Was sind ​STIX/TAXII? | Anomali

Was sind ​STIX/TAXII?

Der Branchenstandard für den Austausch von Threat Intelligence

Grund für einen TI-Standard für den Austausch

STIX und TAXII sind Standards, die vor dem Hintergrund entwickelt wurden, Cyberangriffe zu vermeiden und zu entschärfen. STIX steht für die Art der Threat Intelligence, und TAXII definiert, wie diese Informationen weitergegeben werden. Anders als frühere Methoden des Austauschs sind STIX und TAXII maschinenlesbar und lassen sich somit einfach automatisieren.

STIX/TAXII zielt auf die Verbesserung von Sicherheitsmaßnahmen auf verschiedene Arten ab:

  • Erweiterung der Fähigkeiten beim aktuellen Austausch von Threat Intelligence
  • Ausgleich der Reaktionszeiten mit proaktiver Erkennung
  • Förderung eines ganzheitlichen Ansatzes für Threat Intelligence

Die Etablierung von STIX/TAXII stellt einen offenen, von der Community gelenkten Aufwand dar, bei dem kostenlose Spezifikationen bereitgestellt werden, die beim automatisierten Ausdruck von Cyber-Threat-Intelligence helfen. Beide verfügen über eine aktive Community von Entwicklern und Analytikern.

STIX TAXII
STIX

STIX

STIX steht für Structured Threat Information eXpression und ist eine von MITRE und dem OASIS Cyber Threat Intelligence (CTI) Technical Committee entwickelte standardisierte Sprache für die Beschreibung von Cyber-Threat-Intelligence. Sie wurde von zahlreichen Communities und Unternehmen für Informationsaustausch als internationaler Standard angenommen. Sie wurde für die Weitergabe per TAXII entwickelt, kann jedoch auch anderweitig weitergegeben werden. STIX ist so aufgebaut, dass die Benutzer Bedrohungen beschreiben können:

  • Beweggründe
  • Eignung
  • Fähigkeiten
  • Reaktion

TAXII

TAXII steht für Trusted Automated eXchange of Intelligence Information und definiert, wie Cyber-Threat-Intelligence über Dienste und per Nachrichtenaustausch weitergegeben werden kann. Es wurde speziell zur Unterstützung von STIX-Informationen entwickelt; dies erfolgt durch Definition einer API, die sich an gängigen Austauschmodellen orientiert. Die drei Hauptmodelle von TAXII lauten:

  1. Hub und Spoke – ein einziger Speicher mit Informationen
  2. Quelle/Abonnent – eine einzige Informationsquelle
  3. Peer-to-Peer – mehrere Gruppen tauschen untereinander Informationen aus

TAXII definiert vier Dienste. Die Benutzer können so viele auswählen und implementieren, wie sie benötigen und für unterschiedliche Austauschmodelle untereinander kombinieren.

  1. Entdeckung – eine Art und Weise, in Erfahrung zu bringen, welche Dienste eine Einheit unterstützt und wie man mit ihnen interagiert
  2. Sammlungsverwaltung – eine Art und Weise, etwas über Datensammlungen zu erfahren und Abonnements für sie anzufordern
  3. Posteingang – eine Art und Weise des Erhalts von Inhalt (Push-Nachrichtenübermittlung)
  4. Abfrage – eine Art und Weise der Anforderung von Inhalt (Pull-Nachrichtenübermittlung)
Flexibles Austauschmodell

Anwendungsfälle

STIX/TAXII unterstützt zahlreiche verschiedene Anwendungsfälle im Zusammenhang mit der Verwaltung von Cyberbedrohung. STIX/TAXII findet breite Anwendung in Zentren für Informationsaustausch und Analyse (ISAC), die sich von der Branche bis zur Geolokalisierung fokussieren.


Austausch von kategorisierten Informationen

Unternehmen können Informationen in Kategorien erhalten und anfordern. Wenn beispielsweise eine Branche einen gezielten Phishing-Angriff erfährt, können diese innerhalb der Phishing-Kategorie des ISAC weitergegeben werden. Andere Unternehmen können diese Informationen automatisch aufnehmen und ihre eigene Verteidigung damit stärken.

Austausch von kategorisierten Informationen

Austausch mit Gruppen

Unternehmen mit einem TAXII-Client können Informationen von den TAXII-Servern vertrauenswürdiger Austauschgruppen erhalten und anfordern. Einige Unternehmen haben möglicherweise Zugang zu privaten Gruppen innerhalb dieser ISACs, die detailliertere Informationen bereitstellen.

Austausch mit Gruppen

​STIX-/TAXII-Tools

Anomali stellt ein Dienstprogramm mit dem Namen STAXX bereit, das das kostenlose Abonnieren jedes beliebigen STIX-/TAXII-Feeds und die Weitergabe von Indikatoren über STIX/TAXII ermöglicht. Um zu beginnen, müssen Sie lediglich Folgendes tun:

  1. Den STAXX-Client herunterladen
  2. Ihre Datenquellen konfigurieren
  3. Ihren Download-Zeitplan aufstellen

Durch Anlegen eines Kontos beim STAXX-Portal können Benutzer eine Verknüpfung von einem IOC (Indicator of Compromise, Indikator für Gefährdung) zu Informationen herstellen, mit denen die Akteure von Bedrohungen, Kampagnen und TTPs identifiziert werden können. Außerdem ist STAXX mit einem Feed vorkonfiguriert: Limo. Darüber hinaus können die Benutzer auf zusätzliche Anomali-Feeds mit Threat Intelligence zugreifen und eine Vorschau auf die Funktionen der Threat Intelligence-Plattform ThreatStream erhalten.

 

Onlineressourcen

Es gibt viele Arten, sich mit STIX/TAXII zu beschäftigen. Wenn Sie an der Community teilnehmen und sich an der Erstellungsarbeit beteiligen möchten, können Sie innerhalb der OASIS TC einem Komitee beitreten. Wenn Sie mehr über STIX/TAXII erfahren möchten, finden Sie nachstehend weitere Ressourcren:

Was sind ​STIX/TAXII?

Möchten Sie mehr erfahren?

Weitere Informationen zu STIX/TAXII finden Sie im Whitepaper.

Jetzt lesen