与黑客类似的战术(与黑客类似的战术游戏)

来自不同行业的组织之间威胁信息共享面临着很多挑战。本文研究了基于区域的组织间如何有效共享威胁信息，提出三类区域共享组织：破坏、盗窃和APT 组，给出三种方法：接受所有三个组的成员，限制共享细节；只接受来自盗窃组和APT 组的成员，构建优化的共享机制；接受所有三个组织的成员，为盗窃和APT 组成员提供单独的共享机制，同时为所有成员提供协作机制，最后给出了信息共享的具体建议。

引言

共享威胁和事件信息已成为组织关键的网络安全实践。它可以提高组织对网络安全威胁的可见性，提供更好的态势感知能力，促进了有效的风险决策。

传统的网络威胁信息共享交换是基于行业和部门，无论是直接端对端的交换，还是基于部门（sector-based）的信息共享和分析中心（ISAC）。这通常是有效的，因为对于同一个行业的组织来说，它们使用相同的业务语言，往往有相似的业务线、数字资产、网络威胁以及类似的组织实践。然而，这种基于部门的共享机制，面临着信息不能有效共享的挑战。“Verizon 2015 数据泄露调查报告”（DBIR）提出“基于行业的信息共享有优化的空间”，然后主张“应跨行业组织，对各种类型的风险进行更周密分析和研究”。

信息共享和分析中心（ISAC）就是基于部门的信息共享组织之一，例如航空ISAC（A-ISAC）和金融ISAC（FS-ISAC）。 基于部门的组织往往具有类似的任务、需求以及面临类似的威胁，但并不是所有的ISAC 成员都面临同样的威胁。此外，这种基于部门的共享不能获得跨行业边界的威胁趋势。

最近几年出现了新的网络安全威胁信息共享组织，例如美国国土安全部（DHS）一直在积极推动新的信息共享和分析组织（ISAO）的发展。特别是近来出现的基于区域网络安全共享组织，代表着截然不同的方法。顾名思义，区域共享组织首先是区域性的，定期进行面对面的会议和协作。此外，由于成员是以地理而不是业务部门为基础的，也打破了以部门为基础的共享机制的障碍。特别是，可以促进成员之间的面对面交互，这可以产生信任，促进了思想和方法交流。区域共享机构的例子包括英格兰高级网络安全中心（ACSC）、大西洋网络中心、洛矶山脉西部网络交换中心，以及加州网络安全信息共享组织（CALCISO）。

参与组织之间的多样性是区域共享组织的重要优势。然而，这种多样性同样可能会破坏信息共享。来自不同行业的组织往往有不同的业务流程，面临不同类型的威胁，有不同的网络安全实践。因此，为了有效共享，从多样性中受益，管理人员和组织成员需要合理管理多样性，设计共享机制。

展开全文

区域共享组织面临的挑战是：如何有效地管理其成员之间的多样性，既可以从行业多样性中受益，又可以避免多样化导致的沟通障碍？

本报告旨在为管理人员和成员提供工具，管理其成员之间的多样性，实现有效的网络安全威胁信息共享。另外，虽然本文着重研究对象是区域共享组织，同时，希望也能帮助基于部门共享机构，管理其成员之间的多样性。通过应用两个MITRE 的框架来实现目标：1、网络准备框架（the Cyber Prep Framework）提供描述区域共享组织成员多样性的方法； 2、BLAISE 方法，提供了基于参与者的多样性来优化信息共享的方法。网络准备框架有两个核心观点。首先，不同的组织面临不同种类的网络威胁。有的需要防范网络犯罪分子，其对手目的是试图窃取货币化的数字资产，而另一些则需抵御民族或国家背景的攻击者，其对手目的是建立长期的数字化间谍活动。第二个观点是，组织的网络防御策略应该与组织面临的威胁类型相匹配。不同类型的威胁决定着不同类型的准备组织。网络准备框架讨论了关于攻击者和防御者的网络安全管理计划。

