计算机与安全87 (2019) 101589
Thomas D. Wagner, Khaled Mahbub, Esther Palomar, Ali E. Abdallah
伯明翰城市大学,英国伯明翰市科松街B4 7XG
文章历史:
2018年5月6日收到
2019年1月22日已接受修订
2019年8月6日在线提供
关键词:高级持续威胁、网络威胁情报、威胁共享、相关性、信任、匿名、文献调查
目录:摘要
1.简介
2.网络威胁情报共享
2.1 计算机集成技术的自动共享
2.2 CTI共享协作
2.3 CTI指标
2.4 工业部门共享
2.5 CTI共享的好处
2.6 共享CTI的风险
2.7 人在CTI共享中的作用
2.8 文化和语言障碍
3.可操作的网络威胁情报
3.1 共享CTI的及时性
3.2 CTI共享的信任建立
3.3 利益相关者声誉
3.4 CTI的相关性
3.5 隐私和匿名
3.6 数据互操作性
4.网络威胁情报共享法规
4.1 CTI 共享的法律法规
5.总结
6.结论
// 摘要 //
网络威胁情报(CTI)共享已成为网络防御者武器库中的一种新型武器,可主动缓解日益增加的网络攻击。自动化CTI共享甚至基本使用的过程给研究人员和从业人员提出了新的挑战。这份广泛的文献调查探索了当前的最新技术,并探讨了与更大范围的网络威胁情报共享有关的不同关注领域。研究动机源于最近出现的共享网络威胁情报以及自动化流程所涉及的挑战。此项研究包含了大量学术文献和灰色文献(译者注:指介于正式发行的白色文献与不公开出版并深具隐密性的黑色文献之间的文献,虽已出版但难依一般方式购得),并侧重于技术和非技术挑战。此外,研究结果还揭示了被广泛讨论的一些话题,作者和网络威胁情报共享界认为这些也是相关的。©2019艾斯维尔公司保留所有权利
网络威胁情报(CTI)共享有望成为在共享利益相关者中建立态势感知的一种新方法(Sigholm and Bang,2013)。人们认为通过积极主动而非被动的工作来抵御当前和未来的攻击是必要的。相关组织有义务和责任将威胁情报计划作为主动开展网络安全工作的一部分并积极共享这部分信息。在未来,如果利益相关者不共享可影响他人甚至导致违规的已知威胁,很可能会因此被追责。
威胁情报共享背后的核心思想是通过共享有关最新威胁和漏洞的信息,在利益相关方之间创建态势感知,并迅速实施补救措施。此外,CTI可以帮助利益相关者做出战术决策。
对于从业人员来说,执行CTI流程是一项艰巨的任务,需要及时使用和传播信息。利益相关者正试图实现一个恰当地包含CTI且可使相关信息得到关联的系统。大多数从业者在共享自己的CTI之前所面临的最大挑战可能是如何利用信息,即如何理解这些信息并实施相应的补救措施。
文献显示,利益相关者希望参与有效且有针对性的共享过程,但目前比较困难的是缺乏足够的模型和工具(Vazquez et al., 2012)。但是,手动共享是一种广泛使用的方法来交换有关漏洞能力的信息,即在已有信任关系的情况下从利益相关者到利益相关者共享,或者通过诸如信息共享和分析中心(ISAC)之类的受信任组共享利益相关者。目的是在利益相关者之间建立态势感知并尽快向威胁发出警报。
然而,手动共享CTI的方法可能由于以下几个原因而无效:例如,对新威胁的缓慢共享,处理过程中的人为错误率或主观相关性过滤等。因此,将某些过程自动化可能会提高CTI共享的有效性。CTI共享在全球范围内展开,各国对于哪些信息属性被视为私有都具有不同的法律和法规。例如,哪些可以合法共享,哪些必须匿名。
本文献调查的重点是当前可能阻碍共享过程的挑战。威胁信息的可操作性引发各种讨论,反映了以下属性:信任、声誉、相关性、匿名性、及时性和数据互操作性。信任是任何信息共享计划的基础,因此在共享任何关键威胁情报之前必须建立信任关系。文章分析了可能支持或阻碍CTI共享的治理、管理、政策和法律因素。威胁情报大多在国家层面共享,但目前国际交流的势头也越来越大,尤其是在全球运营的大型组织之间。
尽管如此,一些团体还是严格地在国家层面上共享信息,例如英国的网络安全信息共享伙伴关系(CiSP)。为了强调国际利益相关者面临的挑战,本文简要讨论了人机行为以及与CTI共享相关的文化和语言障碍。学者们纷纷提供激励措施,鼓励利益相关者参与威胁共享模型。组织面临的主要挑战是了解CTI共享计划的重要性以及未来的发展趋势,然后投入时间和金钱来构建这样的计划。由于CTI共享及其流程自动化的出现相对较晚,学术文献数量有限,因此灰色文献也被纳入调查范围。
图1 手动威胁情报共享
此图说明了手动威胁情报共享的各种方式
本文其他章节内容概述如下:第2节一般性地阐述了CTI共享,第3节讨论了CTI的可操作性,第4节介绍了相关法规,第5节提供了摘要,最后第6节总结了我们的工作。
在本节中,我们将讨论CTI共享的不同方面,包括自动化、协作、指标、行业部门共享、利益、风险、人的角色以及文化和语言障碍。
CTI不仅仅是信息,它是经过分析并可采取行动的信息(Farnhamand Leune,2013)。当前的共享方法主要基于手动输入,因此工作强度很大。如图1所示,当前的CTI共享是通过电子邮件、电话、网络社区门户(Sander and Hailpern,2015)、共享数据库和数据馈送(Brown et al.,2015)进行的。自动化是应对内部警报和外部接收的漏洞信息泛滥的必要条件(Kijewski and Pawlinski,2014)。近年来,建立半自动CTI交换社区已被证明是一种趋势(Sillaber et al.,2016)。
自动化是成功实现CTI共享的关键,但尚无可用于实现大规模信息共享自动化的机制(Dandurand and Ser-rano,2013)。当前的威胁情报平台提供的自动化机制很有限(Sauerwein et al.,2017)。
