Notwendigkeit eines Standards für die gemeinsame Nutzung von TI
STIX und TAXII sind Standards, die mit dem Ziel entwickelt wurden, Cyberangriffe zu vermeiden und zu entschärfen. STIX steht für die Art der Threat Intelligence, während TAXII definiert, wie diese Informationen weitergegeben werden. Anders als frühere Methoden des Austauschs sind STIX und TAXII maschinell lesbar und lassen sich somit leicht automatisieren.
STIX/TAXII zielt auf die Verbesserung von Sicherheitsmaßnahmen auf verschiedene Arten ab:
- Erweiterung der Möglichkeiten beim aktuellen Austausch von Threat Intelligence
- Ausgleich der Reaktionszeiten durch proaktive Erkennung
- Förderung eines ganzheitlichen Ansatzes für Threat Intelligence
Die Standards STIX/TAXII werden in einer offenen, gemeinschaftsorientierten Initiative etabliert, die kostenlose Spezifikationen bereitstellt, um die automatische Darstellung von Informationen zu Cyberbedrohungen zu unterstützen. Für beide gibt es eine aktive Community von Entwicklern und Analysten.


STIX
STIX, kurz für Structured Threat Information eXpression, ist eine standardisierte Sprache, die von MITRE und dem OASIS Cyber Threat Intelligence (CTI) Technical Committee zur Beschreibung von Informationen zu Cyberbedrohungen entwickelt wurde. Sie wurde von verschiedenen Communities und Organisationen, die Intelligence austauschen, als internationaler Standard eingeführt. Ursprünglich wurde sie für die Weitergabe über TAXII konzipiert, kann jedoch auch auf andere Weise weitergegeben werden. STIX ist so strukturiert, dass Benutzer folgende Eigenschaften von Bedrohungen beschreiben können:
- Motivationen
- Fähigkeiten
- Funktionen
- Reaktion
TAXII
TAXII, kurz für Trusted Automated eXchange of Intelligence Information, definiert, wie Informationen zu Cyberbedrohungen über Dienste und Nachrichtenaustausch weitergegeben werden können. Dieser Standard wurde speziell zur Unterstützung von STIX-Informationen entwickelt, nämlich durch die Definition einer API, die an gängigen Austauschmodellen ausgerichtet ist. Zu den drei wichtigsten Modellen für TAXII zählen:
- Hub und Spoke: Ein Repository mit Informationen
- Quelle/Abonnent: Eine einzige Informationsquelle
- Peer-to-Peer: Informationen werden von mehreren Gruppen gemeinsam genutzt
TAXII definiert vier Dienste. Benutzer können so viele auswählen und implementieren, wie sie benötigen, und für verschiedene Austauschmodelle untereinander kombinieren.
- Erkennung: Eine Methode, zu erfahren, welche Dienste eine Einheit unterstützt und wie mit ihnen interagiert wird
- Sammlungsverwaltung: Eine Methode, etwas über Datensammlungen zu erfahren und Abonnements für sie anzufordern
- Posteingang: Eine Methode, Nachrichten zu erhalten (Push-Nachrichtenübermittlung)
- Abfrage: Eine Methode, Inhalte anzufordern (Pull-Nachrichtenübermittlung)

Anwendungsfälle
STIX/TAXII unterstützt eine Vielzahl von Anwendungen beim Management von Cyberbedrohungen. STIX/TAXII findet in großem Maße Anwendung bei Regierungen und Zentren für Informationsaustausch und Analyse (ISACs), die von der Industrie bis zur Geolokalisierung reichen.
Austausch von kategorisierten Informationen
Unternehmen können Informationen in Kategorien erhalten und anfordern. Wenn eine Branche beispielsweise Opfer eines gezielten Phishing-Angriffs wird, können diese Informationen innerhalb der Phishing-Kategorie des ISAC weitergegeben werden. Andere Unternehmen können diese Informationen automatisch erfassen und dadurch ihre eigene Abwehr verbessern.

Austausch mit Gruppen
Organisationen mit einem TAXII-Client können Informationen an die TAXII-Server vertrauenswürdiger Austauschgruppen übertragen und davon abrufen. Einige Organisationen haben möglicherweise Zugriff auf private Gruppen innerhalb dieser ISACs, die detailliertere Informationen bereitstellen.

STIX-/TAXII-Tools
Anomali stellt ein Dienstprogramm namens STAXX zur Verfügung, mit dem Sie ganz einfach kostenlos jeden STIX/TAXII-Feed abonnieren und Indikatoren über STIX/TAXII übertragen können. Um zu beginnen, gehen Sie einfach wie folgt vor:
- Laden Sie den STAXX-Client herunter.
- Konfigurieren Sie Ihre Datenquellen.
- Richten Sie Ihren Download-Zeitplan ein.
Durch Einrichten eines Kontos im STAXX-Portal können Benutzer über einen Gefährdungsindikator (Indicator of Compromise, IOC) Informationen zu Bedrohungsakteuren, Kampagnen und TTPs abrufen. STAXX ist zudem mit einem Feed vorkonfiguriert: Limo. Benutzer können außerdem auf zusätzliche Anomali-Feeds mit Threat Intelligence zugreifen und eine Vorschau auf die Funktionen der Threat Intelligence-Plattform ThreatStream von Anomali erhalten.
Online-Ressourcen
Es gibt viele Möglichkeiten, um STIX/TAXII zu nutzen. Wenn Sie an der Community teilnehmen und sich an der Erstellung beteiligen möchten, können Sie einem Komitee innerhalb der OASIS TC beitreten. Wenn Sie mehr über STIX/TAXII erfahren möchten, finden Sie hier einige weitere Ressourcen:
Übersicht über STIX/TAXII
Kostenlose STIX/TAXII-Tools
STIX
- Detaillierte Beschreibung von STIX 2.0 (Google Doc)
- Informationen zu den Unterschieden zwischen STIX 1.x/CybOX 2.x und STIX 2.0 (GitHub)
TAXII
Möchten Sie mehr erfahren?
Laden Sie das Whitepaper herunter, um weitere Informationen über STIX/TAXII zu erhalten.