第二部分简要介绍了网络准备框架，该框架定义了五种网络准备组织（Cyber Prep classes）。本文根据访谈有关方的结果，最后合并和定义了三类准备组（preparedness groups） - 破坏组、盗窃组和高级持久性威胁（APT）组。

第三部分将网络准备框架应用于威胁信息共享，着重关注典型代表，即盗窃组和APT 组，给出了防御者和攻击者的根本差异。基于这些差异，确定了他们在网络威胁信息上的动机和目标的几个差异。

第四部分介绍了BLAISE 方法，该方法可以帮助信息交换机制的设计者。 BLAISE 定义了四种信息共享：自动化机器之间信息共享、结构化专家级信息共享、特定组织级协作，以及间接中介翻译。 BLAISE 的核心观点是，信息共享自动化与共享细节的级别，与参与者的多样性有一定的关系。这个关系也说明了通常信息共享失败的原因，以及实现成功有效共享所需要的条件。在第5 部分将BLAISE 信息共享观点应用在“网络准备框架”中提供的三类准备组上，给出了信息共享的建议。构建成功的区域共享的三种基本方法：

·接受所有三个准备小组的成员，但合作交流方面要有一定限制。

·只接受来自盗窃组和APT 组的成员，构建优化的共享机制。

·接受所有三个小组的成员，为盗窃和APT组成员提供单独的共享机制，同时为所有成员提供协作机制和中介翻译的支持。

最后，针对三个组的信息公布和共享活动提出具体建议。第六部分得出结论，并讨论了未来工作的扩展。

网络准备框架及区域共享组织

构建可行和有效的信息共享的关键是确定具有类似操作实践的组织，虽然同一行业的大多数组织都可以有效地进行沟通，但来自其他行业和部门的组织也可能具有类似的网络安全实践，可以进行有效地信息共享。为了实现跨部门的有效信息共享，区域共享组织的管理者和成员需要找到方法，来识别有潜力的信息共享组织。

MITRE 提出的网络准备框架（Cyber Prep Framework），提供了一种对组织进行分类的方法，基于相似的网络防御策略和状态，称之为组织的网络准备状态（cyber-preparedness）。

MITRE 网络准备框架认为，组织的过程和准备状态可以根据组织面临的威胁的级别来理解。它描述了五个威胁级别和五种相应的网络防御状态，如图1 所示。

图 1 MITRE 网络准备框架

MITRE 网络准备框架提出，组织的防御状态应与其威胁的级别相匹配。有时候可能过犹不及，比如当企业的防御状态超过企业实际面临的威胁时，会造成财务负担，这也是一种业务风险。当然，更常见的情况是企业的防御状态不足于抵御网络威胁。

基于一系列访谈和定性研究，我们将区域共享组织分为三个主要组，可以直接对应到网络准备框架的五个分类。

第一组是破坏组（Vandalism group），它直接对应于网络准备框架中的破坏组。该组成员所面临的最大威胁是其在可以通过互联网访问到的资产。它们面临DoS 攻击、勒索和网站破坏。这种攻击不需要太多的攻击技巧。目前对于此类攻击破坏行为的对策已经得到了很好的共享。首先，普遍采用标准的安全最佳实践，也被称为网络安全基础准则（Cyber Hygiene），例如互联网安全中心（CIS）关键安全控制措施，可以减轻此类破坏者所构成的威胁。第二，可获利的信息资产在组织中普遍存在，所以更复杂的盗窃组（Theft）的攻击者会攻击更多的组织。也就是说，基础网络安全准则对于许多组织已经不够的。第三，区域共享组织的成员存在自我选择的因素。也就是说，对网络威胁信息共享投入资源的组织，通常超越了基本的网络基础准则，相反，将网络安全投资限制在基本准则上的组织，不大可能投入资源来参与信息共享组织。

第二组称为盗窃组（Theft group），对应于网络准备框架中的网络入侵和网络攻击组。其对手的主要目的是窃取可以获利的信息资产。这些攻击者具有很高的能力，但是与更高级的攻击者不同，他们不需要长期潜伏在受害者网络中。大部分的区域共享组织的潜在成员属于盗窃组。