根据波尼蒙研究所2014年进行的调查,39%的参与者回答说,缓慢的手动共享过程阻碍了CTI交流的全面参与。24%的参与者回答说缓慢的手动的共享过程让他们根本无法有效共享信息(LLC,2014)。例如,缓慢的手动共享流程可能是复制和粘贴电子表格,或与其他同行会面以交流信息。数据处理主要是手动完成的,因为分析师必须评估问题(Pawlinski et al.,2014),实施解决方案并共享信息。
手动数据准备工作耗时费力,且会使信息迅速过时。分析师必须做好充分准备来和可信任的利益相关者共享信息,不仅要手动准备输出的信息,还要分析接收的情报,内容相关性,对来源和利益相关者的信任,影响以及与利益相关者相关的其他因素。例如,分析结束时的风险优先级可决定CTI的分级。人为错误(如沟通不畅)是可以通过自动化得到限制的(Rutkowskiet al.,2010)。在不久的将来,分析师仍然不会被完全取代,而是可以通过支持系统自动交换、分析和决策来提高信息共享的效率,从而阻止网络攻击。自动化的CTI数据分析、协作和共享对于应对当前和未来的网络攻击势在必行(Vazquez et al.,2012)。
自动化CTI交换的目的是简化和加快共享过程,文档编制,评估,以及安全信息的补救。(Kampanakis,2014)。利益相关者在可用于检测和防御的支出上拥有不同的资源,因而情报在数量和质量上的不平等是可被预见的。
对于不了解财务要求的利益相关者来说,行动方案对于进一步分析威胁信息非常重要。收集过程中的标记和分类对于有效搜索和发现以及通过统计、更高级的数据分析和可视化来识别趋势至关重要(Brown et al.,2015)。缺乏专家来分析大量的威胁 (Moriarty,2013)和由此导致的数据增长(Cormack,2011)更加强调了自动化的必要性。
在美国政府和Mitre开发的通信系统中,结构威胁信息表达(STIX)和可信自动指标信息交换(TAXII)是一种很有前途且被广泛接受的协议,它满足结构化网络安全需求,如分析网络威胁、指定指标模式、管理响应活动和共享网络威胁信息(Appala et al., 2015)。欧洲电信标准协会(ETSI)对欧盟网络和信息安全局(ENISA)建议欧盟成员国实施全球公认的CTI共享标准STIX/Taxi((Rutkowski and Compans,2017)采取后续行动,其他描述和共享CTI的语言已经出版(Rutkowski and Compans,2018)。表1列出了一些最流行的CTI描述和共享语言。优先考虑可操作性高的情报的观点是受到广泛认可的,但也要优先选择应对情报的自动防御(Moriarty,2013)以下案例描述了自动化信息共享:
组织A正在建立一个威胁情报共享计划,以收集有关漏洞的信息。一个威胁情报平台(TIP)用于连接CTI存储库,可视化其内容,并将存档信息与新获得的信息进行关联。组织A从“http://mondaynightfundarts[.]com/images/Nu48djdi”接收到有关“URSIF银行恶意软件下载程序”的信息,但这些程序安装了更多的恶意软件。利益相关者现在可以在系统中搜索受影响的下载程序,并在恶意软件站点受到感染之前将其阻止。
利益相关者之间正在建立CTI共享协作,如点对点、点对中心或混合交换(图2)。
图2 共享模型:该图可视化了CTI共享中的3个常见模型。
这些利益相关者在攻击模式上有着相似的利益,或者属于同一个行业部门。为了更有效,未来的网络生态系统应该包括内置在网络设备中的安全能力,以便在设备社区内和设备社区之间协调预防和防御过程(McConnell,2011)。
为了有效地交换CTI,利益相关者需要使用一种与技术实际耦合的交换模型。大多数利益相关者希望能够共享网络情报,但缺少成功的模型(Vazquez et al.,2012)或是不完整的模型。为了更有效地工作,CTI应该在全球范围内进行交换,但文化差异可能会阻碍威胁情报的交换。挑战在于沟通、语言本身以及对特定专业词汇的理解。成员通常有着不同的背景,甚至说不同的语言,这可能会对知识的质量产生负面影响(Abouzahra and Tan,2014)。
组织不共享CTI的一个常见原因是,他们通常认为自己不拥有什么可值得共享的东西,但竞争对手却利用这些信息来对付它们(Chismon and Ruks,2015)。目前对有效合作的支持非常有限(Dandurand and Serrano,2013)。各国政府可能会强制实施强制性CTI交流,以增强共享,改善CTI质量。强制共享的好处是有关当局可以就如何有效投资于预防和保护措施提出建议,也可以就持续存在的威胁向企业发出警告(Laube andBöhme,2015)。
根据欧洲联盟网络和信息安全局(ENISA)的数据,有80个组织机构和超过50个国家及政府的计算机安全应急小组(CSIRTs)加入了欧盟和欧洲经济区层面的CTI共享(Deloitte et al.,2015 )。许多组织已经发现CTI共享是一个在未来的攻击中生存的必要条件而不是一种时尚。
各国政府,包括欧盟成员国、美国、日本和韩国已经努力加强和扩大信息共享(Goodwin et al.,2015)。根据2012年的一项调查,35%的计算机安全应急小组(CSIRTs)共享他们的事故资料, 33%自动地关联事件,40%使用影子服务器基金会作为外部来源(Kijewski and Pawli ´nski,2014 )。在英国,到2014年,网络安全信息共享伙伴关系(CiSP)倡议有777个组织和2223个个人加入进来去共享关于安全事件的知识(( Murdoch and Leaver,2015)。
不好的一面是,当数据在应用程序级别共享时,协同CTI交换也可能存在隐私风险。它可能包含一些能在黑网上出售的隐私信息(Sharma etal.,2014 )。如果一个组织不参与任何形式的威胁情报共享或消费,那么不断增强的攻击可能会破坏一个无法遗忘的实体。这可以通过生产和消费威胁情报来缓解。资产的损失或损害对一个组织来说可能是毁灭性的,但同样的,随之而来的声誉和品牌损害也能够作为一种刺激引发进一步的损害(Bauer and Van Eeten,2009 )。
