方倾向于使用何种恶意软件变种、运算顺序、攻击工具、传递机制(如钓鱼或水坑攻击)或攻击.
安全警报:亦称为公告(advisory/bulletin)和漏洞说明(vulnerabilitynote),一般是对用户发布的有关现有漏洞、攻击及其他安全问题的简要技术通知.
安全警报来源包括美国计算机紧急响应小组(US-CERT)、信息共享与分析中心(ISAC)、国家漏洞库(NVD)、产品安全事件响应小组(PSIRT)、商业安全服务提供商、安全研究员等.
威胁情报报告:一般用平实的语言写成,主要内容涉及TTP、威胁源起方、目标系统与信息类型以及使组织获得更高态势感知能力的其他威胁相关信息.
威胁情报指汇总、转换、分析、解释或提炼后的威胁信息,为决策流程提供必要上下文.
工具配置:对于搭建并使用工具(机制)提供的建议,这些工具(机制)为自动化采集、交换、处理、分析与使用威胁信息提供支持.
工具配置信息可包括安装与使用rootkit检测与清除工具、创建并定制入侵检测特征、路由器访问控制列表(ACL)、防火墙规则或Web过滤配置文件等说明.
许多组织已经在内部产生并共享威胁信息.
例如,组织的安全团队在响应安全事件时识别入侵系统中的恶意文件,制定相关指标集(如文件名、文件大小、哈希值),然后将这些指标分享给配置安全工具(如主机型入侵检测系统)的系统管理员,以便检测其他系统中存在的这些指标.
另外,安全团队在发现组织内钓鱼攻击增多时可启动email安全感知活动.
这些做法都属于组织内的信息共享活动.
本文的主要目的是统一不同组织间的威胁信息共享实践,这种共享是双向的,一方面从其他组织获取威胁信息,另一方面将内部产生的威胁信息分享给其他组织.
2.
2信息共享的益处威胁信息共享使威胁信息被更多的人获取.
基于共享资源,组织可采取主动,利用合作伙伴的知识、经验与能力来提高自己的安全状况.
"你之检测,我之防御"2,这个模式卓有成效,组织积极进行共享可提高自己的整体安全能力.
对于分享的威胁信息,组织有多种使用方法.
有的以运营为导向,比如用新指标与配置更新企业安全控制措施,进行持续监控,以检测最新攻击与入侵.
有的以战略为导向,比如在规划组织安全架构的重大变更时将分享的威胁信息作为输入.
1可观察事件指网络或系统中发生的恶意或非恶意事件.
2这句话已在多个报告与讨论中提及,出自互联网安全中心的高级副总裁兼首席布道官托尼·萨格尔(TonySager)之口.
公益译文项目5在行业(或具有其他共同特征的)社团内部交流威胁信息好处尤其大,因为成员组织面临的威胁源起方会使用通用的TTP攻击同类系统与信息.
组织间若成功协作,共同对抗组织良好又颇具威力的威胁源起方,网络防护便会事半功倍.
通过合作,组织可建立与维持可信任关系,作为安全、负责与高效的信息共享的基础.
信息共享会带来如下好处:共享的态势感知.
进行信息共享,组织可利用同一社团内分享伙伴的集体知识、经验与分析能力,共同提高防护能力.
即使只贡献了一个新指标或只检测到一个威胁源起方,也可以提高整个社团的安全意识与能力.
对威胁的深入了解.
通过生成并共享威胁信息,组织可更深入地了解威胁环境,基于威胁信息进行网络安全运营与风险管理.
利用共享来的信息,组织可判断哪些平台或系统受到影响,采取防护措施,提升检测能力,观察现有威胁环境发生的变化,以更有效地响应与恢复安全事件.
完善知识.
当看似毫无关联的观察数据被某个组织分享及分析后,可与其他组织收集的数据相关联.
在这个过程中,优化了现有指标,获取了与特定安全事件、威胁或威胁活动相关的威胁源起方TTP的知识,因而提升了信息的价值.
通过数据关联,组织会洞悉指标之间的关系.
群体免疫性.
