STIX：一个网络空间威胁情报分享的标准

最近，MITRE联合DHS发布了STIX框架（Structured Threat Information eXpression，结构化威胁信息表达式）用于网络空间的威胁情报分享。该框架已经在US-CERT使用。

在我以前的博文中，已经多次提到的威胁情报分享的重要性。例如RSA报告《当APT成为主流》读后感，INSA：美国须发展网络空间情报系统，安全威胁情报分析。

STIX除了可以用于情报分享，还有其他几个用例：

而STIX的表达式架构如下：

包括了对攻击行动、攻击入口、攻击目标、Incident事件、TTP（攻击战术、技术和过程）、攻击特征指标、攻击表象、行动方针（COA，例如IDS规则等）的建模。

STIX在结构化的表述网络空间威胁的时候，充分利用了MITRE已有的成果，例如用CybOX来表述攻击表象，用IndEX来表述攻击特征指标，用CAPEC和MAEC来表述攻击和恶意代码，用IODEF来表述Incident，等等。

了解MITRE的这套结构化的攻击、威胁的表达，有助于我们了解攻击、威胁的建模要素。