美國一些媒體已開始將2015年稱為"威脅情報共享元年"，威脅情報共享的概念也頻繁在新聞里刷臉。盡管今年上半年幾乎沒有什么新規(guī)范出來，但是由于部分人在威脅情報共享方面的努力，讓更多人開始了解并關注這個領域。

IBM Security Systems X-Force的高級研究員Doug Franklin把安全從業(yè)者之前一直關注的統(tǒng)稱為DHS規(guī)范，因為這是美國國土安全部(DHS)在引導著這些社區(qū)驅動的努力成果。 這些規(guī)范包括知名的CVE、CVSS等等。而最近，諸如 CybOX, STIX and TAXII也開始進入大家的關注范圍。

CybOX

Cyber Observable eXpression (CybOX) 規(guī)范定義了一個表征計算機可觀察對象與網絡動態(tài)和實體的方法?？捎^察對象包括文件，HTTP會話，X509證書，系統(tǒng)配置項等。CybOX 規(guī)范提供了一套標準且支持擴展的語法，用來描述所有我們可以從計算系統(tǒng)和操作上觀察到的內容。在某些情況下，可觀察的對象可以作為判斷威脅的指標，比如Windows的RegistryKey。這種可觀察對象由于具有某個特定值，往往作為判斷威脅存在與否的指標。IP地址也是一種可觀察的對象，通常作為判斷惡意企圖的指標。

STIX

Structured Threat Information eXpression (STIX) 提供了基于標準XML的語法描述威脅情報的細節(jié)和威脅內容的方法。STIX支持使用CybOX格式去描述大部分STIX語法本身就能描述的內容，當然，STIX還支持其他格式。標準化將使安全研究人員交換威脅情報的效率和準確率大大提升，大大減少溝通中的誤解，還能自動化處理某些威脅情報。實踐證明，STIX規(guī)范可以描述威脅情報中多方面的特征，包括威脅因素，威脅活動，安全事故等。它極大程度利用DHS規(guī)范來指定各個STIX實體中包含的數據項的格式。

TAXII

Trusted Automated eXchange of Indicator Information (TAXII) 提供安全的傳輸和威脅情報信息的交換。很多文章讓人誤以為TAXII只能傳輸TAXII格式的數據，但實際上它支持多種格式傳輸數據。當前的通常做法是用TAXII來傳輸數據，用STIX來作情報描述，用CybOX的詞匯。

TAXII在標準化服務和信息交換的條款中定義了交換協議，可以支持多種共享模型，包括hub-and-spoke，peer-to-peer，subscription。

TAXII在提供了安全傳輸的同時，還無需考慮拓樸結構、信任問題、授權管理等策略，留給更高級別的協議和約定去考慮。

其它規(guī)范

不難看出，目前大量文章內容聚焦在STIX，TAXII，CybOX。有些文章甚至都沒提到扮演著同樣重要角色的CVE和CVSS。另外，還有很多DHS的補充性規(guī)范也經常被所謂的“專家”所忽視。

Common Platform Enumeration(CPE)和Common Configuration Enumeration(CCE)規(guī)范了平臺和配置的描述標準，就像CVE規(guī)范了漏洞的描述標準一樣。Common Configuration Scoring System(CCSS)則提供了一套基于CVSS的指標。

其他規(guī)范包括：

Common Weakness Enumeration (CWE) 定義了通用軟件設計與實現的弱點，安全漏洞往往是由這些弱點而來的。

Common Attack Pattern Enumeration and Classification (CAPEC) 提供了一個與跨事件攻擊相似的功能。

Malware Attribute Enumeration and Characterization (MAEC) 可用于描述惡意軟件的信息，類似于CVE和漏洞之間的關系。

Open Vulnerability Assessment Language (OVAL) 為評估漏洞范圍和影響提供了一個框架。

當然還有其他的規(guī)范和標準，就不一一列舉了。所有這些規(guī)范的目標都是覆蓋更全面的安全通信領域，并使之成為一種標準化的東西。

美國政府和威脅情報

美國的標準化工作和努力緊密圍繞Defense Information Systems Agency(國防信息系統(tǒng)局，簡稱DISA)和美國National Institute of Standards and Technology(國際標準與技術研究院，簡稱NIST)。 NIST主要制定系統(tǒng)安全的規(guī)范，特別是網絡安全框架規(guī)范，并主管計算機安全資源中心。 DISA則負責制定Secure Technical Implementation Guides (安全技術實施指南，簡稱STIGs)來規(guī)范信息系統(tǒng)的安全安裝與維護。這些高級術語可不止是表面功夫，它們指代了包含技術指導在內的多種標準，允許安裝和維修人員鎖定系統(tǒng)，否則可能容易受到攻擊。

