STIX/TAXII : Normes de partage de renseignements sur les menaces
STIX et TAXII sont des normes développées dans le but d'améliorer la prévention et l'atténuation des cyberattaques. STIX indique le « contenu » des renseignements sur les menaces, tandis que TAXII définit « comment » ces informations sont transmises. Contrairement aux méthodes de partage précédentes, STIX et TAXII sont lisibles par machine et donc facilement automatisables.
STIX/TAXII vise à améliorer les mesures de sécurité de plusieurs manières :
Qu'est-ce que STIX ?
STIX, abréviation de Structured Threat Information eXpression, est un langage standardisé développé par ONGLET et le Comité technique de renseignement sur les cybermenaces (CTI) d'OASIS pour décrire les informations relatives aux cybermenaces. Il a été adopté comme norme internationale par diverses communautés et organisations de partage de renseignements. Il est conçu pour être partagé via TAXII mais peut être partagé par d'autres moyens. STIX est structuré de manière à ce que les utilisateurs puissent décrire la menace :
TAXI
TAXII, abréviation de Trusted Automated eXchange of Intelligence Information, définit comment les informations sur les cybermenaces peuvent être partagées via des services et des échanges de messages. Il est conçu spécifiquement pour prendre en charge les informations STIX, ce qu'il fait en définissant une API qui s'aligne sur les modèles de partage courants. Les trois principaux modèles de TAXII sont les suivants :
- Hub et rayon — un référentiel d'informations
- Source/abonné — une source d'information unique
- D'égal à égal — plusieurs groupes partagent des informations
TAXII définit quatre services. Les utilisateurs peuvent en sélectionner et en implémenter autant qu'ils le souhaitent, puis les combiner pour différents modèles de partage.
- Découverte — un moyen de savoir quels services une entité prend en charge et comment interagir avec eux
- Gestion des collections — un moyen d'en savoir plus sur les collectes de données et de demander des abonnements à ces collectes
- Boîte de réception — un moyen de recevoir du contenu (messagerie push)
- Sondage — un moyen de demander du contenu (pull messaging)
Cas d'utilisation de STIX/TAXII
STIX/TAXII prend en charge de nombreux cas d'utilisation concernant la gestion des cybermenaces. STIX/TAXII a été largement adopté par les gouvernements et Centres de partage et d'analyse de l'information (ISAC), dont les domaines d'intérêt vont de l'industrie à la géolocalisation.
Partage d'informations catégorisées
Les organisations peuvent regrouper et classer les informations par catégories. Par exemple, si un secteur est victime d'une attaque de phishing ciblée, il peut partager ces informations dans la catégorie hameçonnage de l'ISAC. D'autres organisations peuvent automatiquement ingérer ces renseignements et renforcer leurs propres défenses.
Partage avec des groupes
Les organisations disposant d'un client TAXII peuvent envoyer et extraire des informations vers les serveurs TAXII des groupes de partage fiables. Certaines organisations peuvent avoir accès à des groupes privés au sein de ces ISAC qui fournissent des informations plus détaillées.
Outils STIX/TAXII
Anomali fournit un utilitaire appelé STAXX qui vous permet de vous abonner facilement à n'importe quel flux STIX/TAXII et de diffuser gratuitement des indicateurs via STIX/TAXII. Commencez en trois étapes simples :
- Configurez vos sources de données
- Configurez votre calendrier de téléchargement
La création d'un compte sur le portail STAXX permet aux utilisateurs de créer un lien entre un indicateur de compromission (IOC) et des informations identifiant les acteurs de la menace, les campagnes et les TTP. STAXX est également pré-configuré avec un flux, ThreatStream.
Ressources en ligne sur STIX/TAXII
Il existe de nombreuses façons de participer à STIX/TAXII. Si vous souhaitez vous engager dans la communauté et contribuer aux efforts de création, vous pouvez rejoindre un comité au sein de l'OASIS TC. Si vous souhaitez en savoir plus sur STIX/TAXII, voici quelques ressources supplémentaires :
Aperçus de STIX/TAXII
Outils STIX/TAXII gratuits
STIX
Vous voulez en savoir plus ?
Pour plus d'informations sur STIX/TAXII, téléchargez le document.