美国联邦政府威胁信息共享与协作概貌
美国联邦政府威胁信息共享与协作概貌
美国联邦政府威胁信息共享与协作概貌发布时间:2015-05-07 11:06:00 来源:博客作者:佚名关键字:网络攻击生命周期网络杀伤链威胁情报信息共享0 引言当今,互联网已与我们的生活融为一体,使我们充分感受到其带来的便利,但同时也看到全球互联网安全事件频发,使我们面临日益严峻的互联网安全威胁的挑战。
在活跃的网络威胁环境中,有效的安全事件检测和响应是我们面临的持续挑战,依靠个体力量已无法有效防止和应对安全事件,对安全事件及时、有效的响应需要各种机构间进行信息共享、沟通、互动与协作,需要积极的国际合作。
信息共享与协作提供了增强机构网络安全能力的有效方法。
建立机构间共享关系并进行安全事件协同响应,将为机构提供获取原本无法获得和使用的威胁情报和工具的机会。
机构可以通过使用共享资源,利用合作伙伴的知识、经验和能力,改善其自身的网络安全状况。
2014年10月,NIST发布SP 800-150《网络威胁信息共享指南》〔1〕,通过讨论信息共享与事件协作的利益和挑战,研究信息共享体系结构,探讨机构网络安全能力成熟度对其参与信息共享与协作的影响,并提出参与信息共享的具体考虑,帮助联邦机构在网络攻击全生命周期中建立、参与和维护信息共享关系,与外部机构沟通、协调,管理事件影响。
其目标是通过引入安全、有效的信息共享实践,提供信息共享方案规划、实施和维护的指导,为提高机构网络运营防御和事件响应活动的效率和效果提供指南。
2014年11月21日,在世界互联网大会“网络空间安全和国际合作”分论坛上,中央网信办网络安全协调局局长赵泽良发出倡议,提出在当前新形势下开展国际网络安全合作,共享信息,联手应对,共同构建和平、安全、开放、共赢的网络空间〔2〕。
可以预见,信息共享与安全协作必将成为我国有效防止和应对网络威胁的关键举措,本文试图描绘美国联邦政府威胁信息共享与协作概貌,希望能对我国的信息共享与安全协作相关工作提供参考。
1 信息共享与协作的优势与挑战一、信息共享与协作的优势在整个安全事件响应生命周期中进行信息共享与协作的优势包括:l 提高共享态势感知能力。
美国首部网络安全法案
美国首部网络安全法案美国首部网络安全法案是指《全国信息基础设施保护法案》(National Infrastructure Protection Act)。
该法案于 1996 年由美国国会通过并加以签署,成为美国首部网络安全法案。
该法案的制定是为了保护国家的关键信息基础设施免受网络攻击和破坏。
该法案确立了一套国家级网络安全体系和政策,涵盖了许多关键方面,包括网络防御、数据安全、网络监控、信息共享等。
首先,该法案确定了一个全国信息基础设施保护计划,以确保国家关键基础设施的安全。
该计划由美国国土安全部负责实施,涉及各种关键基础设施,如电力、通信、交通等。
它促使不同部门和机构之间的合作,以确保安全策略的制定和执行。
其次,该法案规定了网络安全的责任和义务。
根据该法案,美国政府和私营部门有责任保护自己的网络和系统免受攻击和破坏。
私营部门被鼓励采取必要的网络安全措施,并与政府共享信息和情报,以共同应对网络威胁。
此外,该法案提供了网络攻击和犯罪的法律依据。
它制定了一系列网络犯罪行为的定义和处罚,包括未经授权访问计算机系统、数据破坏、网络入侵等行为。
此举有助于打击网络犯罪,确保网络空间的安全。
最后,该法案还推动了信息共享和协作。
该法案要求政府和私人部门共享网络安全情报和威胁信息,以便更好地了解威胁并采取相应措施。
此举有助于形成一个强大的网络安全生态系统,提高国家对网络攻击的应对能力。
总的来说,美国首部网络安全法案为美国的网络安全事业奠定了重要基础,推动了政府和私人部门之间的合作,确保国家关键基础设施的安全和稳定。
随着时间的推移,该法案还不断得到完善和修订,以应对不断演变的网络威胁。
威胁情报共享与合作
威胁情报共享与合作现今社会,恐怖活动和网络犯罪等问题一直是我们所面临的威胁。