在2002年,Edwards等人(2001)的研究提出了一项关于收集、分析和分配CTI的美国专利。这是第一个关于共享安全漏洞信息的框架之一。Kamhoua等人(2015)的研究提出了一个在云端的CTI共享博弈论模型。该模型侧重于CTI的安全性和风险之间的权衡共享。此外,该模型还计算了利益相关者在他们很容易发现时共享CTI的动机。Andrian等人(2017)的工作引入了一种基于利用STIX共享威胁情报的方法的范畴论。此外,作者通过使用功能查询语言(FQL)扩展了他们的模型,使他们的模型更加实用。Mutemwa等人(2017)的研究为发展中国家,即南非,提出了一个的威胁共享模型。该平台侧重于CTI的收集、分析和分类,包括诸如反病毒等外部工具的集成软件和入侵检测系统。前面4篇文章从不同的角度对CTI合作做出了贡献。其中,Edwards et等人(2001)、Kamhoua等人(2015)和Andrian等人(2017)的研究适用于一般性CTI合作;Mutemwa等人(2017)的研究聚焦于与环境需求相关的具体CTI共享协作,即国家具体情况。
CTI包含各种特征,这些特征使它成为真正的情报。恶意的IP地址或散列本身不被认为是CTI,而可能是CTI的一个部分。这些特征可能包括可以与受信任的利益相关者共享的威胁行为者、活动、动机和妥协指标(IoC)的描述。IoCs是最容易操作的CTI特征之一,也是大多数工具的焦点(Farnham and Leune,2013)。
可操作的CTI IoCs通常用于如入侵检测系统(IDS) 、网站拦截、黑洞、识别被压缩的主机和恶意软件( Ciobanu etal.,2014 )等应用中。存储指示器被用于将历史指标与使用大数据技术发现的最新指标联系起来的 CTI库( Chismon and Ruks,2015 )。CTI指标侧重于企业信息技术,而忽略了如物联网、工业物联网和汽车领域的新领域。然而,这些设备或嵌入式设备被连接到后端,并可能受益于面向企业IT的CTI指示器。
政府和组织创建了行业技术共享小组,例如金融、零售、学术、汽车、电力和工业部门的技术共享小组。这些团体正试图缓解行业特定的漏洞(Burger et al.,2014),如金融和零售行业的卡支付漏洞,以及汽车行业的汽车软件漏洞。以下内容用案例描述了汽车行业的一个威胁,以及如何通过共享CTI来减轻威胁:
信息娱乐系统是汽车的一个重要组成部分。它可以通过手机访问,并且可能包含个人身份信息(PII)。手机应用程序中的一个漏洞被汽车ISAC的成员利益相关者A检测到,他立即共享了信息。另一个成员利益相关方B使用了被A提供的信息来检测类似的应用程序中的漏洞。脆弱性因此在被滥用之前得到了改善。
Ahrend等人(2016)的研究将跨域共享描述成“边界对象”,它包括了通常被所有社区理解的社区实践的界限。“边界对象”是指可以被不同的社区或CTI共享行业部门使用的信息 (Star and Griesemer,1989 )。部门共享的好处是可以一起实时解决问题(Goodwin et al.,2015)。此外,由于类似的系统和漏洞,CTI对股东更有意义。组织机构是多种多样的,代表不同的利益(Leszczyna and Wróbel,2014)。因此,通过共享部门和群体,可以实现对威胁和脆弱性的共同关注。
根据Shackleford (2015)的研究,56%的利益相关者从供应商处获得CTI,54%从公共CTI源收集情报,53%从开源信息源收集CTI。Moriarty(2013)的工作分两步描述了CTI共享的核心要素。CTI交换必须是相关的和可操作的,威胁共享模式必须快速、可扩展且自动化。McConnell (2011)的研究重新把CTI共享的核心要素说是安全的、环境可持续的、可快速集中的。如果利益相关者使用不同的数据格式、结构、标签选项,并将数据转化为每个人都能理解的知识,那么信息交换就变得具有挑战性。知识可以在存在之前被外化和重新概念化共享(Vazquez et al,2012)。健康的CTI交换意味着安全交换、环境可持续发展的、可快速定制(McConnell,2011)、正确的标签、匿名性、相关性、信任和一致性。
CTIs战术情报交换包括技术、战术和程序(TTP)和IoCs。IoC可能包含恶意IP地址的信息,这些信息跟某些信息(如与对手技术相关)相比,对共享来说是不重要的(Farnhamand Leune,2013)。然而,战略情报很少被共享,因为它可以揭示利益相关者战略计划的信息(Chismon and Ruks,2015)。Dog等人 (2016)的研究展示了一个来源于入侵检测系统(IDS)日志中的战略CTI共享的案例。这些数据是从蜜罐技术、事故报告和日志等收集的。
共同利益集团或行业部门的建立是为了共享特定的CTI。例如,FI-ISAC要求利益攸关方出席会议,成员如果未能出席连续三次会议,可能会被排除在外 (Deloitteet al., 2015)。Kijewski和Pawlinski (2014)的工作中建议,有理由假设可能会出现利益相关方没有达成使用单一CTI交换标准的协议的情况,这意味着需要采用一个威胁情报平台(TIP去适应不同的标准。
TIPs丰富了市场,使得从业人员难以决定应用哪一个。表2中的TIPs是目前在CTI共享世界中占有一席之地的一些平台。这些平台在布局上略有不同,但提供了相似的能可视化CTI记录、关联、标记、馈送和数据格式支持的功能。