群体免疫性原则源自于生物学,指通过为多数(非全部)成员接种疫苗使整个群体对某种疾病产生免疫力.
与此类似,组织基于收到的威胁信息修复自己的威胁,减少威胁源起方的活跃攻击向量,降低脆弱性,为其他还未启用相应防护措施的组织(还未收到威胁信息或收到后还未响应)提供了一定程度的防护.
更敏捷的防护能力.
威胁源起方不断调整TTP以规避检测、绕过安全控制措施并利用新漏洞.
分享信息的组织一般可及时了解TTP的变化,因而可迅速检测并响应威胁,降低攻击成功实施的可能性.
这样的敏捷性可为网络防护方产生规模效益,同时迫使威胁源起方开发新的TTP,增加其攻击成本.
2.
3信息共享面临的挑战共享威胁信息的好处显而易见,但也不无挑战.
有些挑战在使用与产生威胁信息时均须面对,包括:建立信任.
信任关系是信息共享的基础,需要花费功夫建立并维持.
通过面对面会议、电话或社交软件定期沟通可加速建立信任.
实现互通.
标准化数据格式与传输协议是实现互通的重要组成部分,有助于在不同的组织、知识库与工具间实现安全的结构化威胁信息自动交换.
不过采用特定的格式与协议会要求大量时间与资源.
若共享伙伴要求不同的格式或协议,则投资价值会大幅度降低.
保护非机密的敏感信息.
泄露诸如个人验证信息(PII)、知识产权、商业秘密、其他专有信息之类的敏感信息会带来经济损失,违反共享协议,卷入法律诉讼,或损害组织声誉.
共享信息会暴露组织的防护或检测能力,威胁源起方可乘机进行威胁转移3.
非法泄露信息会阻碍或打断调查过程,破坏信息,妨碍日后的法律诉讼,或中断响应行动(如打击僵尸网络).
组织对共享信息应有具体的处理标记,并实施指导方案、规程与技术控制措施,以积极管理泄露非机密的敏感信息所带来的风险.
保护机密信息.
来源于政府的信息可能被标记为机密,为组织使用此类信息带来困难.
组织每次访问机密信息,都得请求获取相关权限并对此进行维护,长期看需耗费大量时间与经济成本.
此外,许多组织雇佣非美籍人士,这些人无权获得安全权限,因而不允许访问机密信息.
[3]有些挑战只在使用他方分享的信息时才会遇到,包括:访问外部信息.
要访问外部信息源,将从外部获得的信息融入本地决策流程,组织应有相应的基础3NISTSP800-30《风险评估指南》【2】将"威胁转移"定义为"攻击者在发现安全设置及/或措施(如安全控制措施)后作出的反应,具体表现为改变攻击意图/目标的某个特征以规避和/或对抗该安全设置/措施.
威胁转移可在一个或多个域进行,包括(1)时间域(如推迟攻击或非法入侵以进行额外监控);(2)目标域(如选择防护不太完善的其他目标);(3)资源域(如增加攻击资源以减少不确定性或对抗安全设置及/或措施);(4)攻击规划/攻击方法域(如改变攻击武器或路径).
"公益译文项目6设施.
从外部获取信息后,若无能力进行响应,此等信息则毫无价值.
评估接收信息质量.
组织从某信息共享社团获得信息后,需验证该信息是否满足某已识别需求,并了解信息使用成本与风险,然后再采取安全相关措施(如配置防护设备).
有些挑战仅在组织欲向外提供信息时才会出现,包括:符合法律及组织要求.
组织的高级主管与法务团队可能会约束外传信息种类,具体包括指定可外传的信息种类与限制可披露的技术细节.
出于合法经营、法务或隐私的考虑实施安全手段是合理的,但约束措施若毫无根据或随意制定,则会影响共享信息的实用性、可用性、质量与及时性.
限制具名.
某些组织虽然公开参与信息共享社团,但在提供信息时会要求匿名.
共享匿名信息允许组织共享更多的信息,同时控制了对组织声誉带来的风险.
然而,匿名提供信息会限制信息的有用性,因为用户可能不信任未知来源的信息.
