¿Qué es STIX y TAXII? | Anomali

¿Qué es STIX y TAXII?

El estándar del sector para el intercambio de inteligencia contra amenazas

La necesidad de contar con un estándar de intercambio de TI

STIX y TAXII son estándares desarrollados en una iniciativa para mejorar la prevención y mitigación de los ataques informáticos. STIX establece el qué de la inteligencia contra amenazas, mientras que TAXII define cómo se transmite la información. A diferencia de otros métodos de intercambio, STIX y TAXII son legibles por máquinas y, por lo tanto, se automatizan fácilmente.

STIX y TAXII tienen por objetivo mejorar las medidas de seguridad de varias formas:

  • Extender la capacidad actual del intercambio de inteligencia contra amenazas.
  • Equilibrar la respuesta con una detección proactiva.
  • Fomentar un enfoque holístico a la inteligencia contra amenazas.

El establecimiento de STIX y TAXII es una iniciativa abierta, impulsada por la comunidad, que proporciona especificaciones gratuitas para ayudar en la expresión automatizada de la información de las amenazas informáticas. Ambos poseen una comunidad muy activa de desarrolladores y analistas.

STIX TAXII
STIX

STIX

STIX, eXpresión estructurada de información sobre amenazas, es un lenguaje estandarizado desarrollado por MITRE y el Comité Técnico sobre Inteligencia (CTI) para Amenazas Informáticas OASIS a fin de describir la información de las amenazas informáticas. STIX ha sido adoptado como estándar internacional por varias organizaciones y comunidades de intercambio de inteligencia. Está diseñado para ser compartido a través de TAXII, pero puede compartirse por otros medios. STIX está estructurado de tal manera que los usuarios pueden describir las amenazas:

  • Motivaciones
  • Habilidades
  • Capacidades
  • Respuesta

TAXII

TAXII, el intercambio automatizado de información de inteligencia, define cómo la información de las amenazas informáticas se puede compartir a través del intercambio de servicios y mensajes. Está diseñado específicamente para dar soporte a la información de STIX, definiendo una API que se alinea con los modelos comunes de intercambio. Los tres modelos principales para TAXII incluyen:

  1. Radial: un depósito de información.
  2. Fuente o suscriptor: una única fuente de información.
  3. Entre pares: múltiples grupos comparten información.

TAXII define cuatro servicios: los usuarios pueden seleccionar e implementar tantos servicios como deseen y combinarlos para obtener distintos modelos de intercambio.

  1. Descubrimiento: una manera de aprender qué servicios son compatibles con una entidad y cómo interactuar con ellos.
  2. Gestión de recopilación: una manera de aprender sobre las suscripciones a las recopilaciones de datos y solicitarlas.
  3. Buzón: una manera de recibir contenido (mensajería push).
  4. Encuesta: una manera de solicitar contenido (mensajería pull).
Modelo de intercambio flexible

Casos de uso

STIX y TAXII dan soporte a una gran variedad de casos de uso sobre la gestión de amenazas informáticas. STIX y TAXII han sido ampliamente adoptados por los gobiernos y los centros de análisis e intercambio de información (ISAC), en distintos rubros desde el sector informático a la geolocalización.


Intercambio de información clasificada

Las organizaciones pueden enviar o solicitar información en distintas categorías. Por ejemplo, si una industria sufre un ataque de phishing específico, puede compartir esa información dentro de la categoría fraude electrónico del centro de análisis e intercambio de información (ISAC). Otras organizaciones pueden procesar automáticamente esa inteligencia y reforzar sus propias defensas.

Intercambio de información clasificada

Intercambio con grupos

Las organizaciones con un cliente TAXII pueden enviar o solicitar información a los servidores TAXII de los grupos de intercambio de confianza. Algunas organizaciones pueden tener acceso a grupos privados dentro de estos ISAC que brindan información más detallada.

Intercambio con grupos

Herramientas ​STIX y TAXII

Anomali proporciona una herramienta denominada STAXX que permite suscribirse de manera sencilla a cualquier fuente STIX y TAXII, a fin de solicitar indicadores mediante STIX y TAXII de forma gratuita. Para comenzar, solo tiene que:

  1. Descargar el cliente STAXX.
  2. Configurar sus fuentes de datos.
  3. Establecer su cronograma de descarga.

Al registrar una cuenta en el portal STAXX, los usuarios pueden vincular un Indicador de Compromiso (IOC) con la información que identifica los actores de riesgo, las campañas y las técnicas, tácticas y procedimientos (TTP). STAXX también está preconfigurado con una fuente, Limo. Los usuarios también pueden acceder a fuentes adicionales de inteligencia contra amenazas de Anomali y obtener una vista previa de las funciones de la plataforma de inteligencia contra amenazas de Anomali, ThreatStream.

 

Recursos en línea

Hay muchas formas de participar con STIX y TAXII. Si desea interactuar con la comunidad y contribuir a las iniciativas de creación, puede unirse a un comité técnico de OASIS. Si desea conocer más sobre STIX y TAXII, aquí hay algunos recursos adicionales:

¿Qué es STIX y TAXII?

¿Quiere más información?

Por más información sobre STIX y TAXII, descargue el informe técnico.

Leer ahora