http://ascc.sinica.edu.tw/iascc/articals.php?_section=2.4&_op=?articalID:6435
壹、 前言
現今組織越來越需要擁有蒐集網路威脅情報 (Cyber Threat Intelligence) 的能力,並且要有足夠的情報分享能力,以能夠與其信任夥伴分享網路威脅情報,足以共同防禦網路威脅。網路威脅情報分享 (Cyber Threat Intelligence and Information Sharing) 能夠幫助組織面對並聚焦在現今龐大且複雜的網路安全資訊,此時組織需要的是具標準化、架構性的資訊,才能一窺網路安全事件的全貌。STIX (Structured Threat Information eXpression) 是由 MITRE 公司 (The MITRE Corporation) 所定義與開發出用來快速能達到表示事件相關性與涵蓋性之語言,以表達出架構性的網路威脅資訊。STIX 語言將包含網路威脅資訊的全部範圍,並盡可能地達到完整表示、彈性化、可延展性、自動化與可解讀性等特性。
貳、 何謂 STIX?
網路安全已經演變成一個複雜且具多重因子的問題,網路攻擊行為已不如過往那樣單純。我們可以從一個「Kill Chain (攻擊鏈)」知道一次網路攻擊可能分成好幾個步驟,亦可從中了解最新的攻擊行為與如何防範。
圖1 網路攻擊鏈
一、 攻擊者從觀察目標、製作攻擊工具、送出攻擊工具、攻擊目標弱點、控制目標、於目標執行工具,至遠端維護攻擊工具,循序漸進控制目標,並立足於目標以能進行更進一步的攻擊。此種攻擊過程即為廣為人知的 APT 攻擊 (Advanced Persistent Threat,即進階持續性滲透攻擊) 。正因 APT 攻擊的發展,讓網路安全防禦與事件調查變得更加困難,也因此衍伸出「網路威脅情報分享」等相關議題。
二、 STIX 是一種做為標準化網路威脅資訊的分類、獲取、特徵化與溝通之開發語言,可協助有效管理網路威脅之過程與自動化應用。高階的網路安全仰賴以下資訊:
- 威脅分析。
- 特徵分類。
- 網路威脅應變行為管理。
- 情報分享。
三、 為了能夠滿足架構性網路威脅資訊之涵蓋範圍,STIX 提供了一個通用的機制,以增進架構穩定性、效率、相互合作性與整體情境感知 (Situational Awareness);同時,STIX 提供統一的架構,可將以下的威脅資訊做關聯:
- 網路可觀性 (Cyber Observation)。
- 事件跡象 (Indicators)。
- 惡意的行為的手法、技術與過程 (Tactics, Techniques, and Procedures,簡稱TTPs ,包含攻擊特徵、惡意軟體、暴露之弱點、kill chains、使用工具、事件架構、受害目標等)。
- 暴露目標 (Exploit Targets,例如弱點、漏洞等)
- 防範行動 (Course of Action,簡稱COA,包含事件應變或弱點補救措施)。
- 網路攻擊活動 (Cyber Attack Campaigns)。
- 網路威脅者 (Cyber Threat Actor)。
參、 Use Case
以下圖表為 STIX 所提供之核心 Use Case 概觀,以支持網路威脅管理。
圖2 STIX 提供之核心 Use Cases
表1 Use Cases
UC | 敘述 | 角色 | |
UC1 | 判斷、懷疑、分析 (決定是否為惡意、是否擴散)、調查 (誰是目標?何時發生?)、保留紀錄、建議對應作為、分享資訊。 | 網路威脅分析師 | |
UC2 | 將觀察到的特性分類。以人工方式輔以自動化工具或架構化的威脅資訊。 | 網路威脅分析師 | |
UC3 | 預防/偵測威脅行為,調查類似事件並回報,然後加以防禦以降低成為弱點或目標的機會 | ||
預防 | 評估針對潛在威脅的預防行為,決定採用方案。 | 網路決策人員 | |
偵測 | 監視網路行為,以透過威脅特徵偵測過去發生過的事件是否再度發生。 | 網路操作人員 | |
事件回報 | 調查事件的原因、辨別與分類,並予以降低威脅或校正。 | 網路操作人員 | |
UC4 | 發布政策,分享資訊。 | 網路決策人員 |
肆、 指引原則
為了能為網路威脅資訊定義出一個架構性的表示方式,STIX 採取並應用了以下核心指引原則。
- 可表示性 – 可顯示出所有有關威脅的資訊。
- 完整性重於複製性 – 不僅僅只是將個別資訊複製出來,而可以利用多個資料庫架構出一個具架構式的資訊框架。主要組成架構直接利用Cyber Observable eXpression (CybOX?) 的架構。STIX 1.0版提供了鬆散耦合 (loose-coupling) 機制以及預設屬性,以能視情況利用一些組成架構,如Common Attack Pattern Enumeration and Classification (CAPEC?) 、Malware Attribute Enumeration and Characterization (MAEC?) 、Common Vulnerability Reporting Framework (CVRF) 、OASIS Customer Information Quality (CIQ) xPRL 。
- 另外亦具有彈性化、可延展性、自動化、可讀性等特性,以能適用於多樣的網路威脅情報範圍。
伍、 架構
圖3 STIX架構
STIX 為一個獨立且可再使用的架構 (如上圖),並將各角色之間的關係加以定義。連結箭頭表示各角色間的關係;星號表示該段關係可能會出現 0 到很多次。此架構目前用 XML 寫出。下文將對各角色加以闡述。
- Observables – 此角色關注在「尋找、看見或觀察到什麼行為?」,是 STIX 中最基礎的角色,對網路及電腦運作環境來說,需要有個固定角色隨時監控網路的動態,以便日後的事件調查與處理。 STIX 利用 CybOX 做代表語言,用來編碼及提供溝通標準化、高精準度資訊,提供常見解決方案給所有網路安全需求。
- Indicators – 此角色關注在「要找尋什麼?為什麼需要注意?」。此角色會結合上下文資訊,並尋找特定的可觀察之特徵以表示使用的工具以及/或者其行為。一個或多個可觀察之特徵將會對應至相關 TTPs (Tactics, Techniques, and Procedures) 以及加上其他相關數據 (出現時間、可能影響等)。STIX 利用蒐集之社群知識以及最佳的實例定義一個新的 Indicator。
