如今社會正面臨著日益復(fù)雜多變的新型威脅場景（例如，國家黑客、網(wǎng)絡(luò)犯罪、經(jīng)濟(jì)威脅、工業(yè)間諜、黑客行為和恐怖主義），如何進(jìn)行有效地防御成為網(wǎng)絡(luò)安全屆必須面對的難題。

面對攻擊，依據(jù)傳統(tǒng)思維在安全事件已經(jīng)發(fā)生后，進(jìn)行應(yīng)急響應(yīng)的成本可謂是巨大的。為改變傳統(tǒng)的事后防御的不利局面，企業(yè)信息安全防護(hù)體系建設(shè)思路已從被動防御逐步發(fā)展為主動防御。在攻擊者開始進(jìn)行漏洞利用之前就可以對其進(jìn)行發(fā)現(xiàn)及遏制，以解決滯后性的威脅檢測及威脅響應(yīng)。

在這過程中，情報的傳播速度與廣泛程度對于復(fù)雜性威脅環(huán)境來說至關(guān)重要，因此，建立一個自動化的、幫助人為分析或執(zhí)行的快速防御機(jī)制就是首要步驟。

目前成熟的國外威脅情報標(biāo)準(zhǔn)包括網(wǎng)絡(luò)可觀察表達(dá)式（CyboX）、結(jié)構(gòu)化威脅信息表達(dá)式（StructuredThreatInformationeXpression，STIX）以及指標(biāo)信息的可信自動化交換（TrustedAutomatedeXchangeofIndicatorInformation，TAXII）等。

其中，作為兩大標(biāo)準(zhǔn)，STIX和TAXII的發(fā)展得到了主要安全行業(yè)機(jī)構(gòu)的大力支持，其中包括IBM、HPE、思科和戴爾，大型金融機(jī)構(gòu)以及包括國防部和國家安全局在內(nèi)的美國政府機(jī)構(gòu)等。

什么是結(jié)構(gòu)化威脅信息表達(dá)式（Structured Threat Information eXpression，STIX）？

STIX提供了基于標(biāo)準(zhǔn)XML的語法描述威脅情報的細(xì)節(jié)和威脅內(nèi)容的方法，是基于邊緣和節(jié)點(diǎn)的圖形數(shù)據(jù)模型。節(jié)點(diǎn)是STIX數(shù)據(jù)對象（STIX Data Objects ，SDO），邊緣是STIX關(guān)系對象（STIX Relationship Objects ，SRO）。

SDO包含以下信息：

攻擊模式；

身份；

觀察到的數(shù)據(jù)；

威脅行為者；

安全漏洞等；

SRO旨在連接SDO，以便隨著時間的推移，用戶將能夠深入地了解威脅行為者及其技術(shù)。STIX v2預(yù)計(jì)將于年底前推出，供應(yīng)商也正在根據(jù)草案版本提供相關(guān)支持。

實(shí)踐證明，STIX規(guī)范可以描述威脅情報中多方面的特征，包括威脅因素，威脅活動，安全事故等。它極大程度利用DHS規(guī)范來指定各個STIX實(shí)體中包含的數(shù)據(jù)項(xiàng)的格式。

Digital Shadows公司的Holland表示，

“企業(yè)正在意識到要構(gòu)建成功的威脅情報程序，僅僅依靠技術(shù)是不夠的，技術(shù)在其中起到促成并加速對人的分析的作用。我們開始看到面向結(jié)構(gòu)化威脅情報表達(dá)式(STIX)此類標(biāo)準(zhǔn)后面有更多的牽引力量，這將推動威脅情報從業(yè)人員統(tǒng)一溝通規(guī)則，也將促成執(zhí)行阻攔、偵測和響應(yīng)敵人的防御功能身手更加敏捷。”

什么是指標(biāo)信息的可信自動化交換（Trusted Automated eXchange of Indicator Information，TAXII）？

從TAXII GitHub網(wǎng)站得知，TAXII旨在標(biāo)準(zhǔn)化網(wǎng)絡(luò)威脅信息的可信、自動化交換。指標(biāo)信息的可信自動化交換（TAXII ）為威脅情報服務(wù)和消息交換制定了標(biāo)準(zhǔn)。實(shí)施后，可助力在不同的組織和產(chǎn)品/服務(wù)間共享可操作的網(wǎng)絡(luò)威脅信息，以發(fā)現(xiàn)、防御和減輕網(wǎng)絡(luò)威脅。

TAXII在標(biāo)準(zhǔn)化服務(wù)和信息交換的條款中定義了交換協(xié)議，可以支持多種共享模型，包括hub-and-spoke（軸輔式）、peer-to-peer（P2P）、subscription等。TAXII在提供了安全傳輸?shù)耐瑫r，還無需考慮拓樸結(jié)構(gòu)、信任問題、授權(quán)管理等策略，留給更高級別的協(xié)議和約定去考慮。

當(dāng)前的通常做法是用TAXII來傳輸數(shù)據(jù)，用STIX來作情報描述。

實(shí)施

用戶和安全供應(yīng)商將參與到為威脅情報標(biāo)準(zhǔn)注入新的生命力的過程中。用戶將能夠把匿名數(shù)據(jù)傳遞給他們的安全供應(yīng)商，而安全供應(yīng)商也將能夠快速地共享威脅情報給其他用戶。您將仍然需要購買安全服務(wù)，但這些服務(wù)作為社區(qū)實(shí)時共享威脅和防御數(shù)據(jù)的一部分，將會更加有效。

目標(biāo)

網(wǎng)絡(luò)犯罪分子日益擴(kuò)展的利潤鏈，造成了非常嚴(yán)重的惡性循環(huán)，利潤可以醞釀更為復(fù)雜嚴(yán)重的網(wǎng)絡(luò)攻擊。但是就像其他任何產(chǎn)品一樣，復(fù)雜的惡意軟件必須有利可圖。

如今，一個單一的攻擊向量可以被攻擊者利用幾十次或數(shù)百次，為攻擊者創(chuàng)造了極大的利潤。但是，如果一個新的攻擊向量在經(jīng)歷一兩次攻擊后就失效了，那么他們的盈利能力就會下降。

未來十年，STIX和TAXII等舉措必將成為左右網(wǎng)絡(luò)安全戰(zhàn)斗力的重要指標(biāo)。如果您的公司有合作的安全供應(yīng)商，請咨詢他們是否了解STIX和TAXII，以及準(zhǔn)備如何使用它們。

如何構(gòu)建更加智能主動的防御體系，還需要結(jié)合具體的業(yè)務(wù)情景進(jìn)行不斷研究。隨著威脅情報標(biāo)準(zhǔn)的制定以及大數(shù)據(jù)實(shí)時流處理、機(jī)器學(xué)習(xí)技術(shù)的應(yīng)用，實(shí)時動態(tài)感知威脅情報、實(shí)時威脅情景學(xué)習(xí)與預(yù)測將使安全防護(hù)措施識別攻擊的成功率和精準(zhǔn)度進(jìn)一步提升，促進(jìn)主動防御體系的進(jìn)一步成熟。