美国联邦政府威胁信息共享与协作概貌.docx

美国联邦政府威胁信息共享与协作概貌.docx

《美国联邦政府威胁信息共享与协作概貌.docx》由会员分享，可在线阅读，更多相关《美国联邦政府威胁信息共享与协作概貌.docx（12页珍藏版）》请在冰豆网上搜索。

美国联邦政府威胁信息共享与协作概貌

美国联邦政府威胁信息共享与协作概貌

发布时间：

2015-05-0711:

06:

00 来源：

博客 作者：

佚名

关键字：

网络攻击生命周期网络杀伤链威胁情报信息共享

　　0引言

　　当今，互联网已与我们的生活融为一体，使我们充分感受到其带来的便利，但同时也看到全球互联网安全事件频发，使我们面临日益严峻的互联网安全威胁的挑战。

在活跃的网络威胁环境中，有效的安全事件检测和响应是我们面临的持续挑战，依靠个体力量已无法有效防止和应对安全事件，对安全事件及时、有效的响应需要各种机构间进行信息共享、沟通、互动与协作，需要积极的国际合作。

信息共享与协作提供了增强机构网络安全能力的有效方法。

建立机构间共享关系并进行安全事件协同响应，将为机构提供获取原本无法获得和使用的威胁情报和工具的机会。

机构可以通过使用共享资源，利用合作伙伴的知识、经验和能力，改善其自身的网络安全状况。

　　2014年10月，NIST发布SP800-150《网络威胁信息共享指南》〔1〕，通过讨论信息共享与事件协作的利益和挑战，研究信息共享体系结构，探讨机构网络安全能力成熟度对其参与信息共享与协作的影响，并提出参与信息共享的具体考虑，帮助联邦机构在网络攻击全生命周期中建立、参与和维护信息共享关系，与外部机构沟通、协调，管理事件影响。

其目标是通过引入安全、有效的信息共享实践，提供信息共享方案规划、实施和维护的指导，为提高机构网络运营防御和事件响应活动的效率和效果提供指南。

　　2014年11月21日，在世界互联网大会“网络空间安全和国际合作”分论坛上，中央网信办网络安全协调局局长赵泽良发出倡议，提出在当前新形势下开展国际网络安全合作，共享信息，联手应对，共同构建和平、安全、开放、共赢的网络空间〔2〕。

可以预见，信息共享与安全协作必将成为我国有效防止和应对网络威胁的关键举措，本文试图描绘美国联邦政府威胁信息共享与协作概貌，希望能对我国的信息共享与安全协作相关工作提供参考。

　　1信息共享与协作的优势与挑战

　　一、信息共享与协作的优势

　　在整个安全事件响应生命周期中进行信息共享与协作的优势包括：

　　l提高共享态势感知能力。

通过信息共享，充分利用合作伙伴的知识、经验和分析能力，从而提高各机构的安全态势感知和防御能力。

　　l增强对威胁的认识。

通过开发和共享威胁信息，获得对威胁环境更全面的了解，从而能够根据威胁环境的变化，制定和部署安全控制、对策、检测方法、纠正措施等。

　　l促进信息的聚合。

对看似无关的原始情报进行共享和分析，使其彼此关联，构建健壮的与某个特定事件或威胁相关的信息集，促进对信息之间关联关系的深刻理解。

　　l提高防御敏捷性。

随着网络安全技术的进步，对手不断调整其战术、技术和程序（TTP，Tactics、TechniquesandProcedures）来对抗网络防护者实施的保护和检测措施。

