对STIX2.0标准12个构件的解读

简介

STIX是一种描述网络威胁信息的结构化语言，STIX 能够以标准化和结构化的方式获取更广泛的网络威胁信息。

STIX 1.0定义了8种构件：可观测数据（Observation）、攻击指标（Indicator）、安全事件（Incident）、攻击活动（Campaign）、威胁主体（Threat Actor）、攻击目标（ExploitTarget）、攻击方法（TTP）、应对措施（CourseOfAction）在内的八个威胁信息构件。

STIX 2.0定义了12种构件：Attack Pattern、Campaign、Course of Action、Identity、Indicator、Intrusion Set、Malware、Observed Data、Report、Threat Actor、Tool、and Vulnerability。2.0将1.0版本中的TTP进行更细致的描述拆分为Attack Pattern、Intrusion Set、Tool、Malware；从Exploit Target拆分出Vulnerability；从威胁主体（Threat Actor）中拆分出Identity、Intrusion Set；删去了Incident；新增了Report。

2者的具体关系用下表表示：

STIX1.0 构件	STIX2.0 构件	说明	扩展标准规范
可观测数据（Observation）	Observed Data	2.0沿用，有字段更新	STIX 1.2.1版本使用网络空间可观测表达（CybOX）语言 2.1.1版本来表示网络空间的可观察行为。
攻击指标（Indicator）	Indicator	2.0沿用，有字段更新	开放妥协指示器（OpenIOC）是一种用于技术特征描述的XML模式，用来识别已知威胁、攻击者方法或其它妥协（入侵）证据等[OpenIOC]。
应对措施（CourseOfAction	Course of Action	2.0基本全沿用，有字段更新
攻击活动（Campaign）	Campaign	2.0沿用，新增了时间两个字段，包括first_seen, last_seen字段
威胁主体（Threat Actor）	Threat Actor	2.0沿用，有字段更新，同时关于威胁源身份等单独摘到indetity中
攻击目标（ExploitTarget）	Vulnerability		开放漏洞和评估语言（OVAL）是一个信息安全社区，致力于计算机系统状态的评估和报告的标准化[OVAL]。
攻击方法（TTP） 安全事件（Incident	Attack Pattern		通用攻击模式枚举和分类（CAPEC）标准
	Identity		OASIS 顾客信息质量（CIQ） 3.0版本是一个XML规范集，用来表示关于个人和组织的特征信息[CIQ]。
	Intrusion Set
	Malware		Meac: 恶意软件属性枚举和描述（MAEC™）是一种分享有关恶意软件结构化信息的标准语言，它基于恶意软件的行为、人工和攻击模式等属性[MAEC]。
	Tool
	Report

以下主要参考STIX 2.0标准，对12个构件做逐一的解读。

1.Attack Pattern（攻击模式）

1.1 基本描述

Attack Pattern：描述攻击者试图破坏目标的方式，由原来版本的TTP拆分出来的。

1.2 标签

标准中暂无规定该构件的标签。

1.3 特定字段

name, description, kill_chain_phases

1.4 stix1.0对比

从stix1.0的攻击方法（TTP）构件转化而来。继承了TTP中的几个关键字段behavior、kill_chain_phases、kill_chains。

1.5 关键内容

攻击模式类型可以通过扩展采用“通用攻击模式枚举和分类（CAPEC）标准”，使用CAPEC来结构化的描述攻击模式。CAPEC定义了500多种攻击模式，包括了我们常见的鱼叉式邮件攻击、暴力破解、SQL注入等等
CAPEC下载链接

网络攻击杀伤链是指，攻击者完成一项攻击任务的所经历的全生命周期。目前主流的框架模型如下：
（1）洛克希德·马丁公司的Kill Chain（杀伤链）

一个用来描述包含多个攻击步骤的多步攻击模型.注：常见的多步攻击模型包括信息收集、工具研发、工具投放、脆弱性利用、后门安装、命令与控制、攻击目标达成等七个步骤。

（2）MITRE公司的ATT＆CK模型

将攻击划分以下阶段进行识别：初始接入Initial Access、(指令)执行 Execution、持久化Persistence、权限提升Privilege Escalation、逃避防御Defense Evasion、获取凭证Credential Access、探索Discovery、横向移动Lateral Movement、(信息、凭据)收集Collection、数据窃取Exfiltration、命令和控制Command and Control。

（3）NSA/CSS技术威胁框架：

侦察、环境预制（添加可利用点、建立跳板、预置载荷）、投递、利用（利用漏洞）、执行、内部侦察（测绘可访问网络、嗅探网络）、提权（利用操作系统漏洞提升权限）、凭证访问、横向移动（远程登录、利用远程服务、写入远程文件共享）、渗出（汇聚数据、压缩数据、传输数据）、命令与控制（C&C）、躲避（规避数据大小限制、加密数据、仿冒合法流量、使用rootkit、将文件存储在非常规的位置、根据环境调整行为）。

1.6 备注

Ø APT组织首先要达到最终的攻击效果（窃取目标的敏感数据），在实际攻击过程中同时要花费足够精力避免被发现和追溯，尽量隐藏或消除留下的痕迹，采用更新的技术方法避免追溯到其组织身份。

Ø APT攻击说到底还是资源的对抗，攻防双方都会基于成本去考虑问题。针对目标的价值不同、防御能力不同而投入不同的攻击成本是攻击方的一个策略。

Ø 供应链攻击：利用控制供应链来实现对目标系统的攻击，是近年比较有效的一种攻击方式。

Ø 恶意程序在窃取数据时候，利用ssl证书对流量进行加密传输，以规避安全系统的监测是这两年越来越多的一种方式。Feed威胁情报系统：已经支持恶意证书指纹的查询。防护方可以通过流量还原证书以及主动探测获取的证书信息，结合威胁情报平台的恶意证书指纹库进行对比分析。

---

2. Campaign（攻击活动或网络战役）

2.1 基本描述

可以翻译成攻击活动或网络战役。Campaign是描述一系列针对特定目标的恶意行为或一段时间内发动的攻击。一次APT攻击活动就像军事上针对特定目标的定点打击或间谍渗透，类似一次攻击战役。通常将攻击者或其实施的攻击行动赋予独有的代号进行识别。例如，某攻击者使用一组特定的TTP（恶意软件和工具）以某个特定目的攻击一个工业部门，那么这就是一次“XXXX活动”。

2.2 标签

标准中暂无规定该构件的标签。

2.3 特定字段

name, description, aliases（别名࿰