- Incidents – 此角色關注在「看見了什麼?」,將揭露關於 Indicators 影響組織之個別事件的資訊或在事件調查期間做決策,包括了發生的人事時地物、影響資產與範圍、相關 Indicator、Observables、利用的 TTP、相關 ThreatActors、要求 COA、已採取行動紀錄等等。STIX 利用蒐集之社群知識以及最佳的實例定義一個新的 Incident。
- TTP (Tactics, Techniques, and Procedures) – 此角色關注在「做了什麼?」,在網路威脅資訊與情報間扮演中心角色。TTP 將事件犯罪手法的行為表示出來,並分手段、技術、過程三面向進行分析,包括了行為、利用工具、目標資訊、已被攻擊之弱點、影響、kill chain 階段等等。STIX 利用社群知識以及最佳實例去定義新的 TTP 架構,並表示一個新的 TTP 資訊。某些的 TTP 可利用其他標準或工具去定義,像 CAPEC 可用來定義攻擊特徵、MAEC 可用來定義攻擊使用之惡意軟體、CybOX 可用來定義攻擊使用工具與架構。
- Campaigns – 此角色關注在「為什麼要進行此次攻擊?」。這是 ThreatActors 所引發潛在、具跨組織性的事件,通常會是一組或一連串的事件以及/或者 TTP。STIX利用社群知識以及最佳實例去定義新的 Campaign 架構並表示一個新的 Campaign 資訊。
- ThreatActors – 此角色為事件引發者,即所謂的攻擊者。STIX 利用社群知識以及最佳實例去定義新的 ThreatActors 架構,並表示一個新的 ThreatActors 資訊。
- ExploitTargets – 此角色代表軟體、系統、網路或組態的弱點或漏洞,而這即成為 ThreatActors 利用 TTP 攻擊的目標。STIX 利用社群知識以及最佳實例去定義新的 ExploitTargets 架構並表示一個新的 ExploitTargets 資訊。某些 ExploitTargets 可利用其他標準或工具去定義,如:CVE 與 OSVDB 定義識別公開暴露的漏洞;CVRF 定義關於漏洞的細部架構化、未被 CVE 或 OSVDB 所識別之特徵,包括 0-day 漏洞;CWE 定義識別弱點;CCE 定義識別組態議題。
- COA (Course of Action) – 此角色關注於「應該針對事件採取什麼行為?」,通常是針對 ExploitTargets 所採取的行動,以降低 Incident 的影響範圍。STIX 利用社群知識以及最佳實例去定義新的 COA 架構並表示一個新的 COA 資訊。
- Data Markings – 此角色負責將資料做標記以作為分類,並提供交叉比對。
陸、 實際應用
STIX 最初始的應用是利用 XML 架構作為普及、可攜和架構化的機制,以達到各角色間細節、合作和精準化,並有提供實作架構。許多國外機關組織已利用 STIX 進行情報與資訊分享,諸如美國國土安全部 (The U.S. Department of Homeland Security)、US-CERT 等。日本資訊處理推廣機構 (Japanese IPA) 則在研討階段。
柒、 結論
STIX 已在今年舉辦的 RSA 會議 (RSA Conference 2013) 中由 MITRE 公司的首席網路安全師 Sean Barnum 發表。STIX 提供了一個標準化的網路威脅情報分享架構,並結合了多個資料庫進行情報蒐集與建置,一旦發生網路安全事件,可透過 STIX 將事件發生的原因、經過、處理等紀錄下來,並可藉此一窺網路威脅事件的全貌,且可以將此情報分享給信任之合作夥伴。在計畫網站上有提供套件讓有意使用之組織下載,並可利用 python 語法編寫。目前 STIX 的版本已更新至 1.0.1 版 (於今年 10 月 4 日釋出),且已有許多企業及組織利用 STIX 進行網路威脅情報分享。筆者認為,目前臺灣缺乏網路威脅事件資料庫的建置之自動化架構與機制,且沒有可分享網路威脅情報的資源,以至於發生網路威脅事件時,無法達到即時處置或分享給其他單位,避免同樣事件一再發生。STIX 是一個可考慮利用的方案,應有利於臺灣網際網路之威脅事件情報分享機制的建立與發展。
捌、 參考資料
- Structured Threat Information eXpression (STIX?). URL http://stix.mitre.org/
- The STIX Project (STIXProject). URL https://github.com/STIXProject
- Sean Barnum. Standardizing Cyber Threat Intelligence Information with the Structured Threat Information eXpression (STIX?). URL http://stix.mitre.org/about/documents/STIX_Whitepaper_v1.0_%28Draft%29.pdf
- Eric M. Hutchins, Michael J. Clopperty, and Rohan M. Amin, Ph.D. Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains. 6th Annual International Conference on Information Warfare and Security, 2011. URLhttp://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf
- Sean Barnum. The Secret to Effective Cyber Threat Intelligence and Information Sharing. RSA Conference 2013. URL http://www.rsaconference.com/writable/presentations/file_upload/dsp-r31.pdf