2018年10月10日,我国正式发布威胁情报的国家标准《信息安全技术网络安全威胁信息格式规范Information security technology—Cyber security threat information format》(GB/T 36643-2018)。
这份标准由中国电子技术标准化研究院牵头制定,共有 29 家单位共同参与完成。通过结构化、标准化的方法描述网络安全威胁信息,以便实现各组织间网络安全威胁信息的共享和利用,并支持网络安全威胁管理和应用的自动化。这意味着我国网络安全在法规、规范方面又更进一步,同时,也顺应了当前阶段网络安全领域威胁情报的发展现状和趋势。
标准从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施等八个组件进行描述,并将这些组件划分为对象、方法和事件三个域,最终构建出一个完整的网络安全威胁信息表达模型。
此前,多位业内专家或厂商都曾在会议或其他场合表达过对威胁情报共享和标准化的期望。也有人分析称自动化、标准化、体系化将是威胁情报发展的必由之路。
随着网络攻防对抗博弈的日益加剧,网络攻击方式和攻击手法呈现出多样性、复杂性特点,网络安全威胁具有越来越明显的普遍性和持续性,且攻击者获取攻击工具越来越便利,导致网络攻击成本大大降低,检测网络攻击的难度却越来越大。传统的网络安全防护方案仅仅依靠各个组织独立实施垂直的防护机制,在应对这些复杂网络攻击时显得越来越低效,亟待采取新的技术手段来提升整体网络安全防护能力。
网络安全威胁信息的共享和利用,是实现关键信息基础设施安全防护的重要环节,有利于实现跨组织的网络安全威胁信息的快速传递,进而实现对复杂网络安全威胁的及时发现和快速响应。
规范网络安全威胁信息的格式和交换方式是实现网络安全威胁信息共享和利用的前提和基础,因此它在推动网络安全威胁信息技术发展和产业化应用方面具有重要意义。
本次《信息安全技术网络安全威胁信息格式规范》的发布以及到 2019 年 5 月 1 日正式实施后,我国威胁情报的发展将迎来新阶段。