wordpress apache shell 微软 Ubuntu centos Android 程序员 开源 php 编程 Windows google Python Firefox java nginx linux 云计算 mysql

網絡威脅信息共享指南

網絡威脅信息指可幫助組織識別、評估、監控及響應網絡威脅的任何信息。此類信息包括攻陷指標(indicator of compromise,亦有譯為“攻擊指示器”、“入侵指示器”的)、威脅源起方(threat actor)使用的策略、技術與過程(TTP)、檢測、控制或防護攻擊的建議方法以及安全事件分析結果。網絡威脅信息的共享可同時提高分享組織與其他組織的安全狀況。本文為建立、參與網絡威脅信息共享關系提供了指導,幫助組織設定信息共享目標、識別網絡威脅信息源、確定信息共享活動範圍、制定威脅信息發布與分發規則、加入現有共享社團、有效利用威脅信息,以支持其總體網絡安全實踐。

網絡攻擊日益頻繁,復雜度也與日俱增,為組織保護數據及系統免受強大的威脅源起方的攻擊帶來了巨大挑戰。這些威脅源起方或為自主發起攻擊的個人攻擊者,或為有充足資源、行動一致的群體,多為犯罪集團成員或代表某國政府利益。威脅源起方持續發起攻擊,動機明確,動作敏捷,使用各種TTP入侵系統、中斷業務、進行金融詐騙、泄露或竊取知識產權及其他敏感信息。考慮到這些威脅所帶來的風險,組織應更加重視共享網絡威脅信息,利用這些信息提高自己的網絡防護能力。

網絡威脅信息指可幫助組織識別、評估、監控及響應網絡威脅的任何信息,包括指標(與攻擊相關的系統組件或可觀察事件(observable))、TTP、安全警報、威脅情報報告、推薦安全工具配置等。多數組織在信息技術與安全運營實踐中,生成了各種網絡威脅信息在內部共享。

通過與共享社團其他參與者交流網絡威脅信息,組織可利用共享群體的集體知識、經驗及能力,更全面地了解所面臨的威脅。組織可利用這些知識,基於威脅信息,對防護能力、威脅檢測技術及緩解策略進行決策。通過關聯、分析從多個數據源獲得的網絡威脅信息,組織可豐富已有信息,使其更具有操作性。要豐富已有信息,可獨立確認其他社團成員的觀察結果或通過減少含糊之詞及錯誤提高威脅信息的整體質量。共享社團成員在接收信息後修復威脅,抑制了威脅的傳播能力,這為其他成員(甚至是未收到網絡威脅信息或收到但並未響應的成員)提供了一定程度的防護能力。此外,通過共享網絡威脅信息,組織可更有效地檢測針對特定行業、業務實體或社會團體的攻擊活動。

本文旨在幫助組織建立、參與網絡威脅信息共享關系,介紹了共享的益處與挑戰,明確了信任的重要性,梳理了處理數據時需考慮的具體事項。作為指導性文件,本文討論了如何通過安全有效的信息共享實踐來促進網絡安全運營與風險管理活動,幫助組織規劃、實施與維護信息共享。

NIST鼓勵組織間進行更廣泛的網絡威脅信息共享,一方面,組織可以從其他組織獲取威脅信息,另一方面,組織可將內部產生的威脅信息提供給其他組織。組織可參考如下建議,更有效地利用信息共享能力:

設定信息共享目標(goals and objectives),以支持業務流程與安全指導方案(security policies)

組織的信息共享目標應對整體網絡安全戰略有促進作用,可幫助組織更有效地管理網絡相關風險。組織應將自己員工及其他人員(如網絡威脅信息共享組織的成員)的知識與經驗結合起來,共享威脅信息,同時按照安全、隱私及合規性要求進行運營。

識別內部現有的網絡威脅信息源

組織應識別當前收集、分析及存儲的威脅信息。在庫存流程中,組織應確定如何使用信息。具體說,基於網絡威脅信息,組織可識別機遇,優化決策流程,制定從其他(或為外部)來源或通過部署額外工具或傳感器獲得威脅信息的策略,判斷哪些威脅信息可與外界共享。