由于缺少激励措施,一些组织仍然不愿共享他们的CTI(Liuet al.,2014),但却期望从社区中的其他同行那里获得知识(Abouzahra and Tan,2014)。一旦一个组织成为网络攻击的受害者,声誉的损失和由此造成的品牌损害可能会鼓励利益相关者在网络安全和共享CTI上投入更多(Bauer and Van Eeten,2009)。自动化本身可以起到激励作用,或者可以实施财务模型(Vazquez et al.,2012 )。另一个激励来自通过在攻击前知道威胁节省共享CTI的成本(Feledi et al.,2013)。成功防御的网络可以有助于服务的正常运行和连续性。Tamjidyamcholo等人(2014)的研究是讨论快乐、热情、能量和幸福感对共享积极性的影响。Naghizadeh and Liu (2016)的工作对披露安全信息的动机进行了重新研究。这项研究使用了一个囚徒困境的场景,揭示了披露成本导致组织表现出搭便车的行为。然而,各组织更希望双方都充分披露CTI。组织是自然异质的,生成和共享情报的能力也不同。因此,同等数量或质量的信息是不现实的。
让组织参与威胁共享协作可能是一项乏味的任务,原因有几个。不适当的威胁共享模型、与竞争对手的共享可能会阻止利益相关者、单向的信息流动(Zheng and Lewis, 2015),揭示数据泄露,以及将时间和金钱投入到威胁情报团队中看起来与投资回报不相称。据推测,成员增加他们的贡献是期望以互惠的形式获得回报(Abouzahra and Tan,2014 )。Xiong 和 Chen (2013)的作品提出了一种从威胁共享社区中分离出来的惩罚模式的建议。如果一个实体决定不共享只消费CTI,那么惩罚机制将撤销他们的许可权。如果利益相关者决定重新加入威胁共享社区,那么在能够消费情报之前,在一个特定时间内他只能贡献情报。美国国会提出了一项税收抵免法案(Cyber Information Sharing Tax Credit Act (USA)),这是对与其他利益相关方共享CTI的组织的税收抵免形式的财政激励。该法案是由参议员Kirsten Gillibrand在2014年7月提出。为股东提供了一个可信的环境是CTI共享的一个关键特征。因此,信任管理可能是利益相关者之间建立合作的一种激励(Garrido-Pelazet al.,2016 )。
CTI共享有望成为网络防御系统的另一个工具,然而它也伴随着一定的风险。与未经授权的利益相关方共享CTI,甚至是组织内部的CTI,可能会成为一种可以阻止利益相关方采取行动的风险(Vazquez et al.,2012)。根据Haass等人(2015)的案例研究,一些组织担心他们如果他们被发现是CTI前变更成员,可能会成为攻击目标。这种担心还没有被任何学术研究证实,也没有任何案例可以证实基于这些担忧的攻击。
Tosh等人(2015)确定了利益相关者在共享CTI时可能面临的三个影响:与竞争对手共享CTI可能会助长搭便车而不与利益相关者或集体共享信息的现象,信任可能会受到侵犯,负面宣传可能会影响市场价值和股票价格。Haustein等人(2013)提出了一个担忧,即披露与事故相关的内部信息可能会损害利益相关者的声誉。内部信息可能包括电子邮件地址、姓名和其他PII信息。被对手拦截的CTI可用于攻击尚未修补其系统的利益相关方(Al-Ibrahim et al., 2017;Mohaisen et al.,2017)。Kokkonen等人(2016)的报告中认为每个共享信息都应该根据其敏感性和影响进行风险计算。CTI共享模型的风险水平值在1(低风险)和20(高风险)之间,如果风险水平不可接受,则消除股东之间的联系。例如,如果利益相关者跨境共享CTI,则自动应用比来自同一国家的利益相关者更高的风险级别。
为了使CTI共享更加有效,相关流程必须尽可能自动化。然而,这一雄心在近几年可能不会完全填满。识别、补救和预防过程仍然需要人工操作(Sander and Hailpern,2015 )。分析师仍有大量的复制和粘贴工作要做,这限制了专注于威胁分析的时间。此外,与其他利益相关者共享有关网络威胁的隐性知识十分困难(Tamjidyamcholo et al.,2014 )。隐性知识在分析师的头脑中,因此难以捕捉和自动化。
一个利益相关者看待威胁的方式可能与另一个利益相关者不同 ( Mann et al.,2011),利益相关者对CTI共享有不同的观点和行为。Anceaume等研究人员 (2005)将行为分为两类,即客观行为和恶意行为。顺从的利益相关者遵守法规政策,恶意的却不。恶意的利益相关者可能会使用收集的CTI攻击顺从的利益相关者。面对面的会议有助于利益相关者之间建立信任。这在开始时可能是必要的,但如果共享过程没有自动化,可能不会被视为有效的(Murdoch and Leaver,2015)。Safa和Von Solms (2016)的工作分析了在CTI共享期间人类的行为。计划行为理论被用来描述员工对企业技术创新共享的承诺。
此外,人类可能隐瞒关于威胁的事实,因为他们由于害怕暴露认为共享是不安全的(Abrams et al.,2003)。Park等人(2014)的研究表明,如果无法获得来自强势节点的信息,寻求信息的利益相关者会转向弱势节点的信息。有人提到,来自弱节点的异构信息可能比来自强节点的同构信息更有用。
CTI交流在全球范围内进行,可能会在利益相关方之间造成文化和语言障碍。共享语言(最有可能是英语)必须被定义,文化方面也必须被定义、被理解和尊重。这些差异可能会对知识质量产生负面影响(Abouzahra and Tan,2014 )。说同一种语言可以鼓励利益相关者共享他们的智慧,并可以促进知识共享过程(Tamjidyamcholo et al.,2013 )。非本族语者可能面临用适当的英语解释威胁的挑战。某些核心特征可能在翻译中丢失,并可能降低CTIs的质量和相关性。如果语言不被利益相关者理解则耗时的翻译必须被启动。Flores等人(2014)的工作对美国和瑞典文化中的CTI共享行为进行了研究。调查结果显示,美国组织倾向于更强的组织和控制关系,而不是协调关系与CTI共享有关的进程;相反,瑞典的组织更倾向于协调过程和CTI共享。
