美 사이버위협 정보공유 규격 개정안 발표

• 美 국토안보부는(DHS) MITRE를 통해 사이버위협 정보공유 규격인 STIX/TAXII의 업데이트 버전을 발표
        ※ MITRE : 미연방정부의 지원하에 R&D사업을 증진하는 비영리단체
        ※ STIX(The Structured Threat Information eXpression) : 사이버위협 정보 표현 규격
        ※ TAXII(Trusted Automated eXchange of Indicator Information) : 사이버위협 정보 전송 규격

 

주요내용

• MITRE는 7월 美 사이버위협 정보 전송 규격인 TAXII를 수정본을, 5월에는 사이버위협 정보 표현 규격인 STIX를
  기존 버전 1.0.1에서 현재 버전 1.1으로 1년여 만에 업데이트하여 발표
• TAXII의 XML메시지 정보 전송을 위한 바인딩 부분을 포함한 2가지 바인딩 스펙을 오류를 수정
• STIX의 8개 주요 구성요소들에 일괄적으로 이름(Title), 설명(Description), 요약설명(Short Description) 속성을
  추가하여 통일성을 부여하고 구성요소 파악의 이해도를 높임

< STIX의 8개 주요 구성요소간의 관계도 >

• STIX의 8개 주요 구성요소들 중 공격기법 관련 구조체인 TTP(Tactics, Techniques and Procedure)에 식별자
  관련(id 및 idref) 정보의 부여가 필요한 항목이 있음을 인식하고 식별자를 부여함. 
        ※ 관련 TTP 속성 : 공격패턴(Attack Patterns) 및 악성코드(Malware), 악성행위(Exploits), 공격기반
            (Infrastructure)
      → 예를 들면, Attack Patterns은 식별자를 부여받은 단위 Attack Pattern의 조합들로 구성. 이를 통해, 자칫
         분석가별로 다양하게 기술될 수 있었던 공격기법에 대한 작성이 레고처럼 규격화된 단위정보들의 조합
         으로 구성이 가능하게 됨
• STIX의 8개 주요 구성요소들 중 공격자 관련 구조체인 Threatr Actor에 공격자의 정교함을 표현하기 위하여
  sophistication 속성을 추가함
• 원본문서를 그 역할 등에 따라 볼 수 있도록 정보출처 속성을 개선함

 

[출처]
1. https://taxii.mitre.org/specifications/version1.1/
2. http://stix.mitre.org/about/documents/STIX_Whitepaper_v1.1.pdf
3. http://stix.mitre.org/language/version1.1/
4. http://stix.mitre.org/language/version1.1/xsddocs/XMLSchema/ttp/1.1/ttp.html
5. http://stix.mitre.org/language/version1.1/STIX_1.1_Release_Notes.pdf
6. http://stix.mitre.org/language/version1.1/xsddocs/XMLSchema/threat_actor/1.1/threat_actor.html