当这些问题发生时,各国之间的情报共享和合作变得至关重要,以便更好地保护人民和社会。
在本文中,我们将探讨威胁情报共享和合作以及相关的挑战。
一、威胁情报共享威胁情报共享是国际社会在面对共同安全威胁时的一种重要合作方式。
它是一种国际多边机制,旨在通过分享信息和情报来预防或打击恐怖主义、极端主义等威胁。
威胁情报通常包括来源、调查、评估、分析、警告等方面的信息,其共享是国际社会在应对威胁时的必需。
威胁情报共享应该是基于平等、互利、透明和责任的基础上,确保合法的情报来源和规定保密等级的原则。
二、威胁情报合作威胁情报合作是威胁情报共享的更高层次,其目标是深度合作,以共同解决当前和潜在的威胁。
威胁情报合作是一种更加密集和更具针对性的合作形式,重点在于规范合作程序和共同建立威胁情报共享机制。
三、威胁情报共享和合作带来的挑战尽管威胁情报共享和合作在应对安全威胁方面具有很大潜力,但也面临着很多挑战。
以下是一些常见的挑战:1. 信息分享和共享的国际标准和规则缺乏,导致不同国家之间的安全标准不同,不利于情报共享和合作。
2. 相关国家的法律法规或国家安全利益可能阻碍威胁情报共享和合作。
3. 不同情报机构之间的重叠职责和管辖范围可能导致信息共享的限制和重复。
4. 各国之间的政治关系和互信问题可能导致信息的扭曲和保留。
四、如何克服挑战克服威胁情报共享和合作的挑战需要各方的共同努力。
以下是一些可行的解决方案:1. 建立国际合作机构,旨在提高国际标准,并建立共同的威胁情报共享和治理机制。
2. 加强国际协调和沟通,促进政治关系和互信的构建。
3. 完善国内法律法规,提高安全保障水平,确保情报保密和隐私权。
4. 加强对情报技术和人才的培训,完善情报共享和合作的体系。
五、总结威胁情报共享和合作是应对全球安全威胁的有效手段。
虽然在实践中面临诸多挑战,但是通过国际合作和各方的共同努力,这些挑战可以得到有效地克服。
威胁情报共享与合作
威胁情报共享与合作威胁情报共享与合作在当今的信息时代中扮演着至关重要的角色。
面临日益复杂和高度瞬息万变的威胁,各国政府和机构之间的情报共享和合作成为确保国家安全的关键因素。
本文将探讨威胁情报共享与合作的意义、挑战和前景,并提出一些建议以促进有效的合作机制。
一、威胁情报共享的意义威胁情报共享是指各国政府、情报机构和安全机构之间共享关于威胁、恐怖主义、网络攻击等方面的情报信息。
这种共享能够帮助各方更好地了解全球范围内的威胁,及时分享情报,形成合力应对各种威胁。
首先,威胁情报共享有助于提升国家安全能力。
通过分享情报信息,各国政府可以更全面地评估威胁,及早采取相应措施,避免恐怖活动、网络攻击等发生。
共享情报可以为国家安全决策提供更准确、更完整的依据。
其次,威胁情报共享可以加强国际合作与联防联控。
面对跨国威胁,单一国家的力量往往是有限的。
通过共享情报,各国之间可以建立起合作机制,形成联防联控的合力。
这有助于加强国际社会的合作与协调,提高整体应对能力。
最后,威胁情报共享有助于打击跨国犯罪和恐怖主义。
跨国犯罪和恐怖主义往往不受国界限制,需要各国共同努力进行打击。
通过共享情报,各国可以追踪犯罪嫌疑人、揭露恐怖组织的活动,打击犯罪的效果会更加显著。
二、威胁情报共享与合作的挑战尽管威胁情报共享与合作有着重要价值,但实施起来却面临着一些挑战。
首先,信息安全问题是一个关键难题。
共享情报需要确保信息的安全性,避免情报被恶意利用、泄露或被篡改。
构建可靠的信息安全体系和机制,保护共享情报的安全性至关重要。
其次,情报共享涉及政治、法律和隐私等复杂的问题。
各国之间可能存在不同的法律体系和政策差异,隐私权保护也是共享情报面临的挑战。
在共享与合作的过程中,需要制定明确的法律框架和规范,保护各方的权益。
最后,合作机制和信息交流的效率有待提高。
目前,威胁情报共享的机制与流程还不够高效,信息的交换和处理速度需要进一步提升。
建立高效的信息交流平台和共享机构,加强合作伙伴之间的联系,可以推动威胁情报共享与合作的发展。