第三组是APT 组，对应网络准备框架中的网络攻击、间谍和网络战组。虽然此类组织成员中有明显差异，但这类组织成员的操作实践很相近，足以支持有效的共享。目前试图促进跨五类组织成员之间的共享是不切实际的。

这些分类（不论是网络准备框架中的五类组织，或合并的三种）不应该被视为一种分级。盗窃组（Theft group）的成员不应该希望成为APT组成员。相反，组织应根据他们所面临的威胁，进行正确地投资。过度的网络安全投资也是一种业务风险。当然，攻击者只要能够渗透进目标，就会使用不太复杂的攻击模式，因此，APT 组防御人员必须能够防范盗窃和破坏组的工具、技术和程序（TTPs），而盗窃组的防御人员必须能够防范破坏组的TTP。

信息共享组织应明确描述网络准备组的不同级别，并与其成员一起，从风险管控的角度确定在哪个准备组对于他们来说最有意义，然后考虑为不同准备组构建不同的共享机制。

区域共享组织的网络准备分析

网络准备框架的原型来自于NIST 的网络安全框架，并给出出了范围广泛的网络威胁和防御措施。鉴于盗窃和APT 组在区域共享组织中往往更有代表性，因此着重考虑盗窃和APT 组的防御者和攻击者之间的区别，描述了这些区别带来的不同共享实践。

APT 和盗窃组之间的主要区别

APT 组成员的知识产权，这往往是间谍活动的目标。其攻击者通常有民族国家或大型公司的背景，他们希望获得超越防御人员的长期战略优势。攻击者通过建立长期持续的能力，来发现和窃取知识产权，因此命名为高级持续性威胁（APT）。

相比之下，盗窃组成员拥有的是可获利的数字资产。其攻击者是以金钱为动力的犯罪分子，从松散的机会主义罪犯到有组织犯罪组织。其攻击者都是根据直接的成本/ 效益决定如何攻击，寻求最小的努力和风险以及最大回报。

APT 组的攻击者资金很充足，因为支持他们的国家或公司有很强的动力，希望能获得知识产权。他们有长期的攻击战略，并开发和管理复杂、多阶段的协同的攻击，称为攻击运动。其攻击战术是复杂的，通常可追溯为特定攻击者。

APT 组的攻击者有能力开发或获得以前未发布的“0-day”攻击，并经常针对攻击对象定制攻击。APT 组的防御者通常会跟踪APT 攻击者的运动和攻击战略，并调整防御能力。然而，APT 攻击者具有反情报能力，并确认他们的战术是否已被受害者发现。因此，APT 组的防御者有动力密切保护其对攻击者手段的了解情况，因为担心攻击者会改变他们的战术，更难防守。

相比之下，与盗窃组相关的网络犯罪分子的资金水平不固定，但远低于国家或大型企业资助的间谍攻击。他们能执行技术有难度的攻击，但他们不希望在受害者的网络上保持持续存在。相反，他们倾向于对多个受害者重复使用已被验证有效的攻击。他们通常缺乏开发或获取0-day 攻击的能力。相反，依赖于众所周知的战术和在黑客网站上公开的攻击，而且通常不太进行定制化攻击。盗窃组的防御者的策略可能被描述为“商业级”，因为它们通常主要依靠商业提供的防御措施，这些防御措施是用于防御已知的攻击。相应的，攻击者不会投入大量的反间谍活动，因为他们攻击和利用都是已知的漏洞。他们主要从防守者防御措施的不足入手，见表1。

