STIX/TAXII: Estándares de intercambio de inteligencia sobre amenazas
STIX y TAXII son estándares desarrollados en un esfuerzo por mejorar la prevención y la mitigación de los ciberataques. STIX establece el «qué» de la inteligencia de amenazas, mientras que el TAXII define «cómo» se transmite esa información. A diferencia de los métodos anteriores de intercambio, STIX y TAXII son legibles por máquinas y, por lo tanto, se automatizan fácilmente.
STIX/TAXII tiene como objetivo mejorar las medidas de seguridad de varias maneras:
STIX
STIX, abreviatura de Structured Threat Information Expression, es un lenguaje estandarizado desarrollado por MITRA y el Comité técnico de inteligencia sobre amenazas cibernéticas (CTI) de OASIS para describir la información sobre ciberamenazas. Ha sido adoptado como estándar internacional por varias comunidades y organizaciones de intercambio de inteligencia. Está diseñado para compartirse a través de TAXII, pero se puede compartir por otros medios. STIX está estructurado para que los usuarios puedan describir la amenaza:
TAXI
TAXII, abreviatura de Trusted Automated Exchange of Intelligence Information, define cómo se puede compartir la información sobre ciberamenazas a través de servicios e intercambios de mensajes. Está diseñado específicamente para admitir la información de STIX, lo que logra mediante la definición de una API que se alinea con los modelos de intercambio comunes. Los tres modelos principales de TAXII incluyen:
- Hub y radio — un repositorio de información
- Fuente/suscriptor — una única fuente de información
- De igual a igual — varios grupos comparten información
TAXII define cuatro servicios. Los usuarios pueden seleccionar e implementar tantos como necesiten y combinarlos para crear diferentes modelos de uso compartido.
- Descubrimiento — una forma de saber qué servicios admite una entidad y cómo interactuar con ellos
- Gestión de colecciones — una forma de obtener información sobre las recopilaciones de datos y solicitar suscripciones a ellas
- bandeja de entrada — una forma de recibir contenido (mensajes push)
- Encuesta — una forma de solicitar contenido (mensajes de extracción)
Casos de uso de STIX/TAXII
STIX/TAXII admite una variedad de casos de uso relacionados con la gestión de ciberamenazas. El STIX/TAXII ha sido ampliamente adoptado por gobiernos y Centros de análisis e intercambio de información (ISACS), que van desde la industria hasta la geolocalización.
Compartir información categorizada
Las organizaciones pueden incluir y agrupar la información en categorías. Por ejemplo, si un sector sufre un ataque de suplantación de identidad dirigido, pueden compartir esa información dentro de la categoría de suplantación de identidad del ISAC. Otras organizaciones pueden incorporar automáticamente esa información y reforzar sus propias defensas.
Compartir con grupos
Las organizaciones con un cliente TAXII pueden insertar y extraer información en los servidores TAXII de los grupos de intercambio de confianza. Algunas organizaciones pueden tener acceso a grupos privados dentro de estos ISAC que proporcionan información más detallada.
Herramientas STIX/TAXII
Anomali proporciona una utilidad llamada STAXX que le permite suscribirse fácilmente a cualquier feed de STIX/TAXII y enviar indicadores a través de STIX/TAXII de forma gratuita. Empieza en tres sencillos pasos:
- Configure sus fuentes de datos
- Configura tu calendario de descargas
La creación de una cuenta en el portal STAXX permite a los usuarios vincular desde un indicador de compromiso (IOC) a la información que identifica a los actores de amenazas, las campañas y los TTP. STAXX también viene preconfigurado con un feed, ThreatStream.
Recursos STIX/TAXII en línea
Hay muchas maneras de participar en STIX/TAXII. Si quieres interactuar con la comunidad y contribuir a los esfuerzos de creación, puedes unirte a un comité del OASIS TC. Si quieres obtener más información sobre STIX/TAXII, aquí tienes algunos recursos adicionales:
Descripción general de STIX/TAXII
Herramientas STIX/TAXII gratuitas
ESTIX
¿Quieres saber más?
Para obtener más información sobre STIX/TAXII, descargue el documento.