国家安全的案例
国家安全的案例随着社会的发展和全球化的进程,国家安全成为各国政府非常重视的问题之一。
国家安全的案例是指涉及国家安全的具体事件或情况,这些案例对于分析、评估和保障国家安全具有重要的参考价值。
以下将介绍几个具有代表性的国家安全案例。
1. 威胁国家安全的网络攻击网络攻击是当前国家安全面临的重要威胁之一。
以中美两国为例,近年来两国之间频繁发生网络攻击事件。
2015年,美国联邦政府人事管理局系统遭到中国黑客攻击,导致数百万美国公民的个人信息泄露。
这类案例揭示了网络攻击对国家安全的威胁,不仅涉及个人隐私泄露,还可能对国家机密信息、基础设施和经济利益造成严重影响,需要各国加强网络安全防御和协作。
2. 恐怖主义对国家安全的冲击恐怖主义对于国家安全构成了一种严重威胁。
2015年法国巴黎恐怖袭击事件是一个鲜明的案例。
该袭击事件造成130人死亡,多座公共设施遭到袭击,严重影响了法国的社会秩序和安全。
此案例表明,恐怖主义组织的活动可以跨越国家边界,对国家安全产生直接的冲击。
国家需要通过加强情报共享、加强反恐合作等手段,共同应对恐怖主义威胁。
3. 国家边境安全的重要性边境安全是国家安全的重要组成部分。
以美墨边境为例,非法移民和贩毒活动频繁,对美国国家安全产生了严重的威胁。
近年来,美国政府采取了一系列举措,如修建边境墙、加强边境巡逻等,以加强边境安全。
该案例揭示了国家边境安全对国家安全的重要性,各国需要制定有效的政策和措施来维护边境安全,以防止非法移民、恐怖分子等对国家安全构成威胁。
4. 窃取国家机密的间谍活动间谍活动是国家安全领域中的一种重要威胁。
2018年,俄罗斯军情六处的前特工斯克里帕尔及其女儿在英国遭到神经毒剂袭击的案例引起了全球的关注。
据英国政府称,该袭击事件与俄罗斯特工机构有关,目的是窃取秘密情报。
这一案例揭示了间谍活动对国家安全的威胁,各国应加强情报搜集和反间谍工作,保护国家机密信息的安全。
综上所述,国家安全的案例涉及网络安全、恐怖主义、边境安全和间谍活动等多个方面。
美国国家威胁应对的跨机构合作环境
Background
Since September 11, 2001, the nation has made progress in our sharing of and access to information across organizational boundaries.
CONOP
• This effort will operate in two six-month phases controlled within a quick turn-around startup operation of limited duration – Phase I: The analytical team creates working folders
Multi Agency Collaboration Environment
COUNTER THREAT FINANCE PILOT ENABLED THROUGH AN ENTERPRISE APPROACH TO DATA SHARING
CTF Data Sharing Pilot
Several events this past year highlight successes, challenges and gaps in our ability to effectively share and access information:
To ensuring effective results a comprehensive and cooperative information sharing approach within and among Local, State, Federal, Tribal, DOD and Homeland Security entities is critical.
