PDF《网络威胁信息共享指南》

800 系列文件聚焦于 ITL 在信息系 统安全方面的研究、指导和外展活动以及联合业界、政府和各学术机构开展的协作活动. 摘要 网络威胁信息指可帮助组织识别、评估、监控及响应网络威胁的任何信息.此类信息包括攻陷指标 (indicator of compromise,亦有译为 攻击指示器 、 入侵指示器 的)、威胁源起方(threat actor)使用的策略、技术与过程(TTP)、检测、控制或防护攻击的建议方法以及安全事件分析结果.网络 威胁信息的共享可同时提高分享组织与其他组织的安全状况.本文为建立、参与网络威胁信息共享关系提供 了指导,帮助组织设定信息共享目标、识别网络威胁信息源、确定信息共享活动范围、制定威胁信息发布与 分发规则、加入现有共享社团、有效利用威胁信息,以支持其总体网络安全实践. 关键词 网络威胁,网络威胁信息贡献,指标,信息安全,信息共享 致谢 本文作者包括 NIST 的克里斯 ? 约翰逊(Chris Johnson)、李?贝杰(Lee Badger)、大卫 ? 沃 尔特米尔(David Waltermire)以及 MITRE 公司的朱莉 ? 斯奈德(Julie Snyder)和克莱姆 ? 斯科鲁普 卡(Clem Skorupka).在此,他们特向为本文做出贡献的同事表示感谢,包括 US-CERT 的汤姆・米勒 (Tom Millar),MITRE 公司的凯伦・奎格(Karen Quigg)、理查德・穆拉德(Richard Murad)、卡洛 斯・布拉斯克斯(Carlos Blazquez)、乔恩・贝克(Jon Baker),NIST 的穆若盖依尔・塞皮亚(Murugiah Souppaya),卡耐基・梅隆大学软件工程学院的瑞安・米尔夫(Ryan Meeuf),G2 公司的乔治・塞勒、格雷 格・维特(Greg Witte)、马特・史密斯(Matt Smith),斯卡尔丰网络安全公司的凯伦・斯卡尔丰(Karen Scarfone),乔治敦大学乔治敦安全通信中心的艾瑞克・伯格(Eric Burger), 网络工程服务公司的乔・德雷 塞尔(Joe Drissel),互联网安全中心的托尼・萨格尔(Tony Sager), 英特尔安全事业部的肯特・兰德菲尔德 (Kent Landfield),KEYW 公司的布鲁斯・波特(Bruce Potter),戴尔 SecureWorks 的杰夫・卡朋特(Jeff Carpenter),北美电力可靠性公司(NERC),Gartner 公司的安东・楚卫肯(Anton Chuvakin),SANS 技术研究所的约翰尼斯・乌尔里希 (Johannes Ullrich) , 国防工业基地协同信息共享环境 (DCISE) 的帕特里克・邓 普西(Patrick Dempsey),Mass Insight 的马修・舒斯特(Matthew Schuster),美联储的詹姆斯・考尔菲 尔德(James Caulfield),Biogen 公司的鲍勃・瓜伊(Bob Guay)以及 Courion 公司的克里斯・沙利文(Chris Sullivan). 商标信息 所有的商标或注册商标均属于各相关组织. 公益 译文 项目

1 执行摘要 网络攻击日益频繁,复杂度也与日俱增,为组织保护数据及系统免受强大的威胁源起方的攻击带来了巨 大挑战.这些威胁源起方或为自主发起攻击的个人攻击者,或为有充足资源、行动一致的群体,多为犯罪集 团成员或代表某国政府利益.威胁源起方持续发起攻击,动机明确,动作敏捷,使用各种 TTP 入侵系统、中 断业务、进行金融诈骗、泄露或窃取知识产权及其他敏感信息.考虑到这些威胁所带来的风险,组织应更加 重视共享网络威胁信息,利用这些信息提高自己的网络防护能力. 网络威胁信息指可帮助组织识别、评估、监控及响应网络威胁的任何信息,包括指标(与攻击相关的系 统组件或可观察事件(observable))、TTP、安全警报、威胁情报报告、推荐安全工具配置等.多数组织 在信息技术与安全运营实........