接收和提交关于漏洞的信息需要几个过程,然后才能调用CTI进行操作。ENISA确定可操作的CTI包含五个标准:相关性、时间性、准确性、完整性和可摄入性(Pawlinski et al., 2014)。相当于以前PonemonInstitute的定义,可操作性标准:及时性、优先级、实施,来源的可信度、与行业的相关性、解决威胁的明确指导以及充足的背景(Institute,2014)(图3)。这些属性决定了CTI当前的可操作性。
图3 可操作的网络威胁情报。
绿色表示ENISAs定义;蓝色代表波尼蒙的定义;浅绿色表示ENISAs和Ponemon的重叠定义。(关于颜色的解释)
从这两个定义中,我们可以得出信息的相关性是可操作性的一部分。相关性很可能源于内容相关性,这意味着威胁是系统的风险。相关性可能是完整性的同义词信任,因为如果涉众不值得信任、信息不完整,那么它可能就不相关。两个来源都提到了及时性,它代表着共享并及时接收最新信息。时间性对每个利益相关者都是主观的,因此会影响可操作性结果。信息的准确性只能在分析后进行评估,但应该告知利益相关方或机器如何准确地继续缓解脆弱性。要完成可操作性,风险级别优先级必须被定义。这取决于组织的系统,受制于利益相关者的心态或机器的程序。CTI消费者的类型不同,因此每个消费者的相关信息也不同。Brown等人(2015)的研究确定了与CTI合作的四个利益相关者,即高级别专家、威胁经理、威胁分析师和事件响应团队。CTIs数据质量可能因利益相关者或来源的共享而有所不同。质量可以通过正确性、相关性、及时性、有用性和唯一性来评估(Al-Ibrahim et al.,2017)。
此外,CTI共享社区的一名成员如果一直共享有用和及时的信息,就可能被贴上一个有价值的利益相关者的标签(Mohaisen et al.,2017)。
一些网络攻击会在几秒钟内发生在不同的站点相同或相似的攻击模式。快速的信息共享过程是CTI交换的一个重要属性,因为它的响应时间较短(Pawlinski et al.,2014)。根据有限的时间框架,共享和反应过程必须是充分的。威胁环境变化很快,因此必须迅速对CTI采取行动。当CTI值在几天甚至几小时内变为零时,可以观察到快速共享的重要性(Farnham andLeune,2013)。如之前的研究所示,60%的恶意域名的生命周期不超过一小时(Alliance,2015)。时间性不仅关注年龄,而且还取决于威胁活动、变化或能力或基础设施发展的更新频率(ThreatConnect,2015)。以下用例说明了及时性的重要性:
场景A:组织A在检测后立即在可信存储库中共享CTI。及时收到了共享信息,但由于行动方案不完整,利益相关者无法利用。
场景B:组织B检测到一个关于电子邮件中恶意链接的指示器(锁定下载程序),该链接一旦被点击,就会将特洛伊木马下载到受害者的设备上,并且不会被传统的防病毒程序检测到。这些信息在几秒钟之内就被同行们共享了。利益相关者能够通过阻止电子邮件和链接迅速降低风险。
建立CTI共享协作需要利益相关者之间的全面信任关系。信任通常是通过时间和面对面的会议建立起来的。这里的挑战在于分散的利益相关者之间的信任建立。信任是CTI交易生态系统中的一个关键属性,一旦被破坏,就很难重建(Feledi et al.,2013)。它被认为是威胁情报共享生态系统中最困难的属性(Kokkonen et al.,2016)。CTI可以包含只应该透露给可信的利益相关者或根本不应该透露的信息,例如PII,它与创造情境意识无关。关于成功攻击的信息落入坏人之手会对股东的声誉造成灾难性的影响。如果反措施尚未实施,则可以对组织使用。利益相关方的可信度通过信任和声誉进行评估,其中信任是通过直接接触和其他同行的意见建立的(Meng et al.,2015)。
根据ENISA(2017),确定了三种信任关系:组织信任平台提供商,即(1)机密数据不向未经授权的利益相关方公开;(2)正确处理信息,如TLP标签;(3)共享信息可信可靠。Sauerwein等人(2017)的研究表明,信任有两种可能的视角,即组织视角和提供者视角。利益相关者可能在开始时表现出一种良性行为,然后开始滥用信任。因此,将同行等同于善意或恶意是很麻烦的(Wang and Vassileva,2003)。Dondio和Longo (2014)的工作确定了一个适用于虚拟身份的信任方案:声誉、过去的结果、活动程度、连接程度、规律性、稳定性和问责制。Xu等人(2013)的工作进一步阐述了信誉方案,该方案识别恶意节点故意向正常节点提供负面评价的诽谤攻击和已知节点相互给予正面评价的共谋攻击。Abouzahra和Tan(2014)的研究基于Butler Jr(1991)的工作讨论了信任的三维:能力、仁慈和正直。信任关系可以由可信的第三方(如威胁情报供应商)管理,也可以通过利用信任管理器来处理声誉来外包(Cha and Kim,2010)。
当政府参与CTI交换或开发工具和协议时,可能会出现信任问题。例如,在美国政府的支持下,米特集团开发了STIX和可信自动指标信息交换系统(TAXII)。这种合作可能会阻止美国以外国家的利益相关者信任这些协议(Burger et al.,2014)。由于不信任美国政府的倾向在美国公民中很普遍,这甚至可能阻止美国公司采用这些工具。低级别风险威胁情报可以以集中形式共享,但分散交换需要更大程度的信任(Zheng and Lewis,2015),或者限制参与的利益相关方的数量(Deloitte et al.,2015)。
根据Pawlinski等人的所言(2014),三个信任级别被定义为:高信任级别指的是有可信且经充分验证的渠道源,中等信任级别指的是有可靠的渠道源,以及未验证数据源的低信任级别指的是没有验证的数据源。信任关系的另一个方面是关系主要建立在个人之间,而不是公司之间。因此,如果负责共享CTI的员工决定离开组织,那么她的所有联系人也可能离开。Goodwin等人(2015)的工作将信任基础定义为利益相关者的贡献、集体行动和共享经验。Tavakolifard和Almeroth (2012)的研究从两个方面揭示了信任评估过程:在特定情况下,针对特定类型的信息建立信任;关于两个利益相关者对同一事件的判断的特定人员。此外,利益相关者必须表明他们个人对CTI(ISO27010,0000)的可信度和准确性的信心程度。