通过信息共享与协作，使机构能够快速检测并响应对手TTP的变化，实施主动网络安全策略。

　　l提高机构决策能力。

利用和依据共享信息，使机构能够更好的理解对手，预测其行动，更快速和自信地做出决定，并在其行动前部署防御措施。

　　l高效处理信息需求。

信息共享是报告或调查网络安全事件的重要活动。

　　l快速通报安全事件。

当事件导致有关另一方的信息被发布时，快速通知其受影响的客户或业务伙伴。

　　二、信息共享与协作的挑战

　　尽管信息共享与协作具有明显优势，但也存在一些必须考虑的挑战，包括：

　　l法律和机构限制。

机构的行政和法律团队可能出于技术保护、法律或隐私等问题的考虑，限制机构可以共享的信息类型。

　　l信息披露风险。

信息的共享可能使贡献者承受暴露机构防护或侦测能力的风险，还可能导致对手转移威胁。

　　l隐私保护。

机构可能公开参与信息共享，但对其贡献保持匿名。

由于无法查询信息的来源或了解信息的原始背景和出处，这种信息可能限制其对他人的有用性。

　　l信息生成。

机构生成信息须具备必要的基础设施、工具和培训。

虽然基本的事件数据容易生成，但诸如对手动机和TTP等信息的生成通常需要更大的努力。

　　l信息利用。

要利用和体现共享信息的价值，机构须具有访问外部资源以及将信息合并到本地决策过程中的所需的基础设施。

　　l互操作性。

标准化的数据格式和传输协议有助于促进机构、存储库和工具间事件数据安全、自动交换所需的互操作性，但需要仔细分析统一格式和协议的成本和效益。

　　l信息保密。

从政府渠道获得的信息可能被标记为机密信息，使机构难以使用。

对于机构来说，请求和维护持续访问机密信息源所需的审查是昂贵和费时的。

　　l建立信任关系。

信任关系形成信息共享与协作的基础，但建立和维护信任关系可能是耗时的。

　　2网络攻击生命周期

　　信息共享与协作涉及整个网络攻击生命周期。

网络攻击的规模、范围、复杂性和频率在持续增长，被动防御已不能适应处理利用先进工具、零日攻击和先进的恶意软件破坏系统和网络的高级持续威胁（APT）的需要。

网络攻击生命周期模型虽然不能完全预测对手的行为，但为分析潜在威胁提供了一个简单，且非常有用的抽象概念。

当前已有许多网络攻击生命周期的模型，包括洛克希德·马丁的“网络杀伤链”〔3〕（见图1）和NISTSP800-115〔4〕提出的攻击阶段步骤等。

　　图1网络杀伤链

　　图1的网络杀伤链描绘了网络攻击的7个阶段：

　　第1阶段：

获取目标。

对手识别和选取攻击目标。

　　第2阶段：

准备武器。

对手将攻击工具包装进将在目标计算机/网络上执行的有效载荷中。

　　第3阶段：

分发武器。

对手将有效载荷分发到目标系统。

　　第4阶段：

启动武器。

对手执行其安装在目标系统上的代码（攻击工具包）。

　　第5阶段：

安装木马或后门。

对手安装能够在目标环境或系统中持久存在的远程访问工具软件。

　　第6阶段：

建立指挥和控制通道。

对手利用远程访问机制，建立到达已攻击成功的设备的指挥和控制通道。

　　第7阶段：

对目标采取行动。

对手实现既定目标，如：

进行数据抽取、横向扩展攻击目标，开辟新的杀伤链等。

