ICD（集成网络防御）概念参考模型

ICD概念参考模型

（The ICD Conceptual Reference Model）

ICD概念参考模型介绍了使各组织能够共享和自动响应到网络威胁信息、指标和情报（CTI3，cyber threat information, indicators, and intelligence）所需的概念、生态系统考虑和多方之间关系（inter-party relationships）。这个概念参考模型还提供了对集成环境中安全编排自动化和响应（SOAR，Security Orchestration Automation and Response）的范围、优势和局限性的共享理解。这些模型是独立于实现的，因此通过建立技术插入的基线来提供系统体系结构的灵活性。此外，它们不提供关于能力、功能和活动优先顺序的建议。

ICD扩展了IACD（集成自适应网络防御）概念，通过明确将CTI3共享生态系统（CTI3-sharing ecosystems）与网络防御生态系统相集成，确保共享的信息是可消费的、可用的、可行动的。

有三个模型共同组成ICD概念参考模型，每个模型都包含了ICD社区使用的共同指导原则、技术立场和模式：

• 编排模型（Orchestration Model）展示了用于满足组织响应CTI3的活动的功能（functions）。
• 活动模型（Activities Model）展示了与CTI3编排和在联邦管理员（Federation Manager）和联邦成员（Federation Members）之间共享活动有关的ICD能力。
• 能力模型（Capabilities Model）展示了能力及其关系的详细信息，并显示了CTI3如何在联邦管理员（Federation Manager）和联邦成员（Federation Members）之间流动。

联邦（Federation）：是一个由个人或组织组成的群组（group），其动机是相信在CTI3上与合作伙伴进行数字共享和合作，将有利于社区识别和响应攻击的能力。ICD概念参考模型使用联邦模式（federation pattern），来使用两种类型的实体，来描述这种关系。

• 联邦成员（Federation Member ）：是消费来自联邦管理员的CTI3的任何实体。
• 联邦管理员（ Federation Manager ）：是指任何这样的实体，从至少两个或更多的联邦成员处接收CTI3，然后将收集到的CTI3合并并分发给订阅的联邦成员的。联邦管理员可以由公共部门（如DHS（国土安全部））或私人部门（ISAC（信息共享和分析中心）和ISAO（信息共享和分析组））的任何组织设立。

有关ICD参考模型的详细信息，请参阅白皮书：ICD概念参考模型白皮书。

需要注意的是，概念参考模型不同于参考体系结构（reference architecture）。参考体系结构的重点是为特定的企业和业务模型实现本地最佳解决方案的部署。

编排模型（The Orchestration Model）

编排模型由以下四个组件组成。请注意，由于ICD领域的不断变化的性质，每个组件所包含的项目并不都是包罗万象的（all-inclusive），因此每个组织都应根据各自的需要进行调整。

• 功能（Functions）：是选择的一些行动，这些行动由组织可能选择在其环境中部署的各种网络安全工具和产品所执行。
• 能力（Capabilities）：由网络安全工具或产品提供的能力，该工具或产品可以被编排。
• 编排（Orchestrate）：表示安全编排、自动化和响应（SOAR，Security Orchestration, Automation, and Response）产品，该产品负责以可重复、可审计、可扩展的方式执行能力（executing the capabilities），满足治理整个流程的组织策略。
• 活动（Activities）：组织承诺满足政策和治理要求的高层级过程（High level processes than an organization undertakes to satisfy policy and governance requirements.）。

一个组织不需要编排其环境中的所有能力；相反，根据组织的舒适程度（comfort level）和/或当前的运营情况，可以将能力连接和断开到SOAR产品。了解一个组织希望完成哪些能力，以及在该组织内有哪些功能（functions）和能力（capabilities）可以帮助完成这些活动，可以更好地了解编排如何为组织带来好处。此外，了解完成所需活动所需的功能和能力，可以更明智地购买安全工具和产品。

活动模型（The Activities Model）

活动模型展示了联邦成员和联邦管理员为促进编排以及各方之间共享CTI3而可以开展的能力和活动。一个组织不需要执行每项能力（capability）和活动（activity）的能力（ability），来实现某种程度的安全自动化和编排。

能力模型（THE CAPABILITIES MODEL）

能力模型展示了CTI3在联邦管理员和联邦成员内部和之间的潜在能力（由组织可以部署到其环境中的各种网络安全工具和产品提供）范围内的流动。它还包含如何进一步分解每个能力的想法。所传达的能力并非详尽无遗，所述能力可能包含此处未显示的其他组件能力。

为了提高该模型的可读性，需要注意的一点是，联邦成员可以从以下一个或多个可能的来源接收CTI3：

• 在他们企业中部署的各种内部传感器（Various internal sensors）（模型右下角）。
• 直接与其他联盟成员建立点对点关系（peer-to-peer relationship），以接收和/或共享CTI3。
• 提供具有共同利益或潜在关系（例如，同一部门、地理区域）的CTI3订阅的联邦管理员。

组织可以使用这些模型来识别其高优先级的活动、能力和功能，这些活动、能力和功能有助于识别潜在的工具和产品，以满足其需求。然后，所述组织可以验证预期产品是否能够在与供应商讨论时提供所需的能力。随着工具的部署和测试，组织可以确认其目标能力是否满足，CTI3是否如预期般流过其系统。同样，可能会发现差距，需要修改和/或额外采购网络安全工具和产品。