網(wǎng)絡(luò)威脅信息指可幫助組織識(shí)別、評(píng)估、監(jiān)控及響應(yīng)網(wǎng)絡(luò)威脅的任何信息。此類信息包括攻陷指標(biāo)(indicator of compromise，亦有譯為“攻擊指示器”、“入侵指示器”的)、威脅源起方(threat actor)使用的策略、技術(shù)與過程(TTP)、檢測(cè)、控制或防護(hù)攻擊的建議方法以及安全事件分析結(jié)果。網(wǎng)絡(luò)威脅信息的共享可同時(shí)提高分享組織與其他組織的安全狀況。本文為建立、參與網(wǎng)絡(luò)威脅信息共享關(guān)系提供了指導(dǎo)，幫助組織設(shè)定信息共享目標(biāo)、識(shí)別網(wǎng)絡(luò)威脅信息源、確定信息共享活動(dòng)范圍、制定威脅信息發(fā)布與分發(fā)規(guī)則、加入現(xiàn)有共享社團(tuán)、有效利用威脅信息，以支持其總體網(wǎng)絡(luò)安全實(shí)踐。

網(wǎng)絡(luò)攻擊日益頻繁，復(fù)雜度也與日俱增，為組織保護(hù)數(shù)據(jù)及系統(tǒng)免受強(qiáng)大的威脅源起方的攻擊帶來了巨大挑戰(zhàn)。這些威脅源起方或?yàn)樽灾靼l(fā)起攻擊的個(gè)人攻擊者，或?yàn)橛谐渥阗Y源、行動(dòng)一致的群體，多為犯罪集團(tuán)成員或代表某國(guó)政府利益。威脅源起方持續(xù)發(fā)起攻擊，動(dòng)機(jī)明確，動(dòng)作敏捷，使用各種TTP入侵系統(tǒng)、中斷業(yè)務(wù)、進(jìn)行金融詐騙、泄露或竊取知識(shí)產(chǎn)權(quán)及其他敏感信息?？紤]到這些威脅所帶來的風(fēng)險(xiǎn)，組織應(yīng)更加重視共享網(wǎng)絡(luò)威脅信息，利用這些信息提高自己的網(wǎng)絡(luò)防護(hù)能力。

網(wǎng)絡(luò)威脅信息指可幫助組織識(shí)別、評(píng)估、監(jiān)控及響應(yīng)網(wǎng)絡(luò)威脅的任何信息，包括指標(biāo)(與攻擊相關(guān)的系統(tǒng)組件或可觀察事件(observable))、TTP、安全警報(bào)、威脅情報(bào)報(bào)告、推薦安全工具配置等。多數(shù)組織在信息技術(shù)與安全運(yùn)營(yíng)實(shí)踐中，生成了各種網(wǎng)絡(luò)威脅信息在內(nèi)部共享。

通過與共享社團(tuán)其他參與者交流網(wǎng)絡(luò)威脅信息，組織可利用共享群體的集體知識(shí)、經(jīng)驗(yàn)及能力，更全面地了解所面臨的威脅。組織可利用這些知識(shí)，基于威脅信息，對(duì)防護(hù)能力、威脅檢測(cè)技術(shù)及緩解策略進(jìn)行決策。通過關(guān)聯(lián)、分析從多個(gè)數(shù)據(jù)源獲得的網(wǎng)絡(luò)威脅信息，組織可豐富已有信息，使其更具有操作性。要豐富已有信息，可獨(dú)立確認(rèn)其他社團(tuán)成員的觀察結(jié)果或通過減少含糊之詞及錯(cuò)誤提高威脅信息的整體質(zhì)量。共享社團(tuán)成員在接收信息后修復(fù)威脅，抑制了威脅的傳播能力，這為其他成員(甚至是未收到網(wǎng)絡(luò)威脅信息或收到但并未響應(yīng)的成員)提供了一定程度的防護(hù)能力。此外，通過共享網(wǎng)絡(luò)威脅信息，組織可更有效地檢測(cè)針對(duì)特定行業(yè)、業(yè)務(wù)實(shí)體或社會(huì)團(tuán)體的攻擊活動(dòng)。

本文旨在幫助組織建立、參與網(wǎng)絡(luò)威脅信息共享關(guān)系，介紹了共享的益處與挑戰(zhàn)，明確了信任的重要性，梳理了處理數(shù)據(jù)時(shí)需考慮的具體事項(xiàng)。作為指導(dǎo)性文件，本文討論了如何通過安全有效的信息共享實(shí)踐來促進(jìn)網(wǎng)絡(luò)安全運(yùn)營(yíng)與風(fēng)險(xiǎn)管理活動(dòng)，幫助組織規(guī)劃、實(shí)施與維護(hù)信息共享。

