如今社會正面臨著日益復雜多變的新型威脅場景（例如，國家黑客、網絡犯罪、經濟威脅、工業(yè)間諜、黑客行為和恐怖主義），如何進行有效地防御成為網絡安全屆必須面對的難題。面對攻擊，依據傳統(tǒng)思維在安全事件已經發(fā)生后，進行應急響應的成本可謂是巨大的。為改變傳統(tǒng)的事后防御的不利局面，企業(yè)信息安全防護體系建設思路已從被動防御逐步發(fā)展為主動防御。在攻擊者開始進行漏洞利用之前就可以對其進行發(fā)現(xiàn)及遏制，以解決滯后性的威脅檢測及威脅響應。

在這過程中，情報的傳播速度與廣泛程度對于復雜性威脅環(huán)境來說至關重要，因此，建立一個自動化的、幫助人為分析或執(zhí)行的快速防御機制就是首要步驟。

目前成熟的國外威脅情報標準包括網絡可觀察表達式（CyboX）、結構化威脅信息表達式（StructuredThreatInformationeXpression，STIX）以及指標信息的可信自動化交換（TrustedAutomatedeXchangeofIndicatorInformation，TAXII）等。

其中，作為兩大標準，STIX和TAXII的發(fā)展得到了主要安全行業(yè)機構的大力支持，其中包括IBM、HPE、思科和戴爾，大型金融機構以及包括國防部和國家安全局在內的美國政府機構等。

什么是結構化威脅信息表達式（Structured Threat Information eXpression，STIX）？

STIX提供了基于標準XML的語法描述威脅情報的細節(jié)和威脅內容的方法，是基于邊緣和節(jié)點的圖形數據模型。節(jié)點是STIX數據對象（STIX Data Objects ，SDO），邊緣是STIX關系對象（STIX Relationship Objects ，SRO）。

SDO包含以下信息：

攻擊模式；

身份；

觀察到的數據；

威脅行為者；

安全漏洞等；SRO旨在連接SDO，以便隨著時間的推移，用戶將能夠深入地了解威脅行為者及其技術。STIX v2預計將于年底前推出，供應商也正在根據草案版本提供相關支持。

實踐證明，STIX規(guī)范可以描述威脅情報中多方面的特征，包括威脅因素，威脅活動，安全事故等。它極大程度利用DHS規(guī)范來指定各個STIX實體中包含的數據項的格式。

Digital Shadows公司的Holland表示，

“企業(yè)正在意識到要構建成功的威脅情報程序，僅僅依靠技術是不夠的，技術在其中起到促成并加速對人的分析的作用。我們開始看到面向結構化威脅情報表達式(STIX)此類標準后面有更多的牽引力量，這將推動威脅情報從業(yè)人員統(tǒng)一溝通規(guī)則，也將促成執(zhí)行阻攔、偵測和響應敵人的防御功能身手更加敏捷?！笔裁词侵笜诵畔⒌目尚抛詣踊粨Q（Trusted Automated eXchange of Indicator Information，TAXII）？

從TAXII GitHub網站得知，TAXII旨在標準化網絡威脅信息的可信、自動化交換。指標信息的可信自動化交換（TAXII?）為威脅情報服務和消息交換制定了標準。實施后，可助力在不同的組織和產品/服務間共享可操作的網絡威脅信息，以發(fā)現(xiàn)、防御和減輕網絡威脅。

TAXII在標準化服務和信息交換的條款中定義了交換協(xié)議，可以支持多種共享模型，包括hub-and-spoke（軸輔式）、peer-to-peer（P2P）、subscription等。TAXII在提供了安全傳輸的同時，還無需考慮拓樸結構、信任問題、授權管理等策略，留給更高級別的協(xié)議和約定去考慮。

當前的通常做法是用TAXII來傳輸數據，用STIX來作情報描述。

實施

用戶和安全供應商將參與到為威脅情報標準注入新的生命力的過程中。用戶將能夠把匿名數據傳遞給他們的安全供應商，而安全供應商也將能夠快速地共享威脅情報給其他用戶。您將仍然需要購買安全服務，但這些服務作為社區(qū)實時共享威脅和防御數據的一部分，將會更加有效。

目標

網絡犯罪分子日益擴展的利潤鏈，造成了非常嚴重的惡性循環(huán)，利潤可以醞釀更為復雜嚴重的網絡攻擊。但是就像其他任何產品一樣，復雜的惡意軟件必須有利可圖。

如今，一個單一的攻擊向量可以被攻擊者利用幾十次或數百次，為攻擊者創(chuàng)造了極大的利潤。但是，如果一個新的攻擊向量在經歷一兩次攻擊后就失效了，那么他們的盈利能力就會下降。

未來十年，STIX和TAXII等舉措必將成為左右網絡安全戰(zhàn)斗力的重要指標。如果您的公司有合作的安全供應商，請咨詢他們是否了解STIX和TAXII，以及準備如何使用它們。

如何構建更加智能主動的防御體系，還需要結合具體的業(yè)務情景進行不斷研究。隨著威脅情報標準的制定以及大數據實時流處理、機器學習技術的應用，實時動態(tài)感知威脅情報、實時威脅情景學習與預測將使安全防護措施識別攻擊的成功率和精準度進一步提升，促進主動防御體系的進一步成熟。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。