CI 學堂













                 STIX 情資除了便利封裝，能將情資進                              情資分享模型架構

            行儲存、傳遞、分享與分析，目前美國國
                                                                     情資分享模型架構可略分為以下模式：
            土安全部旗下的資通安全辦公室（Office
            of Cybersecurity and Communications）、               一、 點對點型（Peer-to-Peer）

            國家網路安全和通訊整合中心（National                              1.  任何一個社群中之會員均可與其他會員
            Cybersecurity and  Communications                      互動及分享資訊。
            Integration Center）及美國電腦緊急應變
                                                                2.  適合於較小的社群或僅需與部分的會員
            小組（US-CERT）均使用此架構進行情資
                                                                   互動（Small/Asymmetrical Trust）。
                                              11
            分享。STIX 架構分為 12 大模組 ，其模組
                                                                3.  分享模式見圖 2。
            本身或相互之間可具有關聯性與上下關係
            （Context-Sensitive）。                                二、 軸輻型（Hub-and-Spoke）


            二、 TAXII                                            1.  所謂「軸輻式系統」常用於貨運業、航

                 TAXII 是一套網路威脅情資交換傳輸機                              空業、金融資訊業等之 ISAC 系統，即

            制，其功能為提供組織與合作夥伴傳遞與                                     建立一個或數個轉運（或網路）中心，
            共享情資，其功能模組包含網路連接、訊                                     或可稱為「軸心」（HUB），先由各中

            息處理及後端管理等功能單元，並包含數                                     心，結合該 HUB 的專業人員、流程及技
                         12
            種服務功能 。                                                術等來處理情資分享的相關事宜，再由
                                                                   各 HUB 的子系統向外「擴散」或「輻射」
            三、 CybOX
                                                                   （spoke），而各 HUB 間可互相支援。
                 CybOX 是一個標準化的方法（sche-
                                                                2.  分享模式見圖 3。
            ma），用以編碼和傳達高精確度的結構
                                                                3.  我國N-ISAC採用軸輻型情資分享模型，
            化語言，描述所有可以從電腦系統和操作
                                                                   作為情資管理與交流。
            上觀測到的事件內容、行為或狀態特性。

            CybOX 支援許多網路安全領域 。                                  三、 混和型（Hybrid）
                                             13




            11  12 模組包括：資安威脅觀察資料（Observables）、資安威脅模式（Indicator）、資安威脅事件（Incident）、資安威脅手法（Tactics,
              Techniques, and Procedures, TTP）、資安威脅活動（Campaign）、資安威脅者（Threat Actors）、資安威脅目標（Exploit Target）、資安
              威脅防護措施（Course of Action）、資安威脅報告（Reports）、資安通報與警示（Security Advisories and Alerts）、執行指引（Operational
              Practices）與弱點資訊（Vulnerabilities）等。
            12   服務功能包含：接收服務（Inbox Service）、收取服務（Poll Service）、探索服務（Discovery Service）及訂閱管理服務（Collection
              Management Service）等。
            13   包含威脅評估與描述（Threat assessment and characterization）、惡意軟體描述（Malware characterization）、操作事件管理（Operational
              event management）、安全性資訊與事件管理／記錄（Security information and event management / Logging）、網路情境感知（Cyber
              situational awareness）、事件應變（Incident response）、指標共享（Indicator sharing）及數位鑑識（Digital forensics）等。


                                                                                                  No.37 JAN. 2022  55