Page 55 - 清流雙月刊 NO.37
P. 55
CI 學堂
一、 原則 換格式與系統架構,採用 STIX(Structured
1. ISAO 和其成員如希可與其他 ISAO 成員 Threat Information eXpression)格式與
及各級政府單位共享情資,則須有一致 TAXII(Trusted Automated eXchange of
性的技術標準、框架及資料格式。 Indicator Information)傳輸架構,其中情
2. 建置框架來達成不同來源之情資的完整 資內容描述宜採用 CybOX(Cyber Observ-
性與可分析性。 able eXpression),以利跨組織之情資傳
遞與交流(圖 1)。
二、 類型
一、 STIX
5
包括資安訊息情資(ANA)、資安預警
7
6
情資(EWA)、網頁攻擊情資(DEF)、入 STIX 格式是一個共同合作開發的標準
8
9
侵攻擊情資(INT) 與回饋情資(FBI) 等。 結構化語言,用於規範、獲取、描述和傳
達標準化網路威脅資訊,使用擴展標記語
言(Extensible Markup Language, XML)
分(共)享情資之
格式進行撰寫,便於封裝情資資訊,並且
技術標準與資料格式
具有高度的可解讀性,方便人類與機器進
情資交換平臺應配合國家資安資訊分 行解讀,同時 XML 也有良好的擴展性,能
享與分析中心(National Information Shar- 透過編寫將既有資訊進行擴展。
10
ing and Analysis Center, N-ISAC) 情資交
情資交換格式 情資傳輸架構與機制 情資內容描述(Schema)
STIX TAXII CybOX
● 情資封裝(Package) ● 傳輸協定 ● 描述觀察到行為的特徵、
格式 ● XML Web Service 用來 屬性等
● 提供規範的資料模型 作為交換情資的標準
來描述威脅情資
圖 1 技術標準與資料格式
5
包含重大威脅指標情資、資安威脅漏洞與攻擊手法情資、重大資安事件分析報告與資安相關技術或議題之經驗分享。
6 包含疑似存在系統弱點或可疑程式、疑似進行惡意或攻擊行為與進行可疑連線行為或活動。
7 包含特定網頁遭受攻擊且證據明確、特定網頁內容不當且證據明確、特定網頁發生個資外洩且證據明確。
8
包含特定系統遭受入侵且證據明確、特定系統進行網路攻擊活動且證據明確。
9
包含情資使用或處理情形回饋、分享資安事件統計資料。
10
為國家級的資安資訊分享與分析平臺,於 2018 年 1 月正式運作。
No.37 JAN. 2022 53