若原始信息源无从查起,组织便无法确认信息来源于自主方,因而降低对接收信息的信任.
信息生成能力.
组织应根据目标信息类型,提供必要的基础设施、工具与培训,以生成相应信息.
收集、发布基本的威胁信息(如指标)相对容易,但是分析诸如威胁源起方动机与TTP之类的信息则会比较麻烦.
公益译文项目73.
0建立共享关系要培育威胁信息共享能力,建议进行如下的规划与准备活动4:定义信息共享目标(3.
1节);识别内部威胁信息源(3.
2节);定义信息共享活动范围(3.
3节);制定信息共享规则(3.
4节);加入共享社团(3.
5节);做好计划,为信息共享活动提供持续支持(3.
6节).
在整个流程中,鼓励组织咨询组织内外的主题专家(subjectmatterexpert),包括:经验丰富的网络安全人士业界认可的威胁信息共享组织的成员及运营者可信业务合作伙伴、供应链合作商及业界同仁通晓法律问题、内部业务流程、规程及系统的人士组织应利用从这些专家获得的知识与经验,培养威胁信息共享能力,根据自己的安全、隐私及合规要求,为组织实现使命与日常运营提供支持.
因为风险、要求、优先考虑事项、技术及/或规定不断变化,上述过程常反复进行.
组织应根据情况变化,必要时重新评估与调整自己的信息共享能力.
此等变化可能涉及重复进行上述全部或部分规划及准备活动.
3.
1定义信息共享目标首先,组织应制定目标,从组织的业务流程与安全政策方面,阐述信息共享的期望结果.
这些目标有助于组织划定信息共享工作范围,选择并加入共享社团,为信息共享活动提供持续支持.
由于技术及/或资源的限制,可能需要为目标指定优先级,以保证要事先办.
3.
2识别内部网络威胁信息源信息共享工作的一个关键步骤是识别组织内部的潜在威胁信息源.
威胁信息源包括传感器、工具、数据流及知识库.
可能需要进行的具体步骤包括:确定生成威胁信息的传感器、工具、数据流及知识库,保证其生成的信息准确无误,生成频率满足要求,可充分支持网络安全决策;从收集并经过分析的安全信息中,找出用于组织持续监控策略的数据;从收集并储存的威胁信息中,找出可能没有进行持续分析或评审的数据(如操作系统默认审计日志文件);查明哪些威胁信息适合与外界共享以及哪些数据有助于高效响应网络威胁.
该流程还包括识别组织内威胁信息源的负责人及操作人.
理想情况下,人员对自己所操作的传感器、工具、数据流及知识库有深入了解,可推动数据输出、转化及整合能力培养流程,支持信息共享计划.
在培养此等能力时,重要的是要了解信息的本地存储方法、数据的输出格式以及与信息源互动可使用的查询语言、协议及服务.
有些信息源存储、发布的是结构化的机器可读数据,有些提供的是无固定格式的非结构化数据(如自由文本或图像).
基于开放、标准格式的机器可读结构化数据一般可被更多工具获取、搜索并分析.
所以说,信息格式在很大程度上影响了使用、分析及交换信息的效率及便利性.
在上述流程中,组织还应留心是否有信息鸿沟会妨碍目标的实现.
识别信息鸿沟后,组织可更好地规划投资,将其优先投入到发展新能力中,并可通过从其他(或为外部)来源获取威胁信息或部署额外的工具或传感器4虽然下述活动按前后顺序描述,实际操作中,活动顺序可以不同,多项活动甚至可同时进行.
例如,参加业界认可的共享组织时,可将制定信息共享规则视为加入群体的必要步骤.
公益译文项目8来识别机遇,消除鸿沟.
表3-1列举了组织内常见的网络安全相关信息源,并给出从这些信息源可获得的、安全运营人员可能会关注的数据元素例子.