表1 APT 组和盗窃组的区别

对共享的启示

盗窃和APT 组之间的差异，导致了他们之间网络威胁信息共享目标的不同。APT 组的防御者有动力达成共享协议，试图来了解具体的国家和大公司所采用的具体攻击技巧和策略。他们希望获得与新的0-day 漏洞相关的机器可读的检测签名和行动建议（COA），因为这不能从商业供应商获得。通过获取能归因为特定攻击者的战术手段的信息，为威胁分析人员和其他面向风险的决策者提高态势感知能力。他们寻求与对等的组织直接开展攻击信息合作，并在事件应急响应方面进行协作。由于APT 攻击者以有相应的反间谍能力，因此APT 组的捍卫者要求与他们的共享伙伴之间有非常高的信任度，以防止攻击者了解到他们的攻击战术已经被发现。

相反，“盗窃”组的防御者的目标就是随时了解公开的漏洞。他们希望获得值得信赖的机器可读的签名，为已知的漏洞提供防御。他们寻求通过及时了解时间敏感的犯罪攻击趋势，包括已在监视中的威胁告警（BOLO）和已确定的攻击报告，来提高态势感知能力。他们寻求与对等组织合作，了解网络犯罪趋势和涉及多个组的攻击事件响应行动。攻击者的攻击和策略都是已知的，见表2。

表2 APT 组与盗窃组之间信息共享的区别

BLAISE 框架和区域共享组织

区域共享机构的运营者必须做出三个核心决策—与谁共享信息（多样性）、共享什么（细节），以及如何共享（模式）？关于与谁共享、共享什么，以及如何共享是密切相关的，理解它们之间关系，对于成功共享至关重要。最常见的信息共享失败情况是，那些在操作实践方面多样化的组织，试图共享太详细的信息。成功进行信息共享的主要成功因素是，达到所共享的细节与参与者的多样性之间的平衡。

“共享什么”表现在“共享细节”的方面。形式上可以是结构化的数据库、到半结构化报告（例如，医疗记录，警察报告）、到使用共享ID 增强的非结构化报告（例如，方向通常指标准街道名称和路号）、以及完全非结构化的交换（例如对话）。网络威胁报告与任何专业文献一样，就像法律简报、医疗杂志或用户许可协议（EULA），可能适用于小众群体，不容易被理解。

“共享细节”和“如何共享”的关系是很直接的，共享信息的结构化水平越高，就可以更多的使用自动化技术促进信息交换。定义了信息共享的三种主要方式：

·自动的机器对机器的信息共享信息产品 — 机器可读的自动化级别 — 自动传递、摄取和处理示例 — 可操作的攻击指标（IOC），如机器可读的签名

·结构化的人类可读的信息共享信息产品 — 结构化，但人类可读，如医疗记录自动化级别— 数字化摄取和传输示例 — 网络威胁事件告警、恶意软件威胁事件告警、分析报告

·人与组织层面协作共享信息产品 — 多种书面通知和通信，可以用共享的词汇进行扩充自动化级别 — 使用电子邮件或聊天软件等数字通讯渠道示例 — 圆桌会议，联合演习，特定事件的响应活动

第四种信息共享方式称为中介翻译（Mediated Translation），举例说明：医生创建医疗记录。

索赔由保险人处理，他们为患者提供保险理赔解释报告（EoB， Explanation of Benefit）。保险理赔工作人员的工作是基于医生生成的信息，数据从医疗记录中摄取。但医生并不与保险公司共享医疗记录。相反，医生办公室设有一个医疗记帐室（medical billing office），它处理病历记录，并将信息翻译成保险人员可以使用的形式。这称为“中介翻译”，因为他们的工作有助于两个组织之间的信息共享，他们无法直接信息共享。“共享什么（细节）”以及“和谁共享（多样性）”之间的关系通常更有争议，这也是信息共享失败最常见的原因。 BLAISE 方法提供了对社交沟通的理解。它定义了五个相关但彼此分离的因素，关于人们如何交流以及彼此信任，五个因素包括：