指定信息共享活動範圍

組織信息共享活動的範圍應與組織的資源、能力及目標相匹配。信息共享工作應聚焦於能為組織及其共享合作夥伴帶來最大價值的活動。確定範圍時,應判斷哪類信息可經組織關鍵利益主體授權進行共享、此類信息在哪些情況下可進行共享以及信息可以並應該共享給誰。

制定信息共享規則

共享規則旨在控制威脅信息發布和分發,防止傳播敏感信息(這些信息若被不當披露,可能會為組織、客戶或業務合作夥伴帶來不利影響)。信息共享規則應考慮到接收人的可信性、共享信息的敏感性以及共享(或不共享)某類信息的潛在影響。

參與信息共享工作

組織應判斷哪些共享活動可作為對現有威脅信息能力的補充,並積極參與這樣的活動。為了滿足運營需要,組織或需要加入各種信息共享論壇,包括公共或私有社團、政府知識庫(repository)、商業網絡威脅情報流以及諸如公開網站、博客與數據流之類的公開源。

通過提供額外上下文、修訂或建議優化措施,設法豐富指標

組織應盡可能編制元數據,為每個指標提供上下文,描述指標應如何使用、理解,以及它與其他指標的關系。此外,共享流程應包括指標發布、指標與相關元數據更新、錯誤或無意誤共享的信息撤回機制。這樣的反饋對於社團內部共享指標的豐富、成熟與質量提升發揮著重要的作用。

利用自動化安全機制發布、使用、分析與響應網絡威脅信息

使用標準化數據格式與傳輸協議共享網絡威脅信息可簡化威脅信息處理的自動化過程。使用自動化手段,可減少人為幹預,快速共享、轉換、豐富與分析網絡威脅信息。

主動制定網絡威脅共享協議

組織應提前規劃,在安全事件發生前制定共享協議,而不是在網絡安全事件發生時才倉促草就。提前規劃可確保參與組織明白其角色、職責與信息處理要求。

保護敏感網絡威脅信息的安全與隱私

在處理網絡威脅信息時可能會涉及個人驗證信息(PII)、知識產權及商業秘密等敏感信息。這些信息若不當披露則會導致經濟損失,違反法律、法規、合同,引起法律訴訟,或損害組織聲譽。因此,組織應實施必要的安全與隱私控制措施及操作規程以保護信息不被非法泄露或修改。

持續支持信息共享活動

每個組織都應制定信息共享計劃,為持續的基礎設施維護與用戶支持做準備。計劃內容應包括如何收集、分析內外部威脅信息以及在制定與部署防護措施時如何使用這些信息,方法應具有可持續性,以保證資源充分,能滿足收集、存儲、分析與傳播網絡威脅信息的需要。

計算機系統技術報告

美國國家標準與技術研究院(NIST)信息技術實驗室(ITL)為美國的測量和標準基礎架構提供技術領導,促進美國經濟與公共福利。ITL負責開發測試項目、制定測試方法,並提供參考數據、概念驗證實現和技術分析來推動信息技術的發展和生產應用。ITL的職責包括制定管理、行政、技術及物理方面的標準和指南,實現經濟高效的安全,並保護聯邦信息系統中非國家安全相關信息的隱私。SP 800系列文件聚焦於ITL在信息系統安全方面的研究、指導和外展活動以及聯合業界、政府和各學術機構開展的協作活動。

免責聲明

本文原文來自於互聯網的公共方式,由“安全加”社區出於學習交流的目的進行翻譯,而無任何商業利益的考慮和利用,“安全加”社區已經盡可能地對作者和來源進行了通告,但不保證能夠窮盡,如您主張相關權利,請及時與“安全加”社區聯系。

“安全加”社區不對翻譯版本的準確性、可靠性作任何保證,也不為由翻譯不準確所導致的直接或間接損失承擔責任。在使用翻譯版本中所包含的技術信息時,用戶同意“安全加”社區對可能出現的翻譯不完整、或不準確導致的全部或部分損失不承擔任何責任。用戶亦保證不用做商業用途,也不以任何方式修改本譯文,基於上述問題產生侵權行為的,法律責任由用戶自負。

延伸阅读

    评论