表3-1:内部信息源示例数据源示例网络数据源路由器、防火墙、远程服务(如远程登录或远程执行命令)及动态主机配置协议(DHCP)服务器日志时间戳源/目的IPTCP/UDP端口号MAC地址主机名动作(拒绝/允许)状态码其他协议信息诊断与监控工具(网络入侵检测与防护系统、抓包与协议分析)时间戳IP地址、端口及其他协议信息报文负载特定应用信息攻击类型(如SQL注入、缓冲区溢出等)针对性漏洞攻击状态(成功/失败/阻断)主机数据源操作系统及应用配置设置、状态与日志绑定及建立的网络连接及端口进程与线程注册表设置配置文件条目软件版本及补丁级别信息硬件信息用户与用户组文件属性(如文件名、哈希值、权限、时间戳、大小等)文件存取系统事件(如启动、关机、失败等)命令历史记录杀毒产品主机名IP地址MAC地址恶意软件名恶意软件类型(如病毒、黑客工具、间谍软件、远程访问等)文件名文件位置(如路径)文件哈希值采取的行动(如隔离、清洗、重命名、删除等)Web浏览器邮件信息:邮件头内容发送人/接收人邮件地址主题路由信息URL嵌入式图形其他数据源安全信息与事件管理(SIEM)整合各数据源(如操作系统、应用程序及网络日志)获取数据的总结报告技术支持工单系统、安全事件管理/追踪系统以及组织内部人员分析报告与观察数据,内容包括:TTP攻击内容关联事物动机攻击代码与工具响应及缓解策略推荐行动方案用户屏幕截图(如错误消息或对话框)取证工具包与动态及/或虚拟执行环境恶意软件样例系统组件(网络、文件系统、内存等)公益译文项目9在新部署了传感器、知识库或能力后,组织应及时更新库存信息.
此外,设备配置、所有权或管理接口人等的重大变化应有文字记录.
3.
3定义信息共享活动的范围组织应定义信息共享活动的范围,包括规定可共享的信息类型、信息共享的条件和对象.
组织应在界定信息共享活动时审核其信息共享目标,以确保要事先办.
在定义这些活动时,重要的是要确保具有支持每项活动的信息源和能力.
组织还应考虑开展能够弥补已知信息鸿沟的共享活动.
例如,组织内部可能没有恶意软件分析能力,但可以通过加入共享社团获取恶意软件指标.
信息共享活动的范围因组织的资源和能力的不同而不同.
通过缩小范围,资源有限的组织可以专注于更少的活动,为自身和共享伙伴提供最大价值.
在获得额外能力与资源后,组织可以扩大信息共享活动的范围.
这种增量的方法有利于确保信息共享活动能够支持组织的信息共享目标,同时充分利用可用资源.
有更多资源和更先进能力的组织一开始就可以确定比较大的活动范围,开展更多活动,支持目标实现.
支持威胁信息共享和接收的自动化程度是在确定共享活动范围时应考虑的一个因素.
自动化程度低的方法或手动方法在循环中直接涉及人工干预,这可能会增加人力资源成本,并限制处理信息的广度和信息量.
使用自动化可减少人力成本,使组织能够选择更大范围的活动.
关于自动化威胁信息共享概念,参见第4节.
3.
4制定信息共享规则在共享威胁信息前,做好以下工作是非常重要的:列出可能要共享的威胁信息类型描述允许信息共享的条件和情况确定已被批准的威胁信息接收人描述编辑或筛选共享信息的要求说明是否允许来源具名应用信息处理标记,描述信息接收人的信息保护义务以上这些步骤规定了控制威胁信息发布和分发的规则,有助于防止传播敏感信息(这些信息若被不当披露,可能会为组织、客户或业务合作伙伴带来不利影响).
信息共享规则应考虑到接收人的可信性、共享信息的敏感性以及共享(或不共享)的潜在影响.
例如,组织可要求限制在内部个人或团体之间交流高度敏感性的信息,允许与特定的信任合作伙伴共享中度敏感性的信息,允许在封闭共享社团内发布低敏感性的信息,并允许在公共信息共享论坛上自由交流非敏感信息.
在建立和审核信息共享规则时,组织应征求法律和隐私管理人员、信息责任人、管理团队和其他利益相关主体的意见,以确保共享规则符合组织成文的政策和流程.
