iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 15
1

STIX
STIX (Structured Threat Information eXpression) 是由 MITRE 公司 (The MITRE Corporation) 所定義與開發出用來快速能達到表示事件相關性與涵蓋性之語言,以表達出架構性的網路威脅資訊。STIX 語言將包含網路威脅資訊的全部範圍,並盡可能地達到完整表示、彈性化、可延展性、自動化與可解讀性等特性。

從Kill Chain (攻擊鏈)可知道一次網路攻擊可能分成好幾個步驟,亦可從中了解最新的攻擊行為與如何防範
https://ithelp.ithome.com.tw/upload/images/20181030/20112538eRLjMofMsh.png

為了能夠滿足架構性網路威脅資訊之涵蓋範圍,STIX 提供了一個通用的機制,以增進架構穩定性、效率、相互合作性與整體情境感知 (Situational Awareness);同時,STIX 提供統一的架構,可將以下的威脅資訊做關聯:

  1. 網路可觀性 (Cyber Observation)。
  2. 事件跡象 (Indicators)。
  3. 惡意的行為的手法、技術與過程 (Tactics, Techniques, and Procedures,簡稱TTPs ,包含攻擊特徵、惡意軟體、暴露之弱點、kill chains、使用工具、事件架構、受害目標等)。
  4. 暴露目標 (Exploit Targets,例如弱點、漏洞等)
  5. 防範行動 (Course of Action,簡稱COA,包含事件應變或弱點補救措施)。
  6. 網路攻擊活動 (Cyber Attack Campaigns)。
  7. 網路威脅者 (Cyber Threat Actor)。

以下圖表為 STIX 所提供之核心 Use Case 概觀,以支持網路威脅管理。

https://ithelp.ithome.com.tw/upload/images/20181030/20112538OiQQp8L0a4.png

SOC如何應用
領域 SOC 調查觸發事件所蒐集的情資可能包含中繼站黑名單 IP、惡意網路連結、惡意程式/檔案、OpenIOC 規則、資安漏洞/弱點情資及相關郵件資訊等,後續領域 SOC 需彙整相關情資以 STIX 封裝回傳給 N-SOC 進行事件單關聯彙整。節錄官方STIX情資範本如下:

https://ithelp.ithome.com.tw/upload/images/20181030/201125387K6LPlBJYS.png

弱點訊息範例

https://ithelp.ithome.com.tw/upload/images/20181030/20112538RtXwFprObZ.png

STIX 最初始的應用是利用 XML 架構作為普及、可攜和架構化的機制,以達到各角色間細節、合作和精準化,並有提供實作架構。許多國外機關組織已利用 STIX 進行情報與資訊分享,諸如美國國土安全部 (The U.S. Department of Homeland Security)、US-CERT等。

參考來源
淺談以STIX實現網路威脅情報標準化框架
http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=3010
行政院資通安全處-領域SOC實務建置索引
file:///Users/shin-yinghuang/Documents/train/ITiron/20181030_STIX_1/%E9%A0%98%E5%9F%9Fsoc%E5%AF%A6%E5%8B%99%E5%BB%BA%E7%BD%AE%E6%8C%87%E5%BC%95.pdf


上一篇
文字/文件視覺化
下一篇
STIX (2)
系列文
自然語言技術與AI/ML初探30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
2
CyberSerge
iT邦好手 1 級 ‧ 2018-11-02 12:08:20

STIX TAXII已經是threat intellegence主流了~多虧它資安情報才能快速交換分享

0
snk
iT邦新手 5 級 ‧ 2021-03-11 08:55:52

感謝大大分享

0

感謝你的分享

我要留言

立即登入留言