STIX 2.0：技术发展之路

2017 年 8 月 17 日 安全牛 nana

公元前490年，雅典人和看起来强大而不可战胜的波斯人之间爆发了一场大战：马拉松战役。孤军作战，缺少斯巴达人的帮助之下，1万雅典战士打败了大流士王率领的3.5万大军。

对当地地理环境的熟悉、技术上的优势和战术技巧，让雅典人围歼了他们的敌人。2013年，两位历史学家将这场战役描绘成世界历史的关键转折点之一。他们推测，如果波斯人赢得此战，民主、自由市场和西方文明的其他标志性特征，就将不复存在了。

今天，保护全球关键基础设施的网络安全专家就好似古时的雅典人：生死存亡大战下自由社会的守护者。雅典人的技术性优势包括金属盾牌、纪律严明的组织和忠诚——或许可称之为进攻性反制措施。

应对现代攻击者的进攻性反制措施重要策略之一，是机器可读威胁情报(MRTI)的实时信息共享。为有效共享MRTI，各方必须商定一个描述所有数据元素的通用本体。这是网络威胁分析和共享生态系统中所有产品设计和部署的基础。

7月，结构化信息系统发展组织(OASIS)的网络威胁情报技术委员会(CTI TC)，通过了用于提供此类本体的 STIX 2.0 委员会规范。CTI TC 由全球公司企业的280名代表组成，完全投身于保护世界通信系统和其他关键基础设施。其中成员包含风险管理人员、威胁分析师、恶意软件分析师、事件响应从业者、修复动作工程师、数据架构师、数字取证专家和软件工程师。

STIX 2.0是个概念性数据模型，用于描述攻击指标(IOC)，凸显网络攻击序列中可影响技术栈的其他各种元素。包括攻击者所用战术、技术和规程(TTP)，威胁执行者的潜在动机和意图，恶意软件属性，受害目标确定的各种特征，以及其他元素。

STIX 2.0 可将不同元素数据源融合到单一数据集中，以评估其中的关联性。跨时间、跨恶意的“物理及数字基础设施”的关联，可帮助分析师梳理出模式，建立起关于攻击者及其动机和意图的有效理论。

为辅助这一过程，被称为威胁情报平台(TIP)的新一类情报产品应运而生，用于管理这些数据流。典型的TIP可以：

查询综合数据集，测试分析师关于潜在关联的假设；
用二级、三级关联丰富原始数据，进一步揭示攻击者动机和意图；
存储原始数据和已处理数据，方便访问、对比和关联；
处理数据，提供分析和报告服务；
分析数据，进一步测试有关潜在攻击者活动的假设。

全球公司企业都在建立内部网络威胁分析团队，加入使用这些TIP的正式信息共享信任社区。这些社区内部的IOC共享，赋予了现代防御者战术和战略优势，用以对抗来自不同地域，有着各种动机的大量攻击者。

STIX 2.0 是现代防御者在技术上更为先进的金属盾牌。STIX 2.0 用基于JSON的无缝框架更新了基于XML的 1.x 版，以绩效为导向，由全球社区完全审查，很容易集成到现有工作流和技术中，让公司企业不仅可以共享基本的IOC，还能共享更为复杂更高阶的情报。对攻击者、目标、行动和入侵集的描述，被很容易地编码成机器可读的格式，帮助防御者基于可用的最大信息量对事件进行排序和响应。

回到我们的类比，人数劣势而组织性上占优的雅典人，在马路上战役中智取波斯人。在军号声的指引下，雅典人盾牌结阵，推进，赢下战役。

当雅典明显会赢下马拉松战役之时，费迪皮迪兹狂奔42公里报信“我们赢了！”的传说就此诞生。费迪皮迪兹报完喜讯即疲累而死。

现代马拉松就是这一跑步过程的再现。

如今，我们开启了 STIX 2.0 马拉松之旅。

多喝水！