網(wǎng)絡(luò)威脅信息指可幫助組織識別、評估、監(jiān)控及響應(yīng)網(wǎng)絡(luò)威脅的任何信息。此類信息包括攻陷指標(biāo)(indicator of compromise，亦有譯為“攻擊指示器”、“入侵指示器”的)、威脅源起方(threat actor)使用的策略、技術(shù)與過程(TTP)、檢測、控制或防護攻擊的建議方法以及安全事件分析結(jié)果。網(wǎng)絡(luò)威脅信息的共享可同時提高分享組織與其他組織的安全狀況。本文為建立、參與網(wǎng)絡(luò)威脅信息共享關(guān)系提供了指導(dǎo)，幫助組織設(shè)定信息共享目標(biāo)、識別網(wǎng)絡(luò)威脅信息源、確定信息共享活動范圍、制定威脅信息發(fā)布與分發(fā)規(guī)則、加入現(xiàn)有共享社團、有效利用威脅信息，以支持其總體網(wǎng)絡(luò)安全實踐。

網(wǎng)絡(luò)攻擊日益頻繁，復(fù)雜度也與日俱增，為組織保護數(shù)據(jù)及系統(tǒng)免受強大的威脅源起方的攻擊帶來了巨大挑戰(zhàn)。這些威脅源起方或為自主發(fā)起攻擊的個人攻擊者，或為有充足資源、行動一致的群體，多為犯罪集團成員或代表某國政府利益。威脅源起方持續(xù)發(fā)起攻擊，動機明確，動作敏捷，使用各種TTP入侵系統(tǒng)、中斷業(yè)務(wù)、進行金融詐騙、泄露或竊取知識產(chǎn)權(quán)及其他敏感信息。考慮到這些威脅所帶來的風(fēng)險，組織應(yīng)更加重視共享網(wǎng)絡(luò)威脅信息，利用這些信息提高自己的網(wǎng)絡(luò)防護能力。

網(wǎng)絡(luò)威脅信息指可幫助組織識別、評估、監(jiān)控及響應(yīng)網(wǎng)絡(luò)威脅的任何信息，包括指標(biāo)(與攻擊相關(guān)的系統(tǒng)組件或可觀察事件(observable))、TTP、安全警報、威脅情報報告、推薦安全工具配置等。多數(shù)組織在信息技術(shù)與安全運營實踐中，生成了各種網(wǎng)絡(luò)威脅信息在內(nèi)部共享。

通過與共享社團其他參與者交流網(wǎng)絡(luò)威脅信息，組織可利用共享群體的集體知識、經(jīng)驗及能力，更全面地了解所面臨的威脅。組織可利用這些知識，基于威脅信息，對防護能力、威脅檢測技術(shù)及緩解策略進行決策。通過關(guān)聯(lián)、分析從多個數(shù)據(jù)源獲得的網(wǎng)絡(luò)威脅信息，組織可豐富已有信息，使其更具有操作性。要豐富已有信息，可獨立確認(rèn)其他社團成員的觀察結(jié)果或通過減少含糊之詞及錯誤提高威脅信息的整體質(zhì)量。共享社團成員在接收信息后修復(fù)威脅，抑制了威脅的傳播能力，這為其他成員(甚至是未收到網(wǎng)絡(luò)威脅信息或收到但并未響應(yīng)的成員)提供了一定程度的防護能力。此外，通過共享網(wǎng)絡(luò)威脅信息，組織可更有效地檢測針對特定行業(yè)、業(yè)務(wù)實體或社會團體的攻擊活動。

本文旨在幫助組織建立、參與網(wǎng)絡(luò)威脅信息共享關(guān)系，介紹了共享的益處與挑戰(zhàn)，明確了信任的重要性，梳理了處理數(shù)據(jù)時需考慮的具體事項。作為指導(dǎo)性文件，本文討論了如何通過安全有效的信息共享實踐來促進網(wǎng)絡(luò)安全運營與風(fēng)險管理活動，幫助組織規(guī)劃、實施與維護信息共享。

NIST鼓勵組織間進行更廣泛的網(wǎng)絡(luò)威脅信息共享，一方面，組織可以從其他組織獲取威脅信息，另一方面，組織可將內(nèi)部產(chǎn)生的威脅信息提供給其他組織。組織可參考如下建議，更有效地利用信息共享能力：

設(shè)定信息共享目標(biāo)(goals and objectives)，以支持業(yè)務(wù)流程與安全指導(dǎo)方案(security policies)

組織的信息共享目標(biāo)應(yīng)對整體網(wǎng)絡(luò)安全戰(zhàn)略有促進作用，可幫助組織更有效地管理網(wǎng)絡(luò)相關(guān)風(fēng)險。組織應(yīng)將自己員工及其他人員(如網(wǎng)絡(luò)威脅信息共享組織的成員)的知識與經(jīng)驗結(jié)合起來，共享威脅信息，同時按照安全、隱私及合規(guī)性要求進行運營。

識別內(nèi)部現(xiàn)有的網(wǎng)絡(luò)威脅信息源

組織應(yīng)識別當(dāng)前收集、分析及存儲的威脅信息。在庫存流程中，組織應(yīng)確定如何使用信息。具體說，基于網(wǎng)絡(luò)威脅信息，組織可識別機遇，優(yōu)化決策流程，制定從其他(或為外部)來源或通過部署額外工具或傳感器獲得威脅信息的策略，判斷哪些威脅信息可與外界共享。

指定信息共享活動范圍

組織信息共享活動的范圍應(yīng)與組織的資源、能力及目標(biāo)相匹配。信息共享工作應(yīng)聚焦于能為組織及其共享合作伙伴帶來最大價值的活動。確定范圍時，應(yīng)判斷哪類信息可經(jīng)組織關(guān)鍵利益主體授權(quán)進行共享、此類信息在哪些情況下可進行共享以及信息可以并應(yīng)該共享給誰。

