简介
STIX是一种描述网络威胁信息的结构化语言,STIX 能够以标准化和结构化的方式获取更广泛的网络威胁信息。
STIX 1.0定义了8种构件:可观测数据(Observation)、攻击指标(Indicator)、安全事件(Incident)、攻击活动(Campaign)、威胁主体(Threat Actor)、攻击目标(ExploitTarget)、攻击方法(TTP)、应对措施(CourseOfAction)在内的八个威胁信息构件。
STIX 2.0定义了12种构件:Attack Pattern、Campaign、Course of Action、Identity、Indicator、Intrusion Set、Malware、Observed Data、Report、Threat Actor、Tool、and Vulnerability。2.0将1.0版本中的TTP进行更细致的描述拆分为Attack Pattern、Intrusion Set、Tool、Malware;从Exploit Target拆分出Vulnerability;从威胁主体(Threat Actor)中拆分出Identity、Intrusion Set;删去了Incident;新增了Report。
2者的具体关系用下表表示:
STIX1.0 构件 | STIX2.0 构件 | 说明 | 扩展标准规范 |
---|---|---|---|
可观测数据(Observation) | Observed Data | 2.0沿用,有字段更新 | STIX 1.2.1版本使用网络空间可观测表达(CybOX)语言 2.1.1版本来表示网络空间的可观察行为。 |
攻击指标(Indicator) | Indicator | 2.0沿用,有字段更新 | 开放妥协指示器(OpenIOC)是一种用于技术特征描述的XML模式,用来识别已知威胁、攻击者方法或其它妥协(入侵)证据等[OpenIOC]。 |
应对措施(CourseOfAction | Course of Action | 2.0基本全沿用,有字段更新 | |
攻击活动(Campaign) | Campaign | 2.0沿用,新增了时间两个字段,包括first_seen, last_seen字段 | |
威胁主体(Threat Actor) | Threat Actor | 2.0沿用,有字段更新,同时关于威胁源身份等单独摘到indetity中 | |
攻击目标(ExploitTarget) | Vulnerability | 开放漏洞和评估语言(OVAL)是一个信息安全社区,致力于计算机系统状态的评估和报告的标准化[OVAL]。 | |
攻击方法(TTP) 安全事件(Incident | Attack Pattern | 通用攻击模式枚举和分类(CAPEC)标准 | |
Identity | OASIS 顾客信息质量(CIQ) 3.0版本是一个XML规范集,用来表示关于个人和组织的特征信息[CIQ]。 | ||
Intrusion Set | |||
Malware | Meac: 恶意软件属性枚举和描述(MAEC™)是一种分享有关恶意软件结构化信息的标准语言,它基于恶意软件的行为、人工和攻击模式等属性[MAEC]。 | ||
Tool | |||
Report |
以下主要参考STIX 2.0标准,对12个构件做逐一的解读。
1.Attack Pattern(攻击模式)
1.1 基本描述
Attack Pattern:描述攻击者试图破坏目标的方式,由原来版本的TTP拆分出来的。
1.2 标签
标准中暂无规定该构件的标签。
1.3 特定字段
name, description, kill_chain_phases
1.4 stix1.0对比
从stix1.0的攻击方法(TTP)构件转化而来。继承了TTP中的几个关键字段behavior、kill_chain_phases、kill_chains。
1.5 关键内容
攻击模式类型可以通过扩展采用“通用攻击模式枚举和分类(CAPEC)标准”,使用CAPEC来结构化的描述攻击模式。CAPEC定义了500多种攻击模式,包括了我们常见的鱼叉式邮件攻击、暴力破解、SQL注入等等
CAPEC下载链接
网络攻击杀伤链是指,攻击者完成一项攻击任务的所经历的全生命周期。目前主流的框架模型如下:
(1)洛克希德·马丁公司的Kill Chain(杀伤链)
一个用来描述包含多个攻击步骤的多步攻击模型.注:常见的多步攻击模型包括信息收集、工具研发、工具投放、脆弱性利用、后门安装、命令与控制、攻击目标达成等七个步骤。
(2)MITRE公司的ATT&CK模型
将攻击划分以下阶段进行识别:初始接入Initial Access、(指令)执行 Execution、持久化Persistence、权限提升Privilege Escalation、逃避防御Defense Evasion、获取凭证Credential Access、探索Discovery、横向移动Lateral Movement、(信息、凭据)收集Collection、数据窃取Exfiltration、命令和控制Command and Control。
(3)NSA/CSS技术威胁框架:
侦察、环境预制(添加可利用点、建立跳板、预置载荷)、投递、利用(利用漏洞)、执行、内部侦察(测绘可访问网络、嗅探网络)、提权(利用操作系统漏洞提升权限)、凭证访问、横向移动(远程登录、利用远程服务、写入远程文件共享)、渗出(汇聚数据、压缩数据、传输数据)、命令与控制(C&C)、躲避(规避数据大小限制、加密数据、仿冒合法流量、使用rootkit、将文件存储在非常规的位置、根据环境调整行为)。
1.6 备注
Ø APT组织首先要达到最终的攻击效果(窃取目标的敏感数据),在实际攻击过程中同时要花费足够精力避免被发现和追溯,尽量隐藏或消除留下的痕迹,采用更新的技术方法避免追溯到其组织身份。
Ø APT攻击说到底还是资源的对抗,攻防双方都会基于成本去考虑问题。针对目标的价值不同、防御能力不同而投入不同的攻击成本是攻击方的一个策略。
Ø 供应链攻击:利用控制供应链来实现对目标系统的攻击,是近年比较有效的一种攻击方式。
Ø 恶意程序在窃取数据时候,利用ssl证书对流量进行加密传输,以规避安全系统的监测是这两年越来越多的一种方式。Feed威胁情报系统:已经支持恶意证书指纹的查询。防护方可以通过流量还原证书以及主动探测获取的证书信息,结合威胁情报平台的恶意证书指纹库进行对比分析。
2. Campaign(攻击活动或网络战役)
2.1 基本描述
可以翻译成攻击活动或网络战役。Campaign是描述一系列针对特定目标的恶意行为或一段时间内发动的攻击。一次APT攻击活动就像军事上针对特定目标的定点打击或间谍渗透,类似一次攻击战役。通常将攻击者或其实施的攻击行动赋予独有的代号进行识别。例如,某攻击者使用一组特定的TTP(恶意软件和工具)以某个特定目的攻击一个工业部门,那么这就是一次“XXXX活动”。
2.2 标签
标准中暂无规定该构件的标签。
2.3 特定字段
name, description, aliases(别名