最近，這些組織已經完全支持NIST 的Security Content Automation Protocol (安全內容自動化協議，簡稱SCAP)。National Vulnerability Database (國家漏洞數據庫，簡稱NVD) 提供官方 SCAP 映射層。這個開放標準的套件目的是：讓安全配置的管理和測量能像威脅情報共享一樣自動化。

雖然不是經常被提起，但STIX協議可以和其他方式一樣，輕松地封裝SCAP的payloads。事實上，來自DHS系列中的很多標準其實都已經被SCAP覆蓋到了。SCAP實際包含以下的標準：

CVE

CCE(通用配置列表標準)

CPE

CVSS

CCSS

OVAL

Extensible Configuration Checklist Description Format (可擴展性配置清單描述格式標準，簡稱XCCDF)

Open Checklist Interactive Language ​(開放檢查表交互式語言，簡稱OCIL)

上述的除了XCCDF，OCIL和CCSS來自DHS系列標準，剩下的都是NIST定義的。XCCDF給系統(tǒng)配置規(guī)則的結構化集合提供了一個標準的描述。該標準支持自動化信息交換，合規(guī)測試與評分，同時大家仍然可以根據具體需求來作定制化開發(fā)。與DHS的安全威脅情報系列標準相比，XCCDF與DHS系列中的CCE僅存在少量差異。幸運的是，這是SCAP覆蓋的內容和DHS系列規(guī)范中唯一的明顯差異。

OCIL提供了一個標準化的框架，以描述清單問題和解答問題的步驟，而CCSS有一套指標來衡量軟件配置問題的安全性。它從公認的CVSS規(guī)范衍生出來，并提供類似的功能。

MILE

Managed Incident Lightweight Exchange (輕量級交換托管事件，簡稱MILE) 封裝的標準涵蓋了與DHS系列規(guī)范大致相同的的內容，特別是CybOX，STIX和TAXII。MILE標準為指標和事件定義了一個數據格式。該封裝還包含了 Incident Object Description and Exchange Format (事件對象描述和交換格式,簡稱IODEF)。IODEF合并了許多DHS系列規(guī)范的數據格式，并提供了一種交換那些可操作的統(tǒng)計性事件信息的格式，且支持自動處理。它還包含了IODEF for Structured Cybersecurity Information(結構化網絡安全信息，簡稱IODEF-SCI)擴展和Realtime Internetwork Defense (實時網絡防御，簡稱RID)，支持自動共享情報和事件。

更多

在美國還有許多其他的努力，無論是在現有的標準和規(guī)范的覆蓋面下填補感知的差距或糾正他們的缺陷。Mandiant開發(fā)的Open Indicators of Compromise(開放妥協的指標，簡稱OpenIOC)規(guī)范提供了一個對于妥協的指標技術細節(jié)的詞匯表。它與CybOX有一些重疊，但也擴展了可用的詞匯。

Verizon公司創(chuàng)造的Vocabulary for Event Recording and Incident Sharing(事件記錄和事故共享詞匯，簡稱VERIS) 定義了一個用于描述安全事件的詞匯表。就OpenIOC而言，它跟CybOX也有一些重疊，但它也擴展了可用的詞匯。

最后，US-CERT開發(fā)了Traffic Light Protocol (紅綠燈協議，簡稱TLP)。這個規(guī)范提供了一組名稱，而不是一個數據格式，但是可以簡單的被包含在任何相關的標準或規(guī)范之中。TLP將可能被共享的情報分類，以控制共享范圍。它定義了四個層次的共享(對應四種顏色)：

紅色：該項目不能共享。

黃色：該項目只能在產生的組織內共享。

綠色：該項目可以在組織外部共享，但有范圍限制。

白色：該項可被廣泛共享。

總結

Doug認為，無論是威脅情報共享的概念還是實踐，還都不具有革命性的意義?，F在可以看到越來越多的信息泄露的新聞，更多的還藏在水面下未被報道。攻擊者最近頻繁得手，而信息安全從業(yè)者作為防御方需要考慮如何反擊。善用威脅情報共享，便可以幫助我們扭轉局面。在需求如此明顯的情況下，圍繞著威脅情報共享的活動會越來越豐富。老美當前的做法是，推動威脅情報數據的獲取、封裝和消費的項目，并將這些項目成果融合成標準和規(guī)范，來推動威脅情報共享事業(yè)的發(fā)展。

在中國，我們也發(fā)現越來越多的安全圈朋友開始思考以何種方式共享威脅情報。感興趣的朋友可以評論留言或者發(fā)郵件至share#sobug.com，Sobug考慮組織下圓桌討論：)

【譯文出自SOBUG眾測平臺 翻譯：水母干 安全脈搏TeacherYang編輯整理】

原文鏈接：http://securityintelligence.com/navigating-a-sea-of-threat-intelligence-specifications/#.VZCsXPnvPIX 原作者：DOUG FRANKLIN