·与工作实践有关的因素

专业不确定性：衡量组织专业工作的不确定程度

内部多样性：衡量组织内部工作实践的相同或不同的程度

比较多样性：衡量组织之间的工作实践相同或不同的程度

专业不确定性：衡量组织专业工作的不确定程度

内部多样性：衡量组织内部工作实践的相同或不同的程度

比较多样性：衡量组织之间的工作实践相同或不同的程度

·与信任和价值相关的因素

合作抵抗性：衡量团体支持或抵制与其他群体合作的程度

过程新颖性：衡量信息交流以及过程的程度是否是新的，或是否已融入组织的工作实践。

合作抵抗性：衡量团体支持或抵制与其他群体合作的程度

过程新颖性：衡量信息交流以及过程的程度是否是新的，或是否已融入组织的工作实践。

“共享什么”以及“和谁共享”之间的关系是，组织只有在其运营工作实践是相似的时候，才能实现高级别的细节共享和高度自动化的共享机制，即: 只有很少的专业不确定性，工作方式差异不大，有共享信息的坚定承诺和曾经有过的共享实践，才能进行有效共享。相反，如果团体在运营实践方面不同，或者如果不信任共享关系，则不能在高级别的细节共享上达成一致，因此无法进行自动的信息共享。

BLAISE 框架帮助理解工作实践多样性，提供了组织之间信息共享的根本原因。首先，最重要的是，这三类小组面临着不同的威胁，有不同的防御性优先事项。例如，APT 组的成员关注的是高级威胁攻击者，而盗窃组的成员不会关注。在BLAISE 术语中，这些群体具有较高的比较多样性。因此，他们不可能在“哪种威胁信息最重要”共享上达成一致。

盗窃和APT 组也表现出高度的合作抵抗性。APT 组成员不信任盗窃组的安全运营行为，因为担心信息泄露给APT 攻击者，而抵制与盗窃组成员共享信息。

图2 中描述了这些关系。沿着对角线边界显示的是最优信息共享，这种情形只有在共享什么（细节）和谁是共享（多样性）之间达到适当平衡时才能出现。

图2 与谁共享（多样性）/ 共享什么（细节）之间的关系

这种针对区域共享组织的信息共享方式的描述方式有两个主要意义。首先，这种描述方式清晰描述了威胁信息共享失败的主要模式，即试图在区别过大的组织之间共享过多细节信息。其次，这种描述方式强调了推进信息共享的两个方法。限制共享的细节数量，或限制参与方的多样性。这也表明，有一些组织不可能直接共享威胁信息。

区域共享组织成员通常来自三类准备组。其成员之间的差异性比基于行业共享组织的差异性更大。区域共享组织的经验多样化可是一种资源，而共享机制的设计者则必须设法定义和管理多样性。

一种主要的方法是根据准备组织种类在共享组织内确定分组，因为这有助于确保业务实践更紧密地一致。如果能够明确定义分组，那么可以促进这些分组内的更详细的信息共享，并且可以考虑更细节的共享机制。

区域共享组织的BLAISE 分析

关于区域共享组织的第一个也是最重要的建议是，意识到其成员可以分为三组：破坏组、盗窃组和APT 组。在信息共享方面，这三类组织是不同的。如果没有意识到这些不同，就无法有效管理，使得组织处于图2 中的不可行区域中，在共享什么）和“如何共享”存在不可调和的差异。推荐两种方法：减少多样性或减少细节。对于区域共享组织，本文推荐三个主要策略，第一个是通过专注于某类组织（破坏、盗窃或APT 组）来减少其成员之间的多样性。这种方法将有助于共享结构性情报报告，以提高成员之间的态势感知能力。通过努力，这种方法能逐渐成熟，可以支持自动共享。

第二种方法是降低共享的细节级别。可以通过面对面会议和桌面练习来提供（人与人）沟通渠道，建立会员之间信任。推迟自动化共享，甚至持续共享结构化情报报告。相反，重点是促进各种会员之间的有效协作。

第三个也是最宏伟做法是结合上述两种方法。将成员为三个（或两个，取决于成员）分组，每个分组根据种类划分。然后，分别促进各分组间的威胁情报的定期、高度细致的共享。此外，各分组之间可以通过沟通渠道，通过信任建设活动（如面对面会议和桌面练习），促进各分组之间的有效特定的合作。