制定信息共享規(guī)則

共享規(guī)則旨在控制威脅信息發(fā)布和分發(fā)，防止傳播敏感信息(這些信息若被不當(dāng)披露，可能會為組織、客戶或業(yè)務(wù)合作伙伴帶來不利影響)。信息共享規(guī)則應(yīng)考慮到接收人的可信性、共享信息的敏感性以及共享(或不共享)某類信息的潛在影響。

參與信息共享工作

組織應(yīng)判斷哪些共享活動可作為對現(xiàn)有威脅信息能力的補充，并積極參與這樣的活動。為了滿足運營需要，組織或需要加入各種信息共享論壇，包括公共或私有社團、政府知識庫(repository)、商業(yè)網(wǎng)絡(luò)威脅情報流以及諸如公開網(wǎng)站、博客與數(shù)據(jù)流之類的公開源。

通過提供額外上下文、修訂或建議優(yōu)化措施，設(shè)法豐富指標(biāo)

組織應(yīng)盡可能編制元數(shù)據(jù)，為每個指標(biāo)提供上下文，描述指標(biāo)應(yīng)如何使用、理解，以及它與其他指標(biāo)的關(guān)系。此外，共享流程應(yīng)包括指標(biāo)發(fā)布、指標(biāo)與相關(guān)元數(shù)據(jù)更新、錯誤或無意誤共享的信息撤回機制。這樣的反饋對于社團內(nèi)部共享指標(biāo)的豐富、成熟與質(zhì)量提升發(fā)揮著重要的作用。

利用自動化安全機制發(fā)布、使用、分析與響應(yīng)網(wǎng)絡(luò)威脅信息

使用標(biāo)準(zhǔn)化數(shù)據(jù)格式與傳輸協(xié)議共享網(wǎng)絡(luò)威脅信息可簡化威脅信息處理的自動化過程。使用自動化手段，可減少人為干預(yù)，快速共享、轉(zhuǎn)換、豐富與分析網(wǎng)絡(luò)威脅信息。

主動制定網(wǎng)絡(luò)威脅共享協(xié)議

組織應(yīng)提前規(guī)劃，在安全事件發(fā)生前制定共享協(xié)議，而不是在網(wǎng)絡(luò)安全事件發(fā)生時才倉促草就。提前規(guī)劃可確保參與組織明白其角色、職責(zé)與信息處理要求。

保護敏感網(wǎng)絡(luò)威脅信息的安全與隱私

在處理網(wǎng)絡(luò)威脅信息時可能會涉及個人驗證信息(PII)、知識產(chǎn)權(quán)及商業(yè)秘密等敏感信息。這些信息若不當(dāng)披露則會導(dǎo)致經(jīng)濟損失，違反法律、法規(guī)、合同，引起法律訴訟，或損害組織聲譽。因此，組織應(yīng)實施必要的安全與隱私控制措施及操作規(guī)程以保護信息不被非法泄露或修改。

持續(xù)支持信息共享活動

每個組織都應(yīng)制定信息共享計劃，為持續(xù)的基礎(chǔ)設(shè)施維護與用戶支持做準(zhǔn)備。計劃內(nèi)容應(yīng)包括如何收集、分析內(nèi)外部威脅信息以及在制定與部署防護措施時如何使用這些信息，方法應(yīng)具有可持續(xù)性，以保證資源充分，能滿足收集、存儲、分析與傳播網(wǎng)絡(luò)威脅信息的需要。

計算機系統(tǒng)技術(shù)報告

美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)信息技術(shù)實驗室(ITL)為美國的測量和標(biāo)準(zhǔn)基礎(chǔ)架構(gòu)提供技術(shù)領(lǐng)導(dǎo)，促進美國經(jīng)濟與公共福利。ITL負(fù)責(zé)開發(fā)測試項目、制定測試方法，并提供參考數(shù)據(jù)、概念驗證實現(xiàn)和技術(shù)分析來推動信息技術(shù)的發(fā)展和生產(chǎn)應(yīng)用。ITL的職責(zé)包括制定管理、行政、技術(shù)及物理方面的標(biāo)準(zhǔn)和指南，實現(xiàn)經(jīng)濟高效的安全，并保護聯(lián)邦信息系統(tǒng)中非國家安全相關(guān)信息的隱私。SP 800系列文件聚焦于ITL在信息系統(tǒng)安全方面的研究、指導(dǎo)和外展活動以及聯(lián)合業(yè)界、政府和各學(xué)術(shù)機構(gòu)開展的協(xié)作活動。

免責(zé)聲明

本文原文來自于互聯(lián)網(wǎng)的公共方式，由“安全加”社區(qū)出于學(xué)習(xí)交流的目的進行翻譯，而無任何商業(yè)利益的考慮和利用，“安全加”社區(qū)已經(jīng)盡可能地對作者和來源進行了通告，但不保證能夠窮盡，如您主張相關(guān)權(quán)利，請及時與“安全加”社區(qū)聯(lián)系。

“安全加”社區(qū)不對翻譯版本的準(zhǔn)確性、可靠性作任何保證，也不為由翻譯不準(zhǔn)確所導(dǎo)致的直接或間接損失承擔(dān)責(zé)任。在使用翻譯版本中所包含的技術(shù)信息時，用戶同意“安全加”社區(qū)對可能出現(xiàn)的翻譯不完整、或不準(zhǔn)確導(dǎo)致的全部或部分損失不承擔(dān)任何責(zé)任。用戶亦保證不用做商業(yè)用途，也不以任何方式修改本譯文，基于上述問題產(chǎn)生侵權(quán)行為的，法律責(zé)任由用戶自負(fù)。