　　网络攻击生命周期的每个阶段对于网络防护者来说都是一个采取行动应对对手的机会。

网络防护者通过使用网络攻击生命周期，结合内部和外部威胁情报，可以制定在网络攻击生命周期的早期（即在攻击发生前）击败对手的主动事件响应策略。

　　正如图1所示，主动网络防御包括部署在攻击执行之前应对对手的防护和检测措施。

网络防护者通过在网络攻击生命周期的获取目标、准备武器和分发武器阶段识别和参与对手活动，部署缓解措施或采取行动，确保在对手成功执行和利用之前保护关键任务资产。

无论在杀伤链中的哪个环节采取措施，网络防护都必须执行整个网络攻击生命周期的威胁分析，以确保响应的有效性。

这种分析应包括：

识别威胁指示信息，确定在网络攻击生命周期的哪个阶段观察这些指示信息，并将这些指示信息与其他威胁情报关联。

只有通过了解对手在网络攻击生命周期中的操作，网络防护者才能够设计出更有效的防御策略。

　　要建立主动防御，机构应设法了解整个网络攻击生命周期内对手的TTP，并获取和利用及时、准确、详细的相关威胁情报。

平行机构间的信息共享是开发同级情报的一种有效方法。

通过在扩展的时间段内观察对手的目的、活动和行为，可以开发出针对特定对手的TTP。

通过与其他防护者共享这些信息可以使他们获得有价值的针对特定对手战略和总体规划的理解，从而增加其预测入侵者行为和开发更有力和有效防御功能的能力。

　　3威胁情报信息

　　威胁情报是网络防御和事件响应的重要组成部分，是信息共享与协作的主要对象。

机构应通过收集主动威胁其环境的相关情报，实施有针对性的战术和战略防御措施。

威胁情报包括：

有关对手利用的威胁、TTP和设备的信息;对手指向的目标系统及其信息;其他任何为网络防护者和事件响应者提供更多态势感知的威胁相关的信息等。

　　一、威胁情报及其特点

　　有效的威胁情报表现出以下特点：

　　l及时性。

威胁情报应当被快速传递，具有最小的延时，为接收方提供足够的机会来预测威胁并准备相应的响应。

情报的及时性是环境相关的，需要考虑威胁的波动性、攻击速度、对手的能力和TTP。

有些决策可能需要在几秒或几分钟内传递战术情报，以应对快速变动的对手。

有些威胁变化比较缓慢，是蓄谋已久的，可能需要使用数小时、数天、甚至数月的历史情报来有效处理和解决。

　　l相关性。

威胁情报应具有接收者运行环境的适用性，说明机构可能要面对的威胁和可能遭遇的攻击，并描述接收者可能遇到的对手。

威胁情报的接收者应进行风险分析，确定与特定威胁相关的风险。

　　l准确性。

威胁情报应正确、完整和明确。

不准确或不完整的信息可能妨碍重要的行动、引起不必要的行动、导致不恰当的反应或使接收者产生安全错觉。

　　l具体性。

威胁情报应描写事件或对手的细节，触及有关威胁的凸出层面，使接收者理解威胁的可能影响，能够评估可以采取的行动。

　　l可操作性。

威胁情报应提供足够的信息和背景使接收者能够确定对抗威胁可以采取的行动和制定应对威胁的恰当方案。

　　二、威胁情报的来源

　　现实中有许多网络威胁情报的来源，机构可以内部收集和开发，或通过共享社区、公开源、业务合作伙伴、业界同行、产品供应商、商业网络威胁情报服务、客户、执法机构或其他事件响应团队等，从外部情报资源获取。

