Que sont STIX/TAXII ?

La norme du secteur en matière de partage de renseignements sur les menaces.

STIX/TAXII a été développé pour répondre au besoin d'une norme de partage de renseignements sur les menaces

STIX et TAXII sont des normes développées dans le but d'améliorer la prévention et l'atténuation des cyberattaques. STIX indique le « contenu » des renseignements sur les menaces, tandis que TAXII définit « comment » ces informations sont transmises. Contrairement aux méthodes de partage précédentes, STIX et TAXII sont lisibles par machine et donc facilement automatisables.

STIX/TAXII vise à améliorer les mesures de sécurité de plusieurs manières :

Étendez les capacités du partage actuel de renseignements sur les menaces

Équilibrez la réponse avec une détection proactive

Encourager une approche globale du renseignement sur les menaces

Laptop displaying STIX and TAXII with charts on screen.

What is STIX?

STIX, abréviation de Structured Threat Information eXpression, est un langage standardisé développé par ONGLET et le Comité technique de renseignement sur les cybermenaces (CTI) d'OASIS pour décrire les informations relatives aux cybermenaces. Il a été adopté comme norme internationale par diverses communautés et organisations de partage de renseignements. Il est conçu pour être partagé via TAXII mais peut être partagé par d'autres moyens. STIX est structuré de manière à ce que les utilisateurs puissent décrire la menace :

Motivations

Capacités

Réponse

TAXI

TAXII, abréviation de Trusted Automated eXchange of Intelligence Information, définit comment les informations sur les cybermenaces peuvent être partagées via des services et des échanges de messages. Il est conçu spécifiquement pour prendre en charge les informations STIX, ce qu'il fait en définissant une API qui s'aligne sur les modèles de partage courants. Les trois principaux modèles de TAXII sont les suivants :

Hub et rayon — un référentiel d'informations
Source/abonné — une source d'information unique
D'égal à égal — plusieurs groupes partagent des informations

TAXII définit quatre services. Les utilisateurs peuvent en sélectionner et en implémenter autant qu'ils le souhaitent, puis les combiner pour différents modèles de partage.

Découverte — un moyen de savoir quels services une entité prend en charge et comment interagir avec eux
Gestion des collections — un moyen d'en savoir plus sur les collectes de données et de demander des abonnements à ces collectes
Boîte de réception — un moyen de recevoir du contenu (messagerie push)
Sondage — un moyen de demander du contenu (pull messaging)

A diagram of a flexible sharing model about sources and a hub.

Cas d'utilisation de STIX/TAXII

STIX/TAXII prend en charge de nombreux cas d'utilisation concernant la gestion des cybermenaces. STIX/TAXII a été largement adopté par les gouvernements et Centres de partage et d'analyse de l'information (ISAC), dont les domaines d'intérêt vont de l'industrie à la géolocalisation.

Partage d'informations catégorisées

Les organisations peuvent regrouper et classer les informations par catégories. Par exemple, si un secteur est victime d'une attaque de phishing ciblée, il peut partager ces informations dans la catégorie hameçonnage de l'ISAC. D'autres organisations peuvent automatiquement ingérer ces renseignements et renforcer leurs propres défenses.

Diagram of ISAC TAXII server showing trust group and organizations.

Partage avec des groupes

Les organisations disposant d'un client TAXII peuvent envoyer et extraire des informations vers les serveurs TAXII des groupes de partage fiables. Certaines organisations peuvent avoir accès à des groupes privés au sein de ces ISAC qui fournissent des informations plus détaillées.

Outils STIX/TAXII

Anomali fournit un utilitaire appelé STAXX qui vous permet de vous abonner facilement à n'importe quel flux STIX/TAXII et de diffuser gratuitement des indicateurs via STIX/TAXII. Commencez en trois étapes simples :

Téléchargez le client STAXX
Configurez vos sources de données
Configurez votre calendrier de téléchargement

La création d'un compte sur le portail STAXX permet aux utilisateurs de créer un lien entre un indicateur de compromission (IOC) et des informations identifiant les acteurs de la menace, les campagnes et les TTP. STAXX est également pré-configuré avec un flux, ThreatStream.

Ressources en ligne sur STIX/TAXII

Il existe de nombreuses façons de participer à STIX/TAXII. Si vous souhaitez vous engager dans la communauté et contribuer aux efforts de création, vous pouvez rejoindre un comité au sein de l'OASIS TC. Si vous souhaitez en savoir plus sur STIX/TAXII, voici quelques ressources supplémentaires :