本文浅析安全威胁情报共享框架OpenIOC,它旨在解决安全情报分享的延迟问题,提高事件响应效率。OpenIOC由MANDIANT公司开发,提供了一种机器可读的格式来共享和描述安全情报,基于XML实现。文章介绍了IOC概念、OpenIOC的结构、工作流程及使用工具,强调了其在安全事件响应和防范中的作用。
Outline:
1. Instruduction
2. IOC & OpenIOC
3. IOC Functionality
4. OpenIOC对行为的描述
5. IOCs in the Investigative Lifecycle
6. OpenIOC Tools一、OpenIOC背景介绍
在当今的安全威胁环境下,为了应对更加复杂的攻击(如APT),如何便捷地分享、交流安全情报成为针对特定目标攻击检测、响应和防止的关键问题。传统地解决方案是先从主机或者网络中收集威胁情报信息,然后采用特定的技术规范描述,形成书面的报告分发共享给其它相关人员。这种做法最明显的问题是时间延迟非常高。因为即使在一个组织内部,情报共享的效率完全依赖于员工阅读和分发报告的能力,每次消息的传递都在增加安全事件的响应延迟。因此常见的情况是,当组织开始对事件响应时,所依据的信息往往已经过时,而且攻击早已在网络中蔓延造成了损失。
基于此,MANDIANT公司基于多年的数字取证技术的积累,将使用多年的情报规范开源后形成OpenIOC(Open Indicator of Compromise)框架,作为现实可用的安全情报共享规范。OpenIOC本身是一个记录、定义以及共享安全情报的格式,它可以帮助你借助机器可读的形式实现不同类型威胁情报的快速共享。OpenIOC本身是开放、灵活的框架,因此你随时可以根据发现添加新的情报,完善你的IOC(Indicator of Compromise)。
【关于MANDIANT】
该公司被众人所知是从其发布报告称中国RPC针对美国进行APT攻击开始。其具有以下几个特点:
1. MANDIANT创始人系特工出身:Kevin Mandia于2004年创立该公司,目的是帮助企业侦测、快速反应可能存在的网络入侵。Kevin有20年的信息安全从业经历,曾工作与五角大楼第七通信部任计算机安全官员,之后又加入了美国空军特别调查办公室(AFOSI);
2. MANDIANT公司开在中情局附近,而大多数安全公司都是扎堆在西海岸;
3. MANDIANT是获得FBI承认的“具备参与执法资格”的公司;
4. MANDIANT的业务主要是安全事件响应,现已被FireEy
最低0.47元/天 解锁文章
扫一扫
335
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