组织可能选择通过《谅解备忘录》(备忘录)、《保密协议》(NDA)、《框架协议》5或其他协议来制定共享规则.
鼓励组织在日常网络安全运营过程中主动订立网络威胁信息共享协议,作为正在进行的网络安全业务的一部分,而不是在网络安全事件发生时才被迫仓促草就.
应定期重估组织的信息共享规则.
以下安全事件可触发规则重估:监管或法律要求发生变化组织政策更新引入新的信息源风险容忍度发生变化5《国防工业基础(DIB)网络安全/信息安全保障(CS/IA)计划标准化框架协议》[4]就是一个框架协议,它贯彻了《美国联邦法规》第236部分236.
4至236.
6章节的内容.
公益译文项目10信息责任人发生变化运营/威胁环境发生变化组织兼并与收购3.
4.
1信息敏感度与隐私很多组织处理的信息根据监管监管、法律或合同义务要求,需要进行保护.
这包括个人验证信息和其他在《萨班斯法案》(SOX)、《支付卡行业数据安全标准》(PCIDSS)、《健康保险携带与责任法案》(HIPAA)、《2014年联邦信息安全现代化法案》(FISMA)和《格雷姆-里奇-比利雷法》(GLBA)中规定应受到保护的敏感信息.
组织识别和适当保护这些信息是很重要的.
在制定识别和保护敏感信息的流程时,应咨询组织的法务团队、隐私官、审计员和熟悉各种监管框架的专家.
从隐私角度看,威胁信息共享的主要挑战是可能会泄露个人验证信息6.
对负责处理威胁信息的个人进行教育和意识培养,让其了解如何识别和保护个人验证信息7,这一点是很重要的.
信息的内部共享可能会导致个人验证信息泄露给那些按照工作职能原本不能例行访问这些信息的人.
例如,取证分析师或事件响应人可能会查找硬盘中的恶意软件指标、审核与可疑钓鱼攻击相关邮件中或进行抓包检查时接触到个人验证信息.
分析师对于这些信息有合理的审查需求,以调查攻击、制定检测策略或制定防御措施.
如果分析结果与他人共享,需要采取措施保护个人验证信息的机密性.
组织应有信息共享的指导方案和流程,指导如何处理个人验证信息.
这些指导方案和流程中应包括如何识别可能包括个人验证信息的安全事件数据类型.
指导方案应描述适当的安全措施来管理与共享数据相关的隐私风险.
常见的做法是最大程度地关注指标的变化.
一些指标,如文件哈希值、网络端口号、注册表键值和其他数据元素,不属于个人验证信息.
然而,在个人验证信息被识别后,组织应在信息共享前,对包含与调查或处理网络威胁不相关的个人验证信息的字段进行修改.
采取的防护类型和防护程度应根据信息的预期用途、敏感性和目标接收人而定.
在可行的情况下,应鼓励组织使用自动化方法(而非人工方法)来识别和保护个人验证信息.
手动识别、提取和模糊个人验证信息可能是一个缓慢、易出错的过程,需要大量资源.
自动化方法可能包括根据列表中的允许值检查数据字段的内容,使用模式匹配技术(如正则表达式)查找个人验证信息,并对包括个人验证信息的数据进行去标识化、隐藏和匿名处理8.
自动化程度将因数据的结构和复杂性、信息的敏感性和所用工具的能力不同而不同.
组织还应采取措施防止非法披露知识产权、商业秘密和其他专有信息.
这样的信息披露可能会导致经济损失,违反保密协议或其他共享协议,引起法律诉讼或损害组织的声誉.
表3-2介绍了部分类型的威胁信息,提供了这些类型的威胁信息中可能包含的敏感数据示例,并提供了处理这类数据时的一般建议.
6行政管理和预算局(OMB)备忘录07-16[5]中对个人验证信息的定义为"可用于识别或跟踪个人验证信息,如姓名、社保号码、生物特征记录等,或与其他个人或识别信息(如出生日期、出生地、母亲家族姓氏等)结合使用,可联系到具体个人的信息".