组织的防御能力应该直接准确地匹配他们所面临的威胁级别。实际上并不总是这样。一方面，由于财务和人力资源通常太贵，不允许不合理的网络安全支出。有时，组织的防御能力要比其面临的威胁级别更高，但这种情况并不常见。更多的情况是，防御能力不足以抵御他们面临的威胁。在后一种情况下，我们建议组织提高网络安全防范水平，以便于与有类似威胁的其他组织对等，从而进行有效共享活动。因此，我们建议对组织进行分类应根据其能力，而不是依据其面临的威胁。

根据上述注意事项，认识到准备组之间的差异（资产、攻击者、防御策略和操作能力），是制定更为详细的运营机制（CONOPS）的基础。因此，最终建议针对盗窃和APT 组，制定运营机制。

下节中将为每类准备组提供共享策略的建议。经验表明，发布可共享信息是最重要的第一步。因为在一个单一的准备组中的共享与跨组织的共享是截然不同的，所以需要分开考虑。注意，成功的自动化的机器共享和结构化人类共享，取决于拥有合格运营能力的管理人员的参与。

APT 组：信息共享建议

关于APT 威胁的共享信息有信息泄露的风险，这将使APT 攻击者知道自己被暴露和被监控，从而使攻击者改变行为。因此，APT 组的成员只能与确定的、且值得信赖的合作伙伴共享。了解了这一点，APT 组的成员能发布和共享以下内容：

·自动化的机器共享

与潜在的0-day 攻击相关的攻击指标（例如IDS 签名）

推荐的COA

与潜在的0-day 攻击相关的攻击指标（例如IDS 签名）

推荐的COA

·结构化的人类共享

恶意软件分析结果

与可疑的0-day 攻击相关的事件告警

攻击者分析（例如身份和技术）

分析方法

攻击运动的信息

恶意软件分析结果

与可疑的0-day 攻击相关的事件告警

攻击者分析（例如身份和技术）

分析方法

攻击运动的信息

·特殊协作共享

APT 的协同事件响应活动

APT 的协同事件响应活动

·中介翻译

最佳实践（例如，主动防御技术，高级恶意软件分析）。

最佳实践（例如，主动防御技术，高级恶意软件分析）。

APT 组成员与盗窃和破坏组成员没有建立信任。但是某些情况下，APT 组成员也会和盗窃和破坏组分享。在这种情况下，APT 组的成员可以向盗窃和破坏组织的成员发布和共享以下内容：

·自动化的机器共享

已知攻击相关的攻击指标

已知攻击相关的攻击指标

·结构化的人类共享

BOLO 请求

询问类信息（例如，您看过这个吗？）

与已知恶意软件相关的恶意软件分析结果

与已知攻击相关的事件告警

BOLO 请求

询问类信息（例如，您看过这个吗？）

与已知恶意软件相关的恶意软件分析结果

与已知攻击相关的事件告警

·特殊协作共享

未确定

未确定

·中介翻译

APT 经验教训

盗窃类事件的协同响应演练

APT 经验教训

盗窃类事件的协同响应演练

盗窃组：信息共享建议

当一个新的漏洞或攻击事件被公开时，盗窃攻击者和盗窃防御者彼此处于竞争状态。攻击者试图开发或获取利用新漏洞的攻击工具，而防御者等待补丁开发、测试和部署。盗窃组织的成员有动力相互共享，以增加其安全产品，同时等待安全产品供应商更新。盗窃组的成员可能能够发布和共享以下内容：

