¿Qué son STIX/TAXII?

La norma del sector para compartir información sobre amenazas.

STIX/TAXII se desarrolló a partir de la necesidad de una norma para compartir información sobre amenazas.

STIX y TAXII son normas desarrolladas en un esfuerzo por mejorar la prevención y mitigación de los ciberataques. STIX establece el "qué" de la inteligencia sobre amenazas, mientras que TAXII define el "cómo" se transmite esa información. A diferencia de los anteriores métodos de intercambio, STIX y TAXII son legibles por máquina y, por tanto, fácilmente automatizables.

STIX/TAXII pretende mejorar las medidas de seguridad de varias maneras:

Ampliar las capacidades actuales de intercambio de información sobre amenazas
Equilibrar la respuesta con la detección proactiva
Fomentar un enfoque holístico de la información sobre amenazas

STIX

STIX, abreviatura de Structured Threat Information eXpression, es un lenguaje estandarizado desarrollado por MITRE y el Comité Técnico de Inteligencia sobre Ciberamenazas (CTI) de OASIS para describir información sobre ciberamenazas. Ha sido adoptado como estándar internacional por varias comunidades y organizaciones de intercambio de inteligencia. Está diseñado para ser compartido a través de TAXII, pero puede compartirse por otros medios. STIX está estructurado para que los usuarios puedan describir las amenazas:

Motivaciones
Habilidades
Capacidades
Respuesta

TAXII

TAXII, abreviatura de Trusted Automated eXchange of Intelligence Information, define cómo puede compartirse la información sobre ciberamenazas a través de servicios e intercambios de mensajes. Está diseñado específicamente para apoyar la información STIX, lo que hace mediante la definición de una API que se alinea con