OMB备忘录10-22[6]中进一步说明"个人验证信息的定义并不是指某一类信息或技术".
并且,识别个人身份的风险需要逐例评估.
评估时,机构还要认识到这一点:根据公开的附加信息(无论来自何种媒介或来源),非个人验证信息可以结合其他已知信息一起用来识别个人身份.
"NISTSP800-122[7]在广义上提出了略有不同的个人验证信息定义,更注重保密性的安全目标,而不是隐私.
根据对附加监管要求的不同考虑,联邦政府之外的组织对个人验证信息的定义也不尽相同.
无论组织如何定义个人验证信息,本指南均可适用.
7了解更多关于隐私控制措施的指南和示例,参见NISTSP800-53(第4版)中的附录J《隐私控制措施目录、隐私控制、增强和补充指南》[8].
8NISTSP800-122[7]中描述了"去标识化"过程,可剔除或模糊化个人验证信息.
因此,剩下的信息就不能用户识别个人身份了.
公益译文项目11表3-2:敏感数据处理建议威胁类型敏感数据元素示例9建议网络指标任何一个网络指标都是敏感的,但整体网络指标往往更加敏感,因为它们可以显示网络实体之间的关系.
通过研究这些关系,可能会推断出用户身份,收集设备状态信息,进行网络侦察,并归纳出组织采用的安全防护措施和工具的特点.
专注于网络指标的交换,如与威胁源起方的C&C制基础设施、恶意URL/域名和演示服务器有关的目的IP地址.
在信息共享前,对包含目标系统的IP、MAC地址或公司注册地址的网络指标,以及能暴露内部网络结构的指标或端口/协议进行过滤或进行匿名化处理.
抓包(PCAP)除了前面讨论的网络指标,未加密或解密数据包可能包含验证凭证和敏感组织信息,如个人验证信息和知识产权.
抓包文件不易处理,因为网络指标可能同时呈现在报文头和载荷中.
例如,抓包文件可能显示协议(例如DHCP协议、地址解析协议(ARP)、文件传输协议(FTP)和DNS协议)和运行在网络栈各层中的应用.
这些协议和应用生成的网络信息可能被抓取,需要进行过滤或匿名化处理,防止敏感信息泄露.
在信息共享前,通过提取与特定安全事件或事件模式调查相关的报文对抓包文件进行过滤:与特定网络会话相关(即特定IP地址之间的信息交换)发生在特定时间内特定的目的端口或源端口使用特定的网络协议修改包含个人验证信息或其他敏感信息或与安全事件或相关事件特点不相关的载荷内容.
当编辑网络信息或进行匿名化处理时,保留足够的信息以支持对抓包文件内容进行有意义的分析,是很重要的.
网络流数据网络流数据包括以下信息:源IP(如发送者)目的IP(如接收者)端口和协议信息字节数时间戳如果不能进行有效的匿名化处理,网络流量数据可用于识别特定用户,观察用户行为(例如用户访问过的网站),显示应用和服务的使用模式,以及网络路由信息和数据量.
在共享网络流数据前,组织应考虑使用加密加密、保留前缀和IP地址匿名技术修改部分会话历史记录,以避免出现网络标识或具体会话跟踪中的具体字段(例如时间戳、端口、协议或字节数).
为了从信息中获得最大价值,使用一个能够转换网络流数据而不破坏参照完整性的工具是很重要的.
网络流分析和关联操作通常要求IP地址替换和转换操作在文件内或不同文件间保持一致.
不采用一致替换策略的匿名技术可能会减少或消除分享这类信息的价值.
钓鱼邮件示例邮件头可能包括以下信息:邮件代理IP地址主机或域名邮箱地址邮件正文可能还包括个人验证信息或其他类型的敏感信息.
组织应对邮件样本进行匿名化处理,并删除与描述相关安全事件或普通事件无关的敏感信息.
系统、网络和应用日志日志文件可能包括个人验证信息或其他类型的敏感信息.
日志数据可能包含IP地址、端口、协议、服务和URL,以及连接字符串、登录凭证、财务交易的部分内容或在URL参数中捕获的其他活动.
