信息安全社区标准化活动的集合和计划

网络情报威胁分析

网络情报,收集、分析和应对网络安全威胁的信息,是一个重要的功能在当今敏捷网络对手防御。网络情报始于收集详细信息攻击,例如鱼叉式网络钓鱼电子邮件标题和内容,恶意链接的url,恶意软件analysis-derived构件(如指挥控制(C2)域名和IP地址。威胁语料库的数据,熟练网络分析师然后组织类似的活动模式,属性活动某些威胁演员,快速识别和实施缓解策略,并预测在未来推出类似的攻击。

结构化的威胁信息表达式(斯蒂克斯)语言帮助分析师表示网络威胁信息以结构化的方式。斯蒂克斯建立在“网络可见”,也就是说,运营网络事件或状态属性,如注册表键,电子邮件,和网络流数据中定义网络可观测的表达式(CybOX)语言。

常见的漏洞枚举(CVE),通用平台枚举(CPE),常见的弱点枚举(CWE),恶意软件属性枚举和表征(MAEC)也是构建块斯蒂克斯框架中使用捕获标准的漏洞,平台,弱点和恶意软件信息。可以使用指定的攻击常见的攻击模式枚举和分类(CAPEC)

此外,斯蒂克斯指标信息可以用于生成特定查询来寻找网络被观察对象,使用开放的脆弱性和评估语言(椭圆形),开放妥协的指标(OpenIOC)SNORT规则,或雅苒规则。