下面的场景描述了一个“潜伏”的攻击场景,随着时间的推移,这种攻击会建立信任,但只会在适当的时候利用它。
场景A: 423个利益相关者建立了可信的关系,重点关注零售业及其脆弱性。CTI共享已经进行了几年,没有任何信任冲突,利益相关者已经披露了与漏洞相关的系统特定细节。其中一个利益相关者恶意利用其他利益相关者。他们用了几年来提高信任级别和访问机密的CTI。作为长期获得信任的结果,“受信任的”利益相关者利用了开放漏洞。
经验教训:共享系统需要有一个持续的审查过程,以便在早期发现恶意的对等体。此外,利益相关者们应该尽可能匿名化他们的内容,并隐藏系统的具体细节。
利益相关者必须建立自己的声誉,才能成为威胁共享社区中值得信任的成员。通过共享高质量和可操作的威胁信息,并遵循威胁共享政策,声誉随着时间的推移而建立。有许多方法来建立声誉,以赢得其他利益相关者的信任。为了提高可信度,利益相关方必须持续共享CTI,关联各种来源,并回答社区关于共享智能的问题(Feledi et al.,2013)。相反,一旦坏名声根深蒂固,要扭转这种影响就很难了。据我们所知,还没有关于负面声誉的研究。因此,考虑来自邻近领域的研究。一个这样的领域是在线零售领域,卖家和买家根据产品质量、交付速度、沟通、支付和描述的准确性来相互评价。所购买的有形产品的质量可以与共享CTI的质量相匹配;邮寄产品的递送速度可以与CTI的共享速度相比较;卖方/买方通信可以与消费方关于一组CTI的问题相关联;产品描述的准确性可以与CTI指标的描述并行。如果卖家或买家收到了负面反馈,其他同行也可能会受到鼓励,做出负面评论,因为他们收到了类似的糟糕服务(Nusrat and Vassileva,2011)。这个过程被称为石刑,有助于区分好的和坏的同辈(雷斯尼克和齐克豪泽,2002)。
由于威胁指标数不清,分析师会完全被所有数据淹没。因此,利益相关者必须使用可伸缩的相关性过滤器。共享太多的信息和共享太少一样糟糕。因此,必须实施合适的过滤方法(ISO27010,0000)。Pawlinski等人(2014)的工作将相关性定义为CTI必须适用于利益相关方的责任领域,包括网络、软件和硬件。此外,数据相关性是数据质量的一个重要因素(Brown et al.,2015年)。当前的相关性过滤是基于手动选择高级CTI,这被认为是重要的,并且浏览/搜索功能在TIPs和在线平台中是被启用的。利益相关者必须通过了解他们的库存来理解和定义哪个CTI与他们的系统相关,应该分析威胁类型是否以利益相关者的资产为目标。业务流程应该根据地理、政治和行业部门进行映射(ThreatConnect,2015)。不相关的信息不会与其他利益相关者共享,但会存储在本地知识库中,并与新信息相关联(Ahrend et al.,2016)。
Rao等人(2012)的研究提出了一个可扩展的内容过滤和传播系统,该系统可以在CTI共享环境中实现。信息过滤的另一个领域是垃圾邮件过滤,Almeida和Yamakami (2010)在这方面贡献了一个基于内容的垃圾邮件过滤器。垃圾邮件和CTI之间的关系是利益相关者不希望收到垃圾邮件,而只希望收到真正的邮件。
同样的声明也适用于CTI,在CTI中,利益相关者只希望接收相关信息(真实的电子邮件),而不是无关信息(垃圾邮件)。利益相关者应该完全控制他们饲料中的CTI类型。相比之下,社交网络充斥着各种信息,但只有一小部分真正与用户相关(Dong and Agarwal,2016)。在这些平台上,用户可以通过定制过滤标准,直接控制哪些信息张贴在他们的墙上(Vanettiet al.,2010)。Tryfonopoulos等人(2014)的工作研究了对等网络中的信息过滤问题。这里的重点在于低消息流量和低速率的信息过滤功能。米塔尔等人(2016)的研究提出了网络推特框架,该框架从推特订阅源收集开源情报。该工具的评估包括威胁情报的质量以及相关信息是否丢失。
情景A:利益相关方A每周从其监控系统收到15,000个威胁警报。由于员工短缺,400个警报被视为不相关,60个警报被调查。此外,利益相关者还会收到10,000个威胁警报,这些警报被视为高风险,但可能与系统无关。
场景B:利益相关方B每周收到大约相同数量的警报,并且具有与利益相关方A类似的调查能力。然而,利益相关方使用标记系统来呈现与其系统相关的CTI内容。这种方法节省了时间,并使CTI共享更加有效。
经验教训:由于系统的异质性,CTI必须与个人利益相关者相关。一个标记系统可以提供必要的基础,使CTI的内容更加相关。内容相关性是相关性的属性之一。
组织必须通过仅与可信任的利益相关者共享CTI和/或匿名化内容来优先考虑客户的隐私。开发了几种矩阵来匿名化信息的内容,例如k-匿名(Sweeney,2002),l-多样性(Machanavajjhala al.,2007年),t-封闭性(li et al.,2007年),Ε-差别隐私(Biskupand Flegel,2001; Neubauer and Heurix,2011; Riedl et al.,2007)。利益相关者仍然不愿意共享关于违规的信息,因为担心这会损害他们需要保护的重要资产,即声誉 (Garrido-Pelaz et al.,2016年)。
匿名的另一个方面是在利益相关者之间共享时加密CTI,中间人攻击可以拦截共享信息。de Fuentes等人(2016)提出了一种称为PRACIS的加密CTI协议。PRACIS支持面向半可信消息中间件的隐私保护数据转发和聚合。Best等人(2017)的工作提出了一个计算CTI隐私风险分数的架构。重新搜索讨论了从威胁情报报告中提取个人信息的隐私风险。这两个介绍的作品可以合并,以提高隐私在一个CTI程序。