·自动化的机器共享

·结构化的人类共享

BOLO 请求

询问类信息（例如，您看过这个吗？）

与已知恶意软件相关的恶意软件分析结果

与已知攻击相关的事件告警

BOLO 请求

询问类信息（例如，您看过这个吗？）

与已知恶意软件相关的恶意软件分析结果

与已知攻击相关的事件告警

·特殊协作共享

盗窃类事件的协同响应活动

盗窃类事件的协同响应活动

·中介翻译

盗窃类事件的先进技术的最佳做法

盗窃类事件的协同响应演练

盗窃类事件的先进技术的最佳做法

盗窃类事件的协同响应演练

盗窃组的成员如果他们认为他们提交了有用的信息，而其他组织没有，他们就将没有动力将信息共享关系继续下去。盗窃组的成员可能与APT 和破坏组成员发布和共享以下内容：

·自动化的机器共享

·结构化的人类共享

BOLO 请求

询问类信息（例如，您看过这个吗？）

与已知恶意软件相关的恶意软件分析结果

与已知攻击相关的事件告警

BOLO 请求

询问类信息（例如，您看过这个吗？）

与已知恶意软件相关的恶意软件分析结果

与已知攻击相关的事件告警

·特殊协作共享

以盗窃或破坏事件的协同响应活动

以盗窃或破坏事件的协同响应活动

·中介翻译

盗窃类事件的最佳做法

盗窃或破坏类事件的协同响应演习

盗窃类事件的最佳做法

盗窃或破坏类事件的协同响应演习

破坏组：信息共享建议

破坏准备组的成员可能能够与任何组的其他成员一起公布并共享以下内容：

·自动化的机器共享

未确定

未确定

·结构化的人类共享

询问类信息（例如，您看过这个吗？）

与已知攻击相关的事件告警

询问类信息（例如，您看过这个吗？）

与已知攻击相关的事件告警

·特殊协作共享

破坏类事件的协同响应活动

破坏类事件的协同响应活动

·中介翻译

破坏类事件的协同响应演练

破坏类事件的协同响应演练

结论和下一步工作

本文应用了两个MITRE 框架来回答如何更好地实现区域组织之间的有效共享。首先，CyberPrep 框架，提出组织可以依据所面临的网络威胁的种类而进行分类。

存在类似网络威胁的组织往往具有类似的网络防御状态。虽然Cyber Prep 定义了五个不同的类别，但是通过与参与共享的威胁分析人员交流，最后简化为三组：破坏组、盗窃组和APT 组。在这三组中，最常见的是盗窃组和APT 组。第二个框架BLAISE 认为，共享伙伴之间的多样性与可以有效共享的细节之间存在着平衡。BLAISE 进一步提供了四种共享模式的分类 -自动化、结构化、特定模式和中介翻译。最后，我们结合了这两个框架，就共享模式提出了有较高成功可能性的具体建议。

希望今后的工作可以继续，我们识别出了三种可能性。

·首先，虽然本文建议是基于专家的建议和MITRE 框架，但是值得对区域共享组织进行深入的案例研究，实施建议来验证信息共享的有效性。

·第二，虽然本文分析侧重于基于区域的小组，建议也是针对基于区域组织的，但希望本文的见解和方法也将适用于基于部门共享组织。

·第三，虽然本文研究重点是网络威胁信息共享，但我们相信，结合网络准备框架（根据网络威胁的不同对组织进行分类）的观点和BLAISE（应该根据网络防御能力的相似性或差异来选择共享方法）将有利于网络安全信息和协作。

实现和维持有效的威胁信息共享是一个持续和迭代的过程。因此，我们建议未来进一步研究可以将这些方法应用于区域共享小组，并监测其影响，进一步开发更有效的信息共享的最佳实践。我们还建议进一步研究这些方法如何适用于基于部门的共享组织，或更广泛地应用于其它的ISAO 组织。

作者 >>>

凌晨，硕士，中国信息安全测评中心副研究员，研究方向：网络安全、信息安全管理、信息安全审计。

夏晓露，硕士，毕业于国际关系学院，现就职于北京中测安华科技有限公司，研究方向：国家安全、信息安全管理、威胁情报、国际关系。

杨天识，硕士，中国信息安全测评中心助理研究员，研究方向：信息系统安全测评、安全攻防、风险评估、信息安全标准。

原创声明 >>>

本微信公众号刊载的原创文章，欢迎个人转发。未经授权，其他媒体、微信公众号和网站不得转载。

···························································