¿Qué son STIX y TAXII?

¿Qué son STIX y TAXII?

El estándar del sector para compartir inteligencia contra amenazas

Necesidad de un estándar de TI para compartir

STIX y TAXII son estándares desarrollados en un esfuerzo para mejorar la prevención y mitigación de los ataques cibernéticos. STIX establece el qué de la inteligencia contra amenazas, a la vez que TAXII define cómo se transmite esa información. A diferencia de los métodos anteriores de intercambio, STIR y TAXII son legibles por máquina y, por lo tanto, se automatizan fácilmente.

El objetivo de STIX y TAXII es mejorar las medidas de seguridad de algunas maneras:

  • Ampliar las capacidades del intercambio actual de inteligencia contra amenazas
  • Equilibrar la respuesta con una detección proactiva
  • Fomentar un enfoque holístico con respecto a la inteligencia contra amenazas

El establecimiento de STIX y TAXII es una iniciativa abierta impulsada por la comunidad que proporciona especificaciones gratuitas para ayudar en la expresión automatizada de información sobre amenazas informáticas. Ambos poseen una comunidad activa de desarrolladores y analistas.

STIX

STIX, abreviatura de Structured Threat Information eXpression (expresión estructurada de información sobre amenazas), es un lenguaje estandarizado desarrollado por MITRE y el Comité Técnico de Inteligencia contra Amenazas Informáticas (CTI) de OASIS para describir información sobre una amenaza informática. Ha sido adoptado como un estándar internacional por varias comunidades y organizaciones que comparten inteligencia. Está diseñado para compartirse a través de TAXII; no obstante, también puede compartirse a través de otros medios. STIX está estructurado de tal manera que los usuarios pueden describir la amenaza:

  • Motivaciones
  • Habilidades
  • Capacidades
  • Respuesta

TAXII

TAXII, abreviatura de Trusted Automated eXchange of Intelligence Information (intercambio automatizado y confiable de información de inteligencia), define cómo la información sobre amenazas informáticas se puede compartir a través de intercambios de mensajes y servicios. Está diseñado específicamente para admitir información de STIX mediante la definición de una API que se alinea con modelos comunes de intercambio. Los tres modelos principales para TAXII incluyen los siguientes:

  1. Hub and Spoke: un repositorio de información
  2. Fuente/suscriptor: una única fuente de información
  3. Peer-to-peer: varios grupos comparten información

TAXII define cuatro servicios. Los usuarios pueden seleccionar e implementar todos los que necesiten y combinarlos para obtener diferentes modelos de intercambio.

  1. Descubrimiento: una manera de aprender qué servicios admite una entidad y cómo interactuar con ellos
  2. Gestión de recopilación Management: una manera de aprender sobre las suscripciones para la recopilación de datos y solicitarlas
  3. Bandeja de entrada: una forma de recibir contenido (mensajería push)
  4. Encuesta: una forma de solicitar contenido (mensajería pull)

Casos de uso

STIX y TAXII admiten una gran variedad de casos de uso relacionados con la gestión de amenazas informáticas. Los gobiernos y los Centros de Análisis e Intercambio de Información (ISAC), han adoptado ampliamente STIX y TAXII en una variedad de sectores que van desde la industria hasta la geolocalización.


Compartir información categorizada

Las organizaciones pueden insertar y extraer información en categorías. Por ejemplo, si una industria experimenta un ataque de fraude electrónico determinado, puede compartir esa información dentro de la categoría de fraude electrónico del ISAC. Otras organizaciones pueden procesar automáticamente esa inteligencia y reforzar sus propias defensas.

Sharing Categorized Information

Compartir con grupos

Las organizaciones con un cliente TAXII pueden insertar y extraer información en los servidores TAXII de los grupos de intercambio de confianza. Algunas organizaciones pueden tener acceso a grupos privados dentro de estos ISAC que proporcionan información más detallada.

Sharing With Groups

Herramientas STIX/TAXII

Anomali proporciona una herramienta llamada STAXX que permite suscribirse fácilmente a cualquier fuente STIX/TAXII y obtener indicadores a través de STIX/TAXII de forma gratuita. Para comenzar, simplemente realice lo siguiente:

  1. Descargue el cliente STAXX
  2. Configure sus fuentes de datos
  3. Establezca su cronograma de descarga

El registro para obtener una cuenta en el portal STAXX permite a los usuarios vincular un indicador de compromiso (IOC) con información que identifica a los actores de las amenazas, las campañas y los TTP. STAXX también está preconfigurado con una fuente, Limo. Los usuarios también pueden acceder a fuentes adicionales de inteligencia contra amenazas de Anomali y obtener una vista previa de la plataforma de inteligencia contra amenazas de Anomali, ThreatStream.

 

Recursos en línea

Hay muchas maneras de comenzar con STIX y TAXII. Si desea ser parte de la comunidad y contribuir a las iniciativas de creación, puede unirse a un comité dentro del Comité Técnico (TC) de OASIS. Si le gustaría obtener más información sobre STIX y TAXII, aquí encontrará algunos recursos adicionales:

Whitepaper

¿Desea saber más?

Para obtener incluso más información sobre STIX y TAXII, descargue el documento técnico.