任何有关对手目标和动机的发现都是非常有价值的情报，与可信个人或机构有关的人际关系是极好的信息来源。

　　内部威胁情报来源包括：

入侵检测和防护系统、安全信息和事件管理产品、防病毒软件和文件完整性检查软件的警报，操作系统、网络、服务和应用的日志等。

应保留收集的内部威胁情报及相关证据，在机构安全策略允许的情况下与合作伙伴共享。

　　外部威胁情报可以通过行业共享社区（如：

金融、电力、医疗等）获得。

在特定领域内运行的机构应考虑加入已建立的共享社区，或考虑与其他领域常常面临同样威胁和对手的机构形成共享社区。

其他可能的外部威胁情报来源包括：

服务于当地、地区和政府执法部门等的社区;省、市和地方政府;应急响应人员和其他附属机构;提供类似威胁情报和其他收费增值能力的商业网络威胁情报服务供应商等。

　　许多可通过互联网访问的公开威胁情报公布了危害指示信息、黑名单、恶意软件和病毒信息、垃圾邮件发送者名单，以及其他新出现的威胁等信息。

这些来源的信息可能需要人工收集和分析。

　　4信息共享体系架构

　　基本的信息共享体系结构如图2所示，包括：

中心共享式和点对点共享式。

　　图2基本信息共享体系架构

　　不同的信息共享体系架构，具有不同的特点，在选择信息共享体系架构时，应考虑以下关键因素：

　　l信息共享参与者的特点、可信性、能力和组成

　　l政府、成员机构和赞助商支持共享承诺的程度

　　l将要共享的信息类型和敏感程度

　　l所需信息的分发频率、多少和速度

　　一、中心共享式体系架构

　　中心共享式体系架构具有一个中心，用于存储或交换来自成员或其他来源的信息。

由成员提供的信息被中心直接转发给其他成员，或由中心以某种方式处理后分发给指定的成员。

中心进行的信息处理包括：

对多个来源信息的聚合和关联、消毒、去属性，通过提供附加背景丰富信息，或进行趋势研究和分析，确定总体趋势、威胁和恶意活动等。

　　基于该架构的共享通常建立正式的数据共享协议，规定哪些信息可以共享、可以与谁共享、是否允许注明来源，以及允许的详细程度等。

中心存储的信息可能会相当详细、大量，并包含带有属性的数据元素。

存储库的概要形成、消毒和分发过程应按照数据共享协议处理数据，并根据需要为共享成员提供抽象、去属性的摘要信息。

接收频繁、大批量应用的中心存储库可以选择自动化汇总和消毒过程。

　　中心共享式体系架构的好处在很大程度上取决于中心提供的服务。

有些中心可能只以中间人的身份进行信息交换，另一些中心可能会执行附加的处理，以丰富信息。

中心提供的服务可能包括：

对多种来源的信息进行利用、汇总、关联、分析、验证、消毒、分发和存档等。

使用开放、标准数据格式和传输协议的中心可以降低对参与者采用多种格式和协议进行信息交换的需求，并且参与者只需进行较少的连接管理，一旦连接到中心点，即通过中心基础设施相互连接。

　　中心共享式体系架构一个潜在的缺点是信息交换系统完全依赖于中心基础设施，使其容易受到系统故障、延迟或中心损坏等影响。

当中心不能正常工作或性能下降时，参与共享的所有成员都会受到影响。

另外，中心作为威胁情报的存储库，成为很有吸引力的攻击目标。

　　二、点对点共享式体系架构

　　点对点共享式体系架构参与者彼此之间直接进行信息共享，机构各自负责利用、汇总、关联、分析、验证、消毒、保护和交换信息，机构间交换的信息只能是参与者获取、分析和分发的有限数据。

信息交换的安全性、速度和频率等取决于相关机构的需求和能力。

　　在点对点共享式体系架构中，机构之间直接建立信任关系，并进行信息交换。

其彼此信任的基础是支持共同使命，尊重规定共享规则，并愿意参与互惠共享。

　　点对点共享式体系架构提供的好处包括：

（i）参与者彼此直接共享，使接收者直接从源头获得信息，使信息得到迅速分发，为架构提供了很大的敏捷性。

（ii）信息可以通过多种渠道获得，并且没有代表潜在单点攻击故障点或高价值攻击目标的中心，使架构表现出更大的弹性。

　　点对点共享式体系架构的缺点包括：

（i）架构实现不采用信息交换标准方法，机构必须支持多种数据格式和协议，使其难以扩展;（ⅱ）随着参与者数量的增加，管理众多连接、数据和信任关系的成本将以指数方式增加。