NIST鼓勵(lì)組織間進(jìn)行更廣泛的網(wǎng)絡(luò)威脅信息共享，一方面，組織可以從其他組織獲取威脅信息，另一方面，組織可將內(nèi)部產(chǎn)生的威脅信息提供給其他組織。組織可參考如下建議，更有效地利用信息共享能力：

設(shè)定信息共享目標(biāo)(goals and objectives)，以支持業(yè)務(wù)流程與安全指導(dǎo)方案(security policies)

組織的信息共享目標(biāo)應(yīng)對(duì)整體網(wǎng)絡(luò)安全戰(zhàn)略有促進(jìn)作用，可幫助組織更有效地管理網(wǎng)絡(luò)相關(guān)風(fēng)險(xiǎn)。組織應(yīng)將自己?jiǎn)T工及其他人員(如網(wǎng)絡(luò)威脅信息共享組織的成員)的知識(shí)與經(jīng)驗(yàn)結(jié)合起來，共享威脅信息，同時(shí)按照安全、隱私及合規(guī)性要求進(jìn)行運(yùn)營(yíng)。

識(shí)別內(nèi)部現(xiàn)有的網(wǎng)絡(luò)威脅信息源

組織應(yīng)識(shí)別當(dāng)前收集、分析及存儲(chǔ)的威脅信息。在庫(kù)存流程中，組織應(yīng)確定如何使用信息。具體說，基于網(wǎng)絡(luò)威脅信息，組織可識(shí)別機(jī)遇，優(yōu)化決策流程，制定從其他(或?yàn)橥獠?來源或通過部署額外工具或傳感器獲得威脅信息的策略，判斷哪些威脅信息可與外界共享。

指定信息共享活動(dòng)范圍

組織信息共享活動(dòng)的范圍應(yīng)與組織的資源、能力及目標(biāo)相匹配。信息共享工作應(yīng)聚焦于能為組織及其共享合作伙伴帶來最大價(jià)值的活動(dòng)。確定范圍時(shí)，應(yīng)判斷哪類信息可經(jīng)組織關(guān)鍵利益主體授權(quán)進(jìn)行共享、此類信息在哪些情況下可進(jìn)行共享以及信息可以并應(yīng)該共享給誰。

制定信息共享規(guī)則

共享規(guī)則旨在控制威脅信息發(fā)布和分發(fā)，防止傳播敏感信息(這些信息若被不當(dāng)披露，可能會(huì)為組織、客戶或業(yè)務(wù)合作伙伴帶來不利影響)。信息共享規(guī)則應(yīng)考慮到接收人的可信性、共享信息的敏感性以及共享(或不共享)某類信息的潛在影響。

參與信息共享工作

組織應(yīng)判斷哪些共享活動(dòng)可作為對(duì)現(xiàn)有威脅信息能力的補(bǔ)充，并積極參與這樣的活動(dòng)。為了滿足運(yùn)營(yíng)需要，組織或需要加入各種信息共享論壇，包括公共或私有社團(tuán)、政府知識(shí)庫(kù)(repository)、商業(yè)網(wǎng)絡(luò)威脅情報(bào)流以及諸如公開網(wǎng)站、博客與數(shù)據(jù)流之類的公開源。

通過提供額外上下文、修訂或建議優(yōu)化措施，設(shè)法豐富指標(biāo)

組織應(yīng)盡可能編制元數(shù)據(jù)，為每個(gè)指標(biāo)提供上下文，描述指標(biāo)應(yīng)如何使用、理解，以及它與其他指標(biāo)的關(guān)系。此外，共享流程應(yīng)包括指標(biāo)發(fā)布、指標(biāo)與相關(guān)元數(shù)據(jù)更新、錯(cuò)誤或無意誤共享的信息撤回機(jī)制。這樣的反饋對(duì)于社團(tuán)內(nèi)部共享指標(biāo)的豐富、成熟與質(zhì)量提升發(fā)揮著重要的作用。

利用自動(dòng)化安全機(jī)制發(fā)布、使用、分析與響應(yīng)網(wǎng)絡(luò)威脅信息

使用標(biāo)準(zhǔn)化數(shù)據(jù)格式與傳輸協(xié)議共享網(wǎng)絡(luò)威脅信息可簡(jiǎn)化威脅信息處理的自動(dòng)化過程。使用自動(dòng)化手段，可減少人為干預(yù)，快速共享、轉(zhuǎn)換、豐富與分析網(wǎng)絡(luò)威脅信息。

