故事是這樣開始的…
公元前490年,雅典人和看起來強大而不可戰勝的波斯人之間爆發了一場大戰:馬拉松戰役。孤軍作戰,缺少斯巴達人的幫助之下,1萬雅典戰士打敗了大流士王率領的3.5萬大軍。
對當地地理環境的熟悉、技術上的優勢和戰術技巧,讓雅典人圍殲了他們的敵人。2013年,兩位歷史學家將這場戰役描繪成世界歷史的關鍵轉折點之一。他們推測,如果波斯人贏得此戰,民主、自由市場和西方文明的其他標誌性特徵,就將不復存在了。
今天,保護全球關鍵基礎設施的網絡安全專家就好似古時的雅典人:生死存亡大戰下自由社會的守護者。雅典人的技術性優勢包括金屬盾牌、紀律嚴明的組織和忠誠——或許可稱之爲進攻性反制措施。
應對現代攻擊者的進攻性反制措施重要策略之一,是機器可讀威脅情報(MRTI)的實時信息共享。爲有效共享MRTI,各方必須商定一個描述所有數據元素的通用本體。這是網絡威脅分析和共享生態系統中所有產品設計和部署的基礎。
2017年7月,結構化信息系統發展組織(OASIS)的網絡威脅情報技術委員會(CTI TC),通過了用於提供此類本體的 STIX 2.0 委員會規範。CTI TC 由全球公司企業的280名代表組成,完全投身於保護世界通信系統和其他關鍵基礎設施。其中成員包含風險管理人員、威脅分析師、惡意軟件分析師、事件響應從業者、修復動作工程師、數據架構師、數字取證專家和軟件工程師。
STIX 2.0是個概念性數據模型,用於描述攻擊指標(IOC),凸顯網絡攻擊序列中可影響技術棧的其他各種元素。包括攻擊者所用戰術、技術和規程(TTP),威脅執行者的潛在動機和意圖,惡意軟件屬性,受害目標確定的各種特徵,以及其他元素。
STIX 2.0 可將不同元素數據源融合到單一數據集中,以評估其中的關聯性。跨時間、跨惡意的“物理及數字基礎設施”的關聯,可幫助分析師梳理出模式,建立起關於攻擊者及其動機和意圖的有效理論。
爲輔助這一過程,被稱爲威脅情報平臺(TIP)的新一類情報產品應運而生,用於管理這些數據流。典型的TIP可以:
- 查詢綜合數據集,測試分析師關於潛在關聯的假設;
- 用二級、三級關聯豐富原始數據,進一步揭示攻擊者動機和意圖;
- 存儲原始數據和已處理數據,方便訪問、對比和關聯;
- 處理數據,提供分析和報告服務;
- 分析數據,進一步測試有關潛在攻擊者活動的假設。
全球公司企業都在建立內部網絡威脅分析團隊,加入使用這些TIP的正式信息共享信任社區。這些社區內部的IOC共享,賦予了現代防禦者戰術和戰略優勢,用以對抗來自不同地域,有着各種動機的大量攻擊者。
STIX 2.0 是現代防禦者在技術上更爲先進的金屬盾牌。STIX 2.0 用基於JSON的無縫框架更新了基於XML的 1.x 版,以績效爲導向,由全球社區完全審查,很容易集成到現有工作流和技術中,讓公司企業不僅可以共享基本的IOC,還能共享更爲複雜更高階的情報。對攻擊者、目標、行動和入侵集的描述,被很容易地編碼成機器可讀的格式,幫助防禦者基於可用的最大信息量對事件進行排序和響應。
回到我們的類比,人數劣勢而組織性上佔優的雅典人,在馬路上戰役中智取波斯人。在軍號聲的指引下,雅典人盾牌結陣,推進,贏下戰役。
當雅典明顯會贏下馬拉松戰役之時,費迪皮迪茲狂奔42公里報信“我們贏了!”的傳說就此誕生。費迪皮迪茲報完喜訊即疲累而死。
現代馬拉松就是這一跑步過程的再現。
如今,我們開啓了 STIX 2.0 馬拉松之旅!!!!!!!!!