美国“网络风暴”系列演习(CyberStorm)相关情况概览及分析
【外军动态】美国“网络风暴”系列演习(CyberStorm)相关情况概览及分析2016-03-18 晓月无声收藏,稍后阅读目录一、总体概览1.基本情况2.演习动机(应对针对关键基础设施的网络威胁)3.法律支援(保障关键基础设施法律定义和执法框架)3.1克林顿政府时期(1992-2001)3.2布什政府时期(2001-2008)3.2奥巴马政府时期(2008-至今)二、网络风暴1演习(CYBERSTORM I)1.基本情况2.演习目标3.演习场景设置4.演习安排5.重要发现三、网络风暴2演习(CYBERSTORM II)1.基本情况2.演习目标3.演习场景设置4.演习计划5.重要发现四、网络风暴3演习(CYBERSTORM III)1.基本情况2.演习目标3.演习计划4.演习场景设置5.重要发现五、总体分析1.事件触发,推动演习进程2.立法保障,铺平法律基础3.逐步深入,“网络北约”呼之欲出4.重在协同,促进网络联合防御(作战)六、附件:“网络风暴3”演习参演单位列表一、总体概览1.基本情况“网络风暴”系列演习从2006年开始实施,迄今已经举行过3次。
演习分为攻、防两组进行模拟网络攻防战。
攻方通过网络技术甚至物理破坏手段,大肆攻击能源、信息科技、金融、交通等关键基础设施,以及关键、敏感民营公司网络的模拟仿真环境;守方负责搜集攻击部门的反映信息,及时协调,制定对策。
演习的主要目标,不同与国际和国内众多的CTF(攻防比赛)以选拔技术人才为主,“网络风暴”系列演习更加侧重于考察跨国家、政府机构、公司部门等的针对罐基础设施遭到网络攻击的情况下的协调应急能力(主要为处理两个关系:政府和私营伙伴之间的关系;政府和其在州、地区以及国际政府伙伴之间的关系。
)主要的考察指标为:1.看预案的设置是否合理,持续改进预案成熟度;2.看公--私营伙伴之间、政府部门之间网络安全信息共享是否充分、及时;3.看应急团队对网络攻击的最终处理效果(补救用时、产生损失)。
美国政府2003年《“Cyberspace”安全保障的国家战略》
美国政府2003年《“Cyberspace”安全保障的国家战略》-------------------------------------------------------------------------------- 2003年12月22日11:27 通信世界网信息产业部电信研究院通信信息所刘宇斐“Cyberspace”是指由美国成千上万的互联计算机、服务器、路由器、交换机和光纤电缆等构成的网络世界。
最近几年,美国的“Cyberspace”受到越来越多不安全因素的威胁和破坏,这直接影响到国家的经济、安全和人民的生活。
尤其是2001年9月11日发生的恐怖分子攻击事件对美国产生了深远的影响。
整个美国联邦政府、乃至整个美国社会都被迫重新审查其国土安全状况。
2003年2月,美国政府为保护这些基础设施制订了一个框架,名为《“Cyberspace”安全保障的国家战略》。
一、美国“Cyberspace”所受威胁和脆弱环节1.受到的威胁美国当今的经济和整个国家安全完全依赖于信息技术和信息基础设施,而信息基础设施的核心之一就是互联网。
互联网连接着成百万的其它计算机网络,控制着国家必要业务的开展和基础设施的运作,同时这些计算机网络也控制不属于“Cyberspace”范畴的物理实体,如电力交换机、火车、管道基础设施、医用系统、雷达和证券市场。
美国信息网络上的“Cyber”攻击产生如下的严重结果:破坏关键部门的运作、导致收入的减少、窃取知识产权、甚至严重到生命的丧失。
(1)最近几年,进行“Cyber”攻击的恶意破坏者能力越来越高,已经可以一定程度地破坏国家关键基础设施。