在某些情况下,当利益相关者不想透露他们的系统被破坏,但想与其他利益相关者共享信息时,匿名共享是必要的。此外,当信任尚未建立时,匿名威胁共享是可取的。CTI的匿名性必须在内容、元数据和数据传输中建立。内容不应包含任何关于组织、雇员及其客户的PII。目前的内容匿名方法是对PII进行人工筛选,不应该离开组织的场所,甚至不应该被未经授权的内部员工阅读。通过使用正则表达式来找到PII,可以实现匿名化过程(Johnson et al.,2016)。每个利益相关者对匿名都有不同的看法。对一个利益相关者来说可能是敏感的信息对另一个来说可能是微不足道的。因此,屏蔽标准和可伸缩性的调整是适当匿名化的重要因素。共享原始数据可以揭示关于个人或行动背景的积极信息(Mohaisen et al.,2017)。
此外,对内容进行匿名化不足以提供足够的隐私。连接也必须匿名化,一种可能的方法是通过TOR网络路由连接(Applebaum et al.,2010)。服务器之前不应该连接到clearnet,这可能会在服务器上留下可以识别利益相关者的痕迹。此外,必须调整浏览行为,以避免身份的意外泄露。Xu等研究人员(2002)的研究集中在使用一种规范形式和一种新的基于密码的方案来保持IP地址匿名化,该方案可以应用于匿名CTI共享。加密CTI可以防止关键信息被泄露,并在漏洞被修复之前被用来对付利益相关者。这被称为隐式隐私,攻击者不能直接使用该信息,必须首先对其进行分析(Meng et al.,2015),或者解密。信息由不同的属性和不同的敏感度组成。此外,关于CTI存在的知识可能具有与其内容不同的敏感性水平(ISO27010,0000)。以下两个场景提供了对匿名CTI共享的深入见解:
情景1:利益相关方1在其CTI共享过程中不使用任何形式的匿名。因此,PII不断向其他CTI共享利益攸关方披露。利益相关者连接到可信来源,但也连接到没有审查流程的存储库。除此之外,CTI可能包含关于系统内部未修复漏洞的详细信息。一个恶意的利益相关者能够在几个月内从利益相关者A那里收集各种CTI。相关信息揭示了利益相关者的身份和他们的弱点。因此,攻击者能够成功利用这些漏洞。
场景B:利益相关方B通过屏蔽PII来匿名其内容,例如电子邮件、公司名称和IP地址。此外,共享CTI以加密形式交换,以增强隐私。中间人攻击拦截了共享信息,这些信息包含有关组织系统的高度机密的详细信息,以及在漏洞未得到补救的情况下如何利用这些信息。由于数据被加密,攻击者花了几个月时间破解加密,使得信息变得毫无用处。在此之前,大多数利益相关者已经针对这一特定攻击修复了他们的系统。
经验教训:利益相关方必须确保在共享CTI时提供一定程度的匿名。这取决于信息的重要性以及与谁共享。
关于互操作性的说明,许多组织想要共享他们的CTI,但是缺乏CTI交换的全球通用格式(Rutkowski et al.,2010)。数据格式必须与利益相关者对比系统兼容。因此,所有利益攸关方必须商定一个共同的格式。根据ENISA 2014年的一项研究,社区采用了53种不同的信息共享标准(Dandurand et al.,2014)。必须避免不必要的数据转换,这可能会妨碍CTI的及时交换。必须制定标准(Vazquez et al.,2012)并被社区接受。根据Moriarty(2013)的观点,互操作性变得越来越重要,但不一定是所期望的默认状态,因为它给了开发人员数据格式的多样性。米特集团开发了STIX格式,使CTI交换可互操作(Appala et al.,2015; Burger et al.,2014)。它已经成为最广泛接受的威胁情报共享标准。除了数据格式互操作性之外,信息共享基础架构还必须足够灵活,以应对各种实施方式(Janssen and Tan,2014)。
共享有关网络威胁的信息需要结合技术和政策方法(Fisk et al.,2015)。如果一个组织决定共享他们的CTI,一个信息条款必须包含或更新在现有的政策中(Sander and Hailpern,2015)。与其他利益攸关方的所有信息交流都必须通过《信息交流政策》(IEP),这是一份内部文件(Dandurand and Serrano,2013)。Serrano等人(2014)的研究确定了IEP必须包括的以下要素:目的、范围、参与者、新利益攸关方程序、接收数据处理信息、IEP修改程序、数据共享要求、交换数据的使用、机制和知识产权。Martinelli等人(2012)的研究分析了数据共享协议(DSA)的定义术语:数据质量、保管责任、信任域和安全基础设施。英国标准ISO/IEC 27010:2015信息技术-安全技术-部门间和组织间通信的信息安全管理为利益相关者共享信息提供了指导(ISO27010,0000)。数据共享的道德必须成为信息共享政策的一部分。利益相关者必须定义CTI用于何种目的,谁可以访问它,保留期和销毁,以及发布条件(Dietrich et al.,2014)。
CTI在全球范围内交换,这意味着必须考虑不同国家的法律和法规。CTI可以包含在一个国家合法共享但在另一个国家非法的信息(Kampanakis,2014)。例如,根据英国数据保护法,IP地址不被视为个人信息。恰恰相反,德国一家法院在2016年裁定在某些情况下,地址是个人信息。组织必须确保他们遵守国家隐私法,并且当CTI与外国利益相关方共享时。视国家而定,组织可能会因不与当局和受影响的个人共享安全漏洞而面临处罚(Laube and Böhme,2015)。例如,在Slovenia,根据《电子通信法》,通信网络和服务机构有义务向国家和政府通信网络和服务机构报告漏洞。在比利时,公共电子通信服务必须向国家电子通信监管机构报告漏洞(Deloitte et al.,2015年)。也可以对不执行CTI并因此被违反的利益相关方采取法律行动。不参与威胁共享计划的利益相关者也可能受到惩罚(Haass et al.,2015)。然而,法律限制可能会阻碍利益攸关方共享其情报(Pawlinski et al.,2014)。例如,内部数据保护政策和特定国家的数据保护可能会阻碍共享过程。在美国,《电子通信隐私法》(ECPA)和《外国情报监视法》(FISA)造成了关于是否可以共享CTI的混乱。该法案禁止通信提供商自愿披露通信内容(Zheng and Lewis,2015)。然而,美国的行政命令(EO13636)于2013年发布,以增加信息共享(Fischer et al.,2013;Skopik et al.,2016年)。
