STIX/TAXII è stato sviluppato dall'esigenza di uno standard di condivisione dell'intelligence sulle minacce
STIX e TAXII sono standard sviluppati nel tentativo di migliorare la prevenzione e la mitigazione degli attacchi informatici. STIX stabilisce il «cosa» dell'intelligence sulle minacce, mentre TAXII definisce «come» tali informazioni vengono trasmesse. A differenza dei precedenti metodi di condivisione, STIX e TAXII sono leggibili da una macchina e quindi facilmente automatizzati.
STIX/TAXII mira a migliorare le misure di sicurezza in diversi modi:
FISSARE
STIX, abbreviazione di Structured Threat Information eXpression, è un linguaggio standardizzato sviluppato da MITRA e il Comitato tecnico OASIS Cyber Threat Intelligence (CTI) per descrivere le informazioni sulle minacce informatiche. È stato adottato come standard internazionale da varie comunità e organizzazioni di condivisione dell'intelligence. È progettato per essere condiviso tramite TAXII ma può essere condiviso con altri mezzi. STIX è strutturato in modo che gli utenti possano descrivere la minaccia:
TAXI
TAXII, abbreviazione di Trusted Automated eXchange of Intelligence Information, definisce come le informazioni sulle minacce informatiche possono essere condivise tramite servizi e scambi di messaggi. È progettato specificamente per supportare le informazioni STIX, cosa che fa definendo un'API che si allinea ai modelli di condivisione comuni. I tre modelli principali di TAXII includono:
- Hub and spoke — un archivio di informazioni
- Fonte/abbonato — un'unica fonte di informazioni
- Peer-to-peer — più gruppi condividono informazioni
TAXII definisce quattro servizi. Gli utenti possono selezionarne e implementarne quanti ne vogliono e combinarli per diversi modelli di condivisione.
- Scoperta — un modo per imparare quali servizi supporta un'entità e come interagire con essi
- Gestione della raccolta — un modo per conoscere e richiedere abbonamenti alle raccolte di dati
- Posta in arrivo — un modo per ricevere contenuti (messaggistica push)
- Sondaggio — un modo per richiedere contenuti (pull messaging)
Casi d'uso STIX/TAXII
STIX/TAXII supporta una varietà di casi d'uso riguardanti la gestione delle minacce informatiche. STIX/TAXII è stato ampiamente adottato dai governi e Centri di condivisione e analisi delle informazioni (ISACs), che spaziano dall'industria alla geolocalizzazione.
Condivisione di informazioni categorizzate
Le organizzazioni possono inserire e raggruppare le informazioni in categorie. Ad esempio, se un settore subisce un attacco di phishing mirato, può condividere tali informazioni all'interno della categoria di phishing dell'ISAC. Altre organizzazioni possono acquisire automaticamente tali informazioni e rafforzare le proprie difese.
Condivisione con gruppi
Le organizzazioni con un client TAXII possono inviare e inserire informazioni nei server TAXII di gruppi di condivisione affidabili. Alcune organizzazioni possono avere accesso a gruppi privati all'interno di questi ISAC che forniscono informazioni più dettagliate.
Utensili STIX/TAXII
Anomali fornisce un'utilità chiamata STAXX che ti consente di iscriverti facilmente a qualsiasi feed STIX/TAXII e inviare indicatori tramite STIX/TAXII gratuitamente. Inizia in tre semplici passaggi:
- Configura le tue fonti di dati
- Imposta la pianificazione dei download
La registrazione di un account sul portale STAXX consente agli utenti di collegarsi da un Indicator of Compromise (IOC) a informazioni che identificano gli attori delle minacce, le campagne e i TTP. STAXX è inoltre preconfigurato con un feed, ThreatStream.
Risorse STIX/TAXII online
Ci sono molti modi per partecipare a STIX/TAXII. Se desideri interagire con la comunità e contribuire agli sforzi di creazione, puoi far parte di un comitato all'interno dell'OASIS TC. Se desideri saperne di più su STIX/TAXII, ecco alcune risorse aggiuntive:
Panoramica STIX/TAXII
Strumenti STIX/TAXII gratuiti
FISSARE
Vuoi saperne di più?
Per ulteriori informazioni su STIX/TAXII, scarica il documento.