主動(dòng)制定網(wǎng)絡(luò)威脅共享協(xié)議

組織應(yīng)提前規(guī)劃，在安全事件發(fā)生前制定共享協(xié)議，而不是在網(wǎng)絡(luò)安全事件發(fā)生時(shí)才倉(cāng)促草就。提前規(guī)劃可確保參與組織明白其角色、職責(zé)與信息處理要求。

保護(hù)敏感網(wǎng)絡(luò)威脅信息的安全與隱私

在處理網(wǎng)絡(luò)威脅信息時(shí)可能會(huì)涉及個(gè)人驗(yàn)證信息(PII)、知識(shí)產(chǎn)權(quán)及商業(yè)秘密等敏感信息。這些信息若不當(dāng)披露則會(huì)導(dǎo)致經(jīng)濟(jì)損失，違反法律、法規(guī)、合同，引起法律訴訟，或損害組織聲譽(yù)。因此，組織應(yīng)實(shí)施必要的安全與隱私控制措施及操作規(guī)程以保護(hù)信息不被非法泄露或修改。

持續(xù)支持信息共享活動(dòng)

每個(gè)組織都應(yīng)制定信息共享計(jì)劃，為持續(xù)的基礎(chǔ)設(shè)施維護(hù)與用戶支持做準(zhǔn)備。計(jì)劃內(nèi)容應(yīng)包括如何收集、分析內(nèi)外部威脅信息以及在制定與部署防護(hù)措施時(shí)如何使用這些信息，方法應(yīng)具有可持續(xù)性，以保證資源充分，能滿足收集、存儲(chǔ)、分析與傳播網(wǎng)絡(luò)威脅信息的需要。

計(jì)算機(jī)系統(tǒng)技術(shù)報(bào)告

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)信息技術(shù)實(shí)驗(yàn)室(ITL)為美國(guó)的測(cè)量和標(biāo)準(zhǔn)基礎(chǔ)架構(gòu)提供技術(shù)領(lǐng)導(dǎo)，促進(jìn)美國(guó)經(jīng)濟(jì)與公共福利。ITL負(fù)責(zé)開發(fā)測(cè)試項(xiàng)目、制定測(cè)試方法，并提供參考數(shù)據(jù)、概念驗(yàn)證實(shí)現(xiàn)和技術(shù)分析來推動(dòng)信息技術(shù)的發(fā)展和生產(chǎn)應(yīng)用。ITL的職責(zé)包括制定管理、行政、技術(shù)及物理方面的標(biāo)準(zhǔn)和指南，實(shí)現(xiàn)經(jīng)濟(jì)高效的安全，并保護(hù)聯(lián)邦信息系統(tǒng)中非國(guó)家安全相關(guān)信息的隱私。SP 800系列文件聚焦于ITL在信息系統(tǒng)安全方面的研究、指導(dǎo)和外展活動(dòng)以及聯(lián)合業(yè)界、政府和各學(xué)術(shù)機(jī)構(gòu)開展的協(xié)作活動(dòng)。

免責(zé)聲明

本文原文來自于互聯(lián)網(wǎng)的公共方式，由“安全加”社區(qū)出于學(xué)習(xí)交流的目的進(jìn)行翻譯，而無任何商業(yè)利益的考慮和利用，“安全加”社區(qū)已經(jīng)盡可能地對(duì)作者和來源進(jìn)行了通告，但不保證能夠窮盡，如您主張相關(guān)權(quán)利，請(qǐng)及時(shí)與“安全加”社區(qū)聯(lián)系。

“安全加”社區(qū)不對(duì)翻譯版本的準(zhǔn)確性、可靠性作任何保證，也不為由翻譯不準(zhǔn)確所導(dǎo)致的直接或間接損失承擔(dān)責(zé)任。在使用翻譯版本中所包含的技術(shù)信息時(shí)，用戶同意“安全加”社區(qū)對(duì)可能出現(xiàn)的翻譯不完整、或不準(zhǔn)確導(dǎo)致的全部或部分損失不承擔(dān)任何責(zé)任。用戶亦保證不用做商業(yè)用途，也不以任何方式修改本譯文，基于上述問題產(chǎn)生侵權(quán)行為的，法律責(zé)任由用戶自負(fù)。