美国联邦政府威胁信息共享与协作概貌

美国联邦政府威胁信息共享与协作概貌

发布时间：2015-05-07 11:06:00 来源：博客作者：佚名

关键字：网络攻击生命周期网络杀伤链威胁情报信息共享

0 引言

当今，互联网已与我们的生活融为一体，使我们充分感受到其带来的便利，但同时也看到全球互联网安全事件频发，使我们面临日益严峻的互联网安全威胁的挑战。在活跃的网络威胁环境中，有效的安全事件检测和响应是我们面临的持续挑战，依靠个体力量已无法有效防止和应对安全事件，对安全事件及时、有效的响应需要各种机构间进行信息共享、沟通、互动与协作，需要积极的国际合作。信息共享与协作提供了增强机构网络安全能力的有效方法。建立机构间共享关系并进行安全事件协同响应，将为机构提供获取原本无法获得和使用的威胁情报和工具的机会。机构可以通过使用共享资源，利用合作伙伴的知识、经验和能力，改善其自身的网络安全状况。

2014年10月，NIST发布SP 800-150《网络威胁信息共享指南》〔1〕，通过讨论信息共享与事件协作的利益和挑战，研究信息共享体系结构，探讨机构网络安全能力成熟度对其参与信息共享与协作的影响，并提出参与信息共享的具体考虑，帮助联邦机构在网络攻击全生命周期中建立、参与和维护信息共享关系，与外部机构沟通、协调，管理事件影响。其目标是通过引入安全、有效的信息共享实践，提供信息共享方案规划、

实施和维护的指导，为提高机构网络运营防御和事件响应活动的效率和效果提供指南。

2014年11月21日，在世界互联网大会“网络空间安全和国际合作”分论坛上，中央网信办网络安全协调局局长赵泽良发出倡议，提出在当前新形势下开展国际网络安全合作，共享信息，联手应对，共同构建和平、安全、开放、共赢的网络空间〔2〕。可以预见，信息共享与安全协作必将成为我国有效防止和应对网络威胁的关键举措，本文试图描绘美国联邦政府威胁信息共享与协作概貌，希望能对我国的信息共享与安全协作相关工作提供参考。

1 信息共享与协作的优势与挑战

一、信息共享与协作的优势

在整个安全事件响应生命周期中进行信息共享与协作的优势包括：

l 提高共享态势感知能力。通过信息共享，充分利用合作伙伴的知识、经验和分析能力，从而提高各机构的安全态势感知和防御能力。

l 增强对威胁的认识。通过开发和共享威胁信息，获得对威胁环境更全面的了解，从而能够根据威胁环境的变化，制定和部署安全控制、对策、检测方法、纠正措施等。

l 促进信息的聚合。对看似无关的原始情报进行共享和分析，使其彼此关联，构建健壮的与某个特定事件或威胁相关的信息集，促进对信息之间关联关系的深刻理解。

l 提高防御敏捷性。随着网络安全技术的进步，对手不断调整其战术、技术和程序(TTP，Tactics、Techniques and Procedures)来对抗网络防护者实施的保护和检测措施。通过信息共享与协作，使机构能够快速检测并响应对手TTP的变化，实施主动网络安全策略。

l 提高机构决策能力。利用和依据共享信息，使机构能够更好的理解对手，预测其行动，更快速和自信地做出决定，并在其行动前部署防御措施。

l 高效处理信息需求。信息共享是报告或调查网络安全事件的重要活动。

l 快速通报安全事件。当事件导致有关另一方的信息被发布时，快速通知其受影响的客户或业务伙伴。

二、信息共享与协作的挑战

尽管信息共享与协作具有明显优势，但也存在一些必须考虑的挑战，包括：

l 法律和机构限制。机构的行政和法律团队可能出于技术保护、法律或隐私等问题的考虑，限制机构可以共享的信息类型。

l 信息披露风险。信息的共享可能使贡献者承受暴露机构防护或侦测能力的风险，还可能导致对手转移威胁。

l 隐私保护。机构可能公开参与信息共享，但对其贡献保持匿名。由于无法查询信息的来源或了解信息的原始背景和出处，这种信息可能限制其对他人的有用性。

l 信息生成。机构生成信息须具备必要的基础设施、工具和培训。虽然基本的事件数据容易生成，但诸如对手动机和TTP等信息的生成通常需要更大的努力。

l 信息利用。要利用和体现共享信息的价值，机构须具有访问外部资源以及将信息合并到本地决策过程中的所需的基础设施。

l 互操作性。标准化的数据格式和传输协议有助于促进机构、存储库和工具间事件数据安全、自动交换所需的互操作性，但需要仔细分析统一格式和协议的成本和效益。

l 信息保密。从政府渠道获得的信息可能被标记为机密信息，使机构难以使用。对于机构来说，请求和维护持续访问机密信息源所需的审查是昂贵和费时的。

l 建立信任关系。信任关系形成信息共享与协作的基础，但建立和维护信任关系可能是耗时的。

2 网络攻击生命周期

信息共享与协作涉及整个网络攻击生命周期。网络攻击的规模、范围、复杂性和频率在持续增长，被动防御已不能适应处理利用先进工具、零日攻击和先进的恶意软件破坏系统和网络的高级持续威胁(APT)的需要。网络攻击生命周期模型虽然不能完全预测对手的行为，但为分析潜在威胁提供了一个简单，且非常有用的抽象概念。当前已有许多网络攻击生命周期的模型，包括洛克希德·马丁的“网络杀伤链”〔3〕(见图1)和NIST SP 800-115〔4〕提出的攻击阶段步骤等。

图1 网络杀伤链

图1的网络杀伤链描绘了网络攻击的7个阶段：

第1阶段：获取目标。对手识别和选取攻击目标。

第2阶段：准备武器。对手将攻击工具包装进将在目标计算机/网络上执行的有效载荷中。

第3阶段：分发武器。对手将有效载荷分发到目标系统。

第4阶段：启动武器。对手执行其安装在目标系统上的代码(攻击工具包)。

第5阶段：安装木马或后门。对手安装能够在目标环境或系统中持久存在的远程访问工具软件。

第6阶段：建立指挥和控制通道。对手利用远程访问机制，建立到达已攻击成功的设备的指挥和控制通道。

第7阶段：对目标采取行动。对手实现既定目标，如：进行数据抽取、横向扩展攻击目标，开辟新的杀伤链等。

网络攻击生命周期的每个阶段对于网络防护者来说都是一个采取行动应对对手的机会。网络防护者通过使用网络攻击生命周期，结合内部和外部威胁情报，可以制定在网络攻击生命周期的早期(即在攻击发生前)击败对手的主动事件响应策略。