Was sind STIX/TAXII?

Der Industriestandard für den Austausch von Bedrohungsdaten.

STIX/TAXII wurde aus dem Bedarf an einem Standard für den Austausch von Bedrohungsdaten entwickelt.

STIX und TAXII sind Standards, die in dem Bemühen entwickelt wurden, die Prävention und Eindämmung von Cyberangriffen zu verbessern. STIX legt das "Was" von Bedrohungsdaten fest, während TAXII definiert, "wie" diese Informationen weitergegeben werden. Im Gegensatz zu früheren Methoden des Informationsaustauschs sind STIX und TAXII maschinenlesbar und daher leicht zu automatisieren.

STIX/TAXII zielt darauf ab, die Sicherheitsmaßnahmen auf verschiedene Weise zu verbessern:

Ausweitung der Möglichkeiten des derzeitigen Austauschs von Bedrohungsdaten
Gleichgewicht zwischen Reaktion und proaktiver Erkennung
Förderung eines ganzheitlichen Ansatzes für Bedrohungsdaten

STIX

STIX, die Abkürzung für Structured Threat Information eXpression, ist eine standardisierte Sprache, die von MITRE und dem OASIS Cyber Threat Intelligence (CTI) Technical Committee zur Beschreibung von Cyber-Bedrohungsinformationen entwickelt wurde. Sie wurde von verschiedenen Gemeinschaften und Organisationen, die Informationen austauschen, als internationaler Standard übernommen. Es ist für den Austausch über TAXII konzipiert, kann aber auch auf andere Weise ausgetauscht werden. STIX ist so strukturiert, dass die Benutzer die Bedrohung beschreiben können:

Beweggründe
Fähigkeiten
Fähigkeiten
Antwort

TAXII

TAXII, die Abkürzung für Trusted Automated eXchange of Intelligence Information, legt fest, wie Informationen über Cyber-Bedrohungen über Dienste und den Austausch von Nachrichten ausgetauscht werden können. TAXII wurde speziell für die Unterstützung von STIX-Informationen entwickelt, indem eine API definiert wurde, die sich an den gängigen Austauschmodellen orientiert. Zu den drei Hauptmodellen für TAXII gehören:

  • Nabe und Speiche - ein einziger Informationsspeicher
  • Quelle/Abonnent - eine einzige Informationsquelle
  • Peer-to-Peer - mehrere Gruppen tauschen Informationen aus

TAXII definiert vier Dienste. Die Nutzer können so viele auswählen und implementieren, wie sie benötigen, und sie für verschiedene Sharing-Modelle kombinieren.

  • Entdeckung - ein Weg, um herauszufinden, welche Dienste ein Unternehmen unterstützt und wie man mit ihnen interagiert
  • Sammlungsmanagement - eine Möglichkeit, sich über Datensammlungen zu informieren und Abonnements zu beantragen
  • Posteingang - eine Möglichkeit, Inhalte zu empfangen (Push-Nachrichten)
  • Umfrage - eine Möglichkeit, Inhalte anzufordern (Pull-Messaging)

STIX/TAXII-Anwendungsfälle

STIX/TAXII unterstützt eine Vielzahl von Anwendungsfällen für das Management von Cyber-Bedrohungen. STIX/TAXII wurde in großem Umfang von Regierungen und Informationsaustausch- und Analysezentren (ISACs) übernommen, deren Schwerpunkte von der Industrie bis zur Geolokalisierung reichen.

Freigabe kategorisierter Informationen

Organisationen können Informationen in Kategorien schieben und ziehen. Wenn beispielsweise eine Branche einen gezielten Phishing-Angriff erlebt, kann sie diese Informationen innerhalb der Phishing-Kategorie des ISAC weitergeben. Andere Organisationen können diese Informationen automatisch aufnehmen und ihre eigene Abwehr verstärken.

Austausch mit Gruppen

Organisationen, die über einen TAXII-Client verfügen, können Informationen auf die TAXII-Server vertrauenswürdiger Gruppen übertragen und abrufen. Einige Organisationen haben möglicherweise Zugang zu privaten Gruppen innerhalb dieser ISACs, die detailliertere Informationen liefern.

STIX/TAXII-Werkzeuge

Anomali bietet ein Dienstprogramm namens STAXX an, mit dem Sie ganz einfach jeden STIX/TAXII-Feed abonnieren und kostenlos Indikatoren über STIX/TAXII ausgeben können. In drei einfachen Schritten können Sie loslegen:

Die Anmeldung für ein Konto auf dem STAXX-Portal ermöglicht es den Nutzern, von einem Indicator of Compromise (IOC) auf Informationen zuzugreifen, die Bedrohungsakteure, Kampagnen und TTPs identifizieren. STAXX ist auch mit einem Feed, Limo, vorinstalliert. Die Benutzer können auch auf weitere Bedrohungsdaten-Feeds von Anomali zugreifen und eine Vorschau auf die Funktionen der Threat Intelligence Platform von Anomalierhalten, ThreatStream.

Online-Ressourcen für STIX/TAXII

Es gibt viele Möglichkeiten, sich an STIX/TAXII zu beteiligen. Wenn Sie sich in der Gemeinschaft engagieren und zur Entwicklung beitragen möchten, können Sie einem Ausschuss innerhalb des OASIS TC beitreten. Wenn Sie mehr über STIX/TAXII erfahren möchten, finden Sie hier einige zusätzliche Ressourcen:

Möchten Sie mehr erfahren?

Weitere Informationen über STIX/TAXII finden Sie in dem Papier, das Sie herunterladen können.