图4虚拟化了基于欧洲和美国的CTI共享的规则。Schwartz等人(2016)的工作研究了政府和非政府机构之间自动CTI共享的法律方面,以及导致当前网络安全信息沙尔山法案(CISA)的威胁情报共享的演变。Bhatia等人(2016)的工作讨论了美国政府和组织之间共享CTI的主要风险。这项研究包括一项在76名安全从业人员中进行的调查。结果显示了安全从业者愿意共享的威胁。即,24名参与者愿意共享IP地址,3名参与者不愿意共享密钥记录数据。
图4 网络威胁情报共享的监管层级
CTI共享必须与尽可能多的利益相关者进行,这些利益相关者共享可操作的威胁情报以提高效率。网络攻击没有国界,因此,CTI共享最好不要受到各种国家法规的阻碍。为了充分利用情报,不同国家可能必须采用统一的反恐情报共享程序。利益相关者仍在分析有效威胁情报共享所涉及的流程,但仍不确定哪些可以或应该共享,以及与谁共享。GDPR(一般数据保护法规)将强制要求欧盟在72小时内报告事故。例如,GDPR规定安全事故必须在72小时内报告。时间从该事件被分析师认为是积极违规的时候开始。根据《GDPR》杂志,Sullivan和Burger(2017)的研究调查了静态和动态IP地址是否是个人信息。调查结果显示,如果共享IP地址作为威胁情报,那么根据《GDPR公约》第6 (1)(e)条,为了公共利益,这是合理的。
本次文献调查的目的是确定当前的技术水平,并为CTI共享及其属性设定未来的研究方向。文献搜索是通过期刊数据库、大学目录和学术搜索引擎进行的。本次调查涉及的研究主题来自利益相关者目前面临的现实问题。文献调查旨在为读者提供一个更大范围的与CTI共享相关的各种问题。不同的作者在CTI共享中预先考虑并设计了大多数实践者尚未达到的研究阶段。基本的障碍仍然需要克服,比如CTI项目的基本实施和说服负责人投资。此外,监控和检测工具与威胁情报平台的协调本身就是一个挑战。一旦消费和交换开始,利益相关者通常会被大量的信息淹没,并思考如何使其相关。各种供应商提供威胁情报平台,这可能是通过使用来自CTI存储库的众包情报进入CTI世界的第一步。当前的文献趋势主要集中在如何在分散的利益相关者之间确定和建立成功和持久的协作,以及自动化一些共享过程。文献指出,威胁共享已经引起了许多组织的兴趣,他们希望更加主动地工作,而不是仅仅被动地工作。CTI共享的目的是通过了解利益相关方的基础设施或物联网产品的潜在风险,及时在利益相关方之间建立情境意识。自动化是利益相关者的首选方法,即自动捕获、准备、共享(与可信任的利益相关者)和自动实现指标。一些工具支持指示器的半自动共享,例如恶意的IP地址和散列。已经与米特里的STIX公司和TAXII公司建立了重要的合作关系,以推动社区达成一个用于威胁情报描述和共享的协议。表1列出了描述和共享CTI的其他语言。
可操作性是由不同来源用来描述威胁情报质量属性的术语。CTI的主要属性是相关性、及时性、可信度、完整性和准确性。然而,根据文献来源,可操作的CTI具有不同的属性。
我们分析了102篇文章、报告和政府法案,重点是CTI共享或相关领域。这些表格描述了表3中按类型分组的文献的定量概述,重点在表4中,图5显示了每年发表的文章数量。文献类型主要是学术性的,其次是行业技术报告、1份政府法案、1份专利和2份指南。表4说明了分析主题的焦点所在。最受关注的是与19篇文章的合作,作者以与分散的利益相关者建立威胁共享计划的形式分析了合作。重点在于哪些信息可以共享,与谁共享,以及如何自动匹配一些协作流程。17篇文章分析了信任,提出了各种方法来定义和识别利益相关者之间的信任关系。对等共享中的信任在过去已经得到了充分的研究,但是随着CTI的共享出现了新的挑战。例如,竞争对手之间的信任关系以及共享关于漏洞和安全漏洞的信息。隐私和匿名也是一个非常受欢迎的研究主题,17篇被分析的文献都把他们的优先权放在了这个主题上。主要话题集中在CTI匿名化、数据加密和隐私风险评分。这些主题之前也在网络安全的相关领域进行过重新搜索。然而,CTI环境已经改变了这些研究领域的游戏。例如,如果必须在利益相关者之间建立信任,匿名可能不是一个理想的功能,但是在某些情况下,匿名可能能够报告尚未补救的漏洞。激励也赢得了许多作者对12篇文章的兴趣。它们是将以前可能没有见过面的利益相关者聚集在一起的基础,并且应该共享关于安全漏洞的关键信息。然而,一些利益相关者可能还没有意识到参与威胁共享计划的必要性。
图5中的图表描绘了与CTI共享相关的已发表作品的数量和年份。我们分析了2018年4月之前我们认为相关的文献。该日期之后出版的作品不包括在内。我们意识到,可能会有更多优秀的出版作品,我们没有包括在本次文献调查中。总结文献时间表,在2001年至2009年期间,对共享威胁信息的兴趣处于萌芽阶段,学术界和从业者在2010年之前开始对这一新兴主题更感兴趣。2013年出版的文献有所增加,2014年似乎是与CTI共享或相关领域相关的出版物最多的一年。2015年至2018年,出版作品略有下降。
我们必须开发新的方法来阻止不断增加的网络攻击,CTI共享正在成为抵御对手的强大武器。
这份文献调查概述了由于对CTI共享的兴趣和必要性增加而出现的新挑战。我们分析了大量与CTI共享和邻近地区相关的文献,这些地区存在相似的需求。这项工作侧重于可操作的属性,并通过用例进一步阐述。讨论了支持稳定威胁情报共享过程的规则。此外,我们对文献观点进行评估和分组,以分析哪些主题与作者最相关。
论文来源:Computers & Security 87 (2019) 101589
封面来源:摄图网可商用图片
附:报告原文获取请添加小福妹微信,并备注报告名称。