　　三、混合式体系架构

　　有时需要结合中心共享式和点对点共享式的特点，实现混合方式的体系架构。

目前有中心和无中心的点对点实现同时存在。

在有中心的点对点实现中，中心可用于资源发现、中间人请求或作为认证用途的可信第三方;在纯点对点实施中，参与者管理其共享互动的各个方面。

　　在某些情况下，使用混合式架构可能是有利的，但它可能增加成本，并且更难以实施和操作。

　　四、架构应用

（一）中心共享式

　　联邦政府响应小组

　　分层中心共享式体系架构被广泛用于美国联邦政府内。

图3描绘了用于整个联邦政府、特定部门和机构内事件响应小组的概念性中心共享型事件报告架构。

这里，响应小组即可作为中心又可作为点参与，取决于小组在报告层次结构内的位置。

在联邦政府内，信息从机构流向美国计算机应急响应小组（US-CERT）和/或工业控制系统网络应急响应小组（ICS-CERT）。

在国防部（DoD）内，信息从作战指挥、服务、机构和现场活动流向美国网络司令部（USCYBERCOM）。

USCYBERCOM与US-CERT和ICS-CERT协调处理涉及DoD的网络安全事件、情报和报告。

　　图3联邦政府中心共享式分层事件报告抽象架构

　　信息共享和分析中心

　　信息共享和分析中心（ISAC，InformationSharingandAnalysisCenter）活动是中心共享式模型的另一个例子。

1998年发布的总统决策令-63（PDD-63）将ISAC描述为收集、分析、消毒和分发从私营部门到行业和政府的信息的中心。

ISAC也从政府向私营部门分发数据。

私营部门参与者在联邦政府的建议和帮助下，决定在ISAC中支持的设计和功能。

参加行业ISAC是自愿的，ISAC全国委员会确定了17个成员ISAC。

　　图4ISAC中心共享式事件报告抽象模型

　　在图4给出的模型中，ISAC安全运营中心与多种参与者，包括：

成员组织、政府合作伙伴、外部共享社区、供应商和其他ISAC等共享安全事件、脆弱性和威胁信息等。

（二）点对点共享式

　　机构与其互联网服务提供商、托管服务提供商、业务合作伙伴、业内同行、执法机构，以及其他事件响应小组和人员之间的信息交流，常常通过点对点互动完成。

这样的共享，尽管不通过共享中心协调，仍不失为有效的应急响应能力的重要组成部分。

　　（三）混合式

　　一个机构可能使用点对点架构交换低级别入侵指标信息，而将高级别事件报告发送给信息共享中心，形成混合式信息共享架构。

另外，通过混合方案可以直接将相同的信息发送到单个组成员和中心，即通过直接、节点共享，对时间敏感的数据采取快速行动，实施有效的战术应对，又使用中心能力，收集、整合和分析来自多个成员的数据，用于制定更长期的战略和行动方针。

　　5实现有效信息共享与协作的建议

　　事件协作处理包括：

生成和使用数据、参与信息共享和保护事件相关的数据等。

为了实现有效及时的网络威胁信息共享与协作，NIST提出如下建议：

（1）利用共享合作伙伴的知识、经验和能力，交流威胁情报、缓解策略和工具，改善参与机构的网络安全状况，减少应对网络攻击的总体成本。

（2）建立和保持信息共享关系，以增强组织的态势感知能力，并培养积极的事件响应态度。

　　（3）使用网络攻击生命周期作为观察和了解对手行动和定义积极防御战略的框架，有效利用整个生命周期中通过内部和外部资源获得的信息。

　　（4）共享有关入侵企图（无论实际是否侵入成功），而不只是有关特定入侵的信息。

　　（5）作为信息共享的参与者，了解不同信息共享架构的好处和缺点。

　　（6）探索能够提供及时、相关、准确、具体、有效信息的威胁情报源。

　　参考文献

　　〔1〕GuidetoCyberThreatInformationSharing（Draft）[S],NISTSP800-150（Draft）,October2014

　　〔2〕网络安全专家响应中国倡议共享信息联手共建和平网络空间[OL],浙江在线,2014年11月21日.

　　〔3〕美军遇网络战难题指挥与控制系统有潜在危害性[OL],中国网,2011年03月16日.

　　〔4〕TechnicalGuidetoInformationSecurityTestingandAssessment[S],NISTSP800-115,September2008

　　作者简介

　　严霄凤（1964-），女，上海宝山人，通信专业硕士，中国软件评测中心高级工程师，主要从事信息安全，电子认证、个人信息保护相关标准、规范和测评方法研究，长期从事信息系统测试、信息安全测评和政府信息系统安全、电子认证、电子签名、个人信息保护相关课题等的研究实施工作