其中,有组织有计划的”Cyber”攻击带来的威胁非常大:破坏国家关键基础设施、国家经济以及国家安全;特别这些有组织的攻击者充分利用挖掘“Cyberspace”的某些薄弱环节来进行具有相当破坏力的攻击;(2)当今许多专家对”Cyber”攻击的攻击目的和其全套技术存在着很多疑惑,而且目前对抗这些攻击所需要的技术还存在很大的差距。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
美国联邦政府威胁信息共享与协作概貌发布时间:2015-05-07 11:06:00 来源:博客作者:佚名关键字:网络攻击生命周期网络杀伤链威胁情报信息共享0 引言当今,互联网已与我们的生活融为一体,使我们充分感受到其带来的便利,但同时也看到全球互联网安全事件频发,使我们面临日益严峻的互联网安全威胁的挑战。
在活跃的网络威胁环境中,有效的安全事件检测和响应是我们面临的持续挑战,依靠个体力量已无法有效防止和应对安全事件,对安全事件及时、有效的响应需要各种机构间进行信息共享、沟通、互动与协作,需要积极的国际合作。
信息共享与协作提供了增强机构网络安全能力的有效方法。
建立机构间共享关系并进行安全事件协同响应,将为机构提供获取原本无法获得和使用的威胁情报和工具的机会。
机构可以通过使用共享资源,利用合作伙伴的知识、经验和能力,改善其自身的网络安全状况。
2014年10月,NIST发布SP 800-150《网络威胁信息共享指南》〔1〕,通过讨论信息共享与事件协作的利益和挑战,研究信息共享体系结构,探讨机构网络安全能力成熟度对其参与信息共享与协作的影响,并提出参与信息共享的具体考虑,帮助联邦机构在网络攻击全生命周期中建立、参与和维护信息共享关系,与外部机构沟通、协调,管理事件影响。
其目标是通过引入安全、有效的信息共享实践,提供信息共享方案规划、实施和维护的指导,为提高机构网络运营防御和事件响应活动的效率和效果提供指南。
2014年11月21日,在世界互联网大会“网络空间安全和国际合作”分论坛上,中央网信办网络安全协调局局长赵泽良发出倡议,提出在当前新形势下开展国际网络安全合作,共享信息,联手应对,共同构建和平、安全、开放、共赢的网络空间〔2〕。
可以预见,信息共享与安全协作必将成为我国有效防止和应对网络威胁的关键举措,本文试图描绘美国联邦政府威胁信息共享与协作概貌,希望能对我国的信息共享与安全协作相关工作提供参考。
1 信息共享与协作的优势与挑战一、信息共享与协作的优势在整个安全事件响应生命周期中进行信息共享与协作的优势包括:l 提高共享态势感知能力。
通过信息共享,充分利用合作伙伴的知识、经验和分析能力,从而提高各机构的安全态势感知和防御能力。
l 增强对威胁的认识。
通过开发和共享威胁信息,获得对威胁环境更全面的了解,从而能够根据威胁环境的变化,制定和部署安全控制、对策、检测方法、纠正措施等。
l 促进信息的聚合。
对看似无关的原始情报进行共享和分析,使其彼此关联,构建健壮的与某个特定事件或威胁相关的信息集,促进对信息之间关联关系的深刻理解。
l 提高防御敏捷性。
随着网络安全技术的进步,对手不断调整其战术、技术和程序(TTP,Tactics、Techniques and Procedures)来对抗网络防护者实施的保护和检测措施。
通过信息共享与协作,使机构能够快速检测并响应对手TTP的变化,实施主动网络安全策略。
l 提高机构决策能力。
利用和依据共享信息,使机构能够更好的理解对手,预测其行动,更快速和自信地做出决定,并在其行动前部署防御措施。
l 高效处理信息需求。
信息共享是报告或调查网络安全事件的重要活动。
l 快速通报安全事件。
当事件导致有关另一方的信息被发布时,快速通知其受影响的客户或业务伙伴。
