Cosa sono gli STIX/TAXII?

Lo standard del settore per la condivisione delle informazioni sulle minacce.

STIX/TAXII: Standard di condivisione delle informazioni sulle minacce

STIX e TAXII sono standard sviluppati nel tentativo di migliorare la prevenzione e la mitigazione degli attacchi informatici. STIX stabilisce il «cosa» dell'intelligence sulle minacce, mentre TAXII definisce «come» tali informazioni vengono trasmesse. A differenza dei precedenti metodi di condivisione, STIX e TAXII sono leggibili da una macchina e quindi facilmente automatizzati.

STIX/TAXII mira a migliorare le misure di sicurezza in diversi modi:

Estendi le funzionalità dell'attuale condivisione delle informazioni sulle minacce
Bilancia la risposta con il rilevamento proattivo
Incoraggiare un approccio olistico alla threat intelligence
Laptop displaying STIX and TAXII with charts on screen.

STIX

STIX, abbreviazione di Structured Threat Information eXpression, è un linguaggio standardizzato sviluppato da MITRA e il Comitato tecnico OASIS Cyber Threat Intelligence (CTI) per descrivere le informazioni sulle minacce informatiche. È stato adottato come standard internazionale da varie comunità e organizzazioni di condivisione dell'intelligence. È progettato per essere condiviso tramite TAXII ma può essere condiviso con altri mezzi. STIX è strutturato in modo che gli utenti possano descrivere la minaccia:

Motivazioni
Abilità
Funzionalità
Risposta
STIX icon

TAXI

TAXII, abbreviazione di Trusted Automated eXchange of Intelligence Information, definisce come le informazioni sulle minacce informatiche possono essere condivise tramite servizi e scambi di messaggi. È progettato specificamente per supportare le informazioni STIX, cosa che fa definendo un'API che si allinea ai modelli di condivisione comuni. I tre modelli principali di TAXII includono:

  • Hub and spoke — un archivio di informazioni
  • Fonte/abbonato — un'unica fonte di informazioni
  • Peer-to-peer — più gruppi condividono informazioni

TAXII definisce quattro servizi. Gli utenti possono selezionarne e implementarne quanti ne vogliono e combinarli per diversi modelli di condivisione.

  • Scoperta — un modo per imparare quali servizi supporta un'entità e come interagire con essi
  • Gestione della raccolta — un modo per conoscere e richiedere abbonamenti alle raccolte di dati
  • Posta in arrivo — un modo per ricevere contenuti (messaggistica push)
  • Sondaggio — un modo per richiedere contenuti (pull messaging)
A diagram of a flexible sharing model about sources and a hub.

Casi d'uso STIX/TAXII

STIX/TAXII supporta una varietà di casi d'uso riguardanti la gestione delle minacce informatiche. STIX/TAXII è stato ampiamente adottato dai governi e Centri di condivisione e analisi delle informazioni (ISACs), che spaziano dall'industria alla geolocalizzazione.

Condivisione di informazioni categorizzate

Le organizzazioni possono inserire e raggruppare le informazioni in categorie. Ad esempio, se un settore subisce un attacco di phishing mirato, può condividere tali informazioni all'interno della categoria di phishing dell'ISAC. Altre organizzazioni possono acquisire automaticamente tali informazioni e rafforzare le proprie difese.

Diagram of ISAC TAXII server showing trust group and organizations.

Condivisione con gruppi

Le organizzazioni con un client TAXII possono inviare e inserire informazioni nei server TAXII di gruppi di condivisione affidabili. Alcune organizzazioni possono avere accesso a gruppi privati all'interno di questi ISAC che forniscono informazioni più dettagliate.

Diagram of ISAC TAXII server showing trust group and organizations.

Utensili STIX/TAXII

Anomali fornisce un'utilità chiamata STAXX che ti consente di iscriverti facilmente a qualsiasi feed STIX/TAXII e inviare indicatori tramite STIX/TAXII gratuitamente. Inizia in tre semplici passaggi:

La registrazione di un account sul portale STAXX consente agli utenti di collegarsi da un Indicator of Compromise (IOC) a informazioni che identificano gli attori delle minacce, le campagne e i TTP. STAXX è inoltre preconfigurato con un feed, ThreatStream.

A computer screen with a heading that says ISAAC Threat Feed.

Risorse STIX/TAXII online

Ci sono molti modi per partecipare a STIX/TAXII. Se desideri interagire con la comunità e contribuire agli sforzi di creazione, puoi far parte di un comitato all'interno dell'OASIS TC. Se desideri saperne di più su STIX/TAXII, ecco alcune risorse aggiuntive:

Vuoi saperne di più?

Per ulteriori informazioni su STIX/TAXII, scarica il documento.