组织应对IP地址、时间戳、端口和协议进行匿名化处理并删除与描述相关安全事件或普通事件无关的敏感信息.
在共享日志数据前,有必要对包含识别信息(如会话或用户ID)的URL进行过滤.
特定格式的应用日志可能需要编辑和匿名化处理.
恶意指标和样本虽然组织不太可能在恶意软件指标或样本中见到个人验证信息,但是个人验证信息或其他敏感信息的显示取决于恶意软件有多强的针对性和所使用的收集样本的方法.
组织应删除个人验证信息或与描述相关安全事件或普通事件无关的敏感信息.
3.
4.
2共享标记标记共享威胁信息处理要求的方法有很多.
这些标记能够识别可能不适合公开发布或需要特殊处理的未分类信息.
运用于威胁信息的标记可以传达特定的处理要求,识别敏感数据元素和应在共享前加以修改的信息.
鼓励组织为共享威胁信息提供明确的处理指南.
同样地,威胁信息的接收者应遵守源组织处理指南中描述的处理、具名、传播和存储要求.
表3-3中介绍的流量指示灯协议(TLP),提供了表达共享标记的框架.
[9]9NISTSP800-122[7]中将个人验证信息的影响级别定义为判断个人验证信息敏感度的有效工具.
公益译文项目12表3-3:流量指示灯协议颜色何时使用如何共享红色当另一方不能有效响应信息,并且如果信息使用不当可能影响自己的隐私、名誉或运营时,源可以使用TLP:RED.
接收者不能将交流、会议或会话中透露的TLP:RED信息分享给与交流、会议或会话无关的任何其他方.
琥珀色当信息需要支持以做出有效响应,但如果在组织外共享,可能会有影响隐私、名誉或运营的风险时,源可以使用TLP:AMBER.
接收者可以与组织内部成员共享TLP:AMBER信息,但应根据响应需求控制范围.
绿色当信息有利于提高所有参与组织以及更广泛的社团或行业同仁的意识时,源可以使用TLP:GREEN.
接收人可以与行业同仁组织共享TLP:GREEN信息,但不会通过公开渠道去共享TLP:GREEN信息.
白色当按照公共发布的适用规则和流程,信息的可预见的被滥用的风险最小或者为零时,源可以使用TLP:WHITE.
TLP:WHITE信息可以不受限制地分发,受版权控制保护.
TLP协议是一系列的颜色编码限制,表明一项记录适用于哪些限制.
在TLP协议中,红色是指最严格的规则,可共享的信息只能在特定的交流或会议范围内,甚至不能在参与者自己的组织范围内.
琥珀色、绿色和白色所代表的规则依次宽松.
反网络钓鱼工作组(APWG)提出了一个共享标记的表达模式.
APWG模式描述了可扩展的分级标记系统,可用于表述共享信息的分布限制.
标签可用来表示那些可以或不可以与之共享信息的人(如只与接收人共享、与受影响的各方共享,或没有限制)和表示其他注意事项(例如允许匿名).
对于一些威胁信息,收集方法可能被视为机密或专有的,但实际观察的指标可以共享.
在这种情况下,组织可能会用撕裂报告(tearlinereporting)的方法.
撕裂报告的方法是对报告进行整理,不同敏感度的信息不会混在一起(例如指标信息和收集方法分别呈现在文档的不同部分中).
通过这种架构的报告,组织能够很简单地生成只包含指定接收人被授权接收的信息的报告.
组织应仔细选择或者制定表示共享标记的方法.
不管组织如何表示共享标记,都应确保将共享标记应用到威胁信息的流程已形成文件并得到批准,并且负责指定共享标记的人员训练有素.
3.
4.
3网络威胁信息共享与跟踪流程随着时间的推移,经过各种网络安全活动,组织可累积大量来自内外部的威胁信息.
虽然跟踪数据源很有挑战性,但是这对于保护信息责任人和确保使用信息的组织能够履行数据保护的法律承诺是很重要的.
此外,保存数据源对于分析目的也是极为重要的,可分析得知信息提供者,以及信息的收集、转化或处理方式.