二、信息共享与协作的挑战尽管信息共享与协作具有明显优势,但也存在一些必须考虑的挑战,包括:l 法律和机构限制。
机构的行政和法律团队可能出于技术保护、法律或隐私等问题的考虑,限制机构可以共享的信息类型。
l 信息披露风险。
信息的共享可能使贡献者承受暴露机构防护或侦测能力的风险,还可能导致对手转移威胁。
l 隐私保护。
机构可能公开参与信息共享,但对其贡献保持匿名。
由于无法查询信息的来源或了解信息的原始背景和出处,这种信息可能限制其对他人的有用性。
l 信息生成。
机构生成信息须具备必要的基础设施、工具和培训。
虽然基本的事件数据容易生成,但诸如对手动机和TTP等信息的生成通常需要更大的努力。
l 信息利用。
要利用和体现共享信息的价值,机构须具有访问外部资源以及将信息合并到本地决策过程中的所需的基础设施。
l 互操作性。
标准化的数据格式和传输协议有助于促进机构、存储库和工具间事件数据安全、自动交换所需的互操作性,但需要仔细分析统一格式和协议的成本和效益。
l 信息保密。
从政府渠道获得的信息可能被标记为机密信息,使机构难以使用。
对于机构来说,请求和维护持续访问机密信息源所需的审查是昂贵和费时的。
l 建立信任关系。
信任关系形成信息共享与协作的基础,但建立和维护信任关系可能是耗时的。
2 网络攻击生命周期信息共享与协作涉及整个网络攻击生命周期。
网络攻击的规模、范围、复杂性和频率在持续增长,被动防御已不能适应处理利用先进工具、零日攻击和先进的恶意软件破坏系统和网络的高级持续威胁(APT)的需要。
网络攻击生命周期模型虽然不能完全预测对手的行为,但为分析潜在威胁提供了一个简单,且非常有用的抽象概念。
当前已有许多网络攻击生命周期的模型,包括洛克希德·马丁的“网络杀伤链”〔3〕(见图1)和NIST SP 800-115〔4〕提出的攻击阶段步骤等。
图1 网络杀伤链图1的网络杀伤链描绘了网络攻击的7个阶段:第1阶段:获取目标。
对手识别和选取攻击目标。
第2阶段:准备武器。
对手将攻击工具包装进将在目标计算机/网络上执行的有效载荷中。
第3阶段:分发武器。
对手将有效载荷分发到目标系统。
第4阶段:启动武器。
对手执行其安装在目标系统上的代码(攻击工具包)。
第5阶段:安装木马或后门。
对手安装能够在目标环境或系统中持久存在的远程访问工具软件。
第6阶段:建立指挥和控制通道。
对手利用远程访问机制,建立到达已攻击成功的设备的指挥和控制通道。
第7阶段:对目标采取行动。
对手实现既定目标,如:进行数据抽取、横向扩展攻击目标,开辟新的杀伤链等。
网络攻击生命周期的每个阶段对于网络防护者来说都是一个采取行动应对对手的机会。
网络防护者通过使用网络攻击生命周期,结合内部和外部威胁情报,可以制定在网络攻击生命周期的早期(即在攻击发生前)击败对手的主动事件响应策略。
正如图1所示,主动网络防御包括部署在攻击执行之前应对对手的防护和检测措施。
网络防护者通过在网络攻击生命周期的获取目标、准备武器和分发武器阶段识别和参与对手活动,部署缓解措施或采取行动,确保在对手成功执行和利用之前保护关键任务资产。
无论在杀伤链中的哪个环节采取措施,网络防护都必须执行整个网络攻击生命周期的威胁分析,以确保响应的有效性。
这种分析应包括:识别威胁指示信息,确定在网络攻击生命周期的哪个阶段观察这些指示信息,并将这些指示信息与其他威胁情报关联。
只有通过了解对手在网络攻击生命周期中的操作,网络防护者才能够设计出更有效的防御策略。
要建立主动防御,机构应设法了解整个网络攻击生命周期内对手的TTP,并获取和利用及时、准确、详细的相关威胁情报。
平行机构间的信息共享是开发同级情报的一种有效方法。
通过在扩展的时间段内观察对手的目的、活动和行为,可以开发出针对特定对手的TTP。
通过与其他防护者共享这些信息可以使他们获得有价值的针对特定对手战略和总体规划的理解,从而增加其预测入侵者行为和开发更有力和有效防御功能的能力。
3 威胁情报信息威胁情报是网络防御和事件响应的重要组成部分,是信息共享与协作的主要对象。
机构应通过收集主动威胁其环境的相关情报,实施有针对性的战术和战略防御措施。
威胁情报包括:有关对手利用的威胁、TTP和设备的信息;对手指向的目标系统及其信息;其他任何为网络防护者和事件响应者提供更多态势感知的威胁相关的信息等。
一、威胁情报及其特点有效的威胁情报表现出以下特点:l 及时性。
威胁情报应当被快速传递,具有最小的延时,为接收方提供足够的机会来预测威胁并准备相应的响应。
情报的及时性是环境相关的,需要考虑威胁的波动性、攻击速度、对手的能力和TTP。
有些决策可能需要在几秒或几分钟内传递战术情报,以应对快速变动的对手。
有些威胁变化比较缓慢,是蓄谋已久的,可能需要使用数小时、数天、甚至数月的历史情报来有效处理和解决。
l 相关性。
威胁情报应具有接收者运行环境的适用性,说明机构可能要面对的威胁和可能遭遇的攻击,并描述接收者可能遇到的对手。
威胁情报的接收者应进行风险分析,确定与特定威胁相关的风险。
l 准确性。
威胁情报应正确、完整和明确。
不准确或不完整的信息可能妨碍重要的行动、引起不必要的行动、导致不恰当的反应或使接收者产生安全错觉。
l 具体性。
威胁情报应描写事件或对手的细节,触及有关威胁的凸出层面,使接收者理解威胁的可能影响,能够评估可以采取的行动。
l 可操作性。
威胁情报应提供足够的信息和背景使接收者能够确定对抗威胁可以采取的行动和制定应对威胁的恰当方案。
二、威胁情报的来源现实中有许多网络威胁情报的来源,机构可以内部收集和开发,或通过共享社区、公开源、业务合作伙伴、业界同行、产品供应商、商业网络威胁情报服务、客户、执法机构或其他事件响应团队等,从外部情报资源获取。
任何有关对手目标和动机的发现都是非常有价值的情报,与可信个人或机构有关的人际关系是极好的信息来源。
内部威胁情报来源包括:入侵检测和防护系统、安全信息和事件管理产品、防病毒软件和文件完整性检查软件的警报,操作系统、网络、服务和应用的日志等。
应保留收集的内部威胁情报及相关证据,在机构安全策略允许的情况下与合作伙伴共享。
外部威胁情报可以通过行业共享社区(如:金融、电力、医疗等)获得。
在特定领域内运行的机构应考虑加入已建立的共享社区,或考虑与其他领域常常面临同样威胁和对手的机构形成共享社区。
其他可能的外部威胁情报来源包括:服务于当地、地区和政府执法部门等的社区;省、市和地方政府;应急响应人员和其他附属机构;提供类似威胁情报和其他收费增值能力的商业网络威胁情报服务供应商等。
许多可通过互联网访问的公开威胁情报公布了危害指示信息、黑名单、恶意软件和病毒信息、垃圾邮件发送者名单,以及其他新出现的威胁等信息。
这些来源的信息可能需要人工收集和分析。
4 信息共享体系架构基本的信息共享体系结构如图2所示,包括:中心共享式和点对点共享式。
图2 基本信息共享体系架构不同的信息共享体系架构,具有不同的特点,在选择信息共享体系架构时,应考虑以下关键因素:l 信息共享参与者的特点、可信性、能力和组成l 政府、成员机构和赞助商支持共享承诺的程度l 将要共享的信息类型和敏感程度l 所需信息的分发频率、多少和速度一、中心共享式体系架构中心共享式体系架构具有一个中心,用于存储或交换来自成员或其他来源的信息。
由成员提供的信息被中心直接转发给其他成员,或由中心以某种方式处理后分发给指定的成员。
中心进行的信息处理包括:对多个来源信息的聚合和关联、消毒、去属性,通过提供附加背景丰富信息,或进行趋势研究和分析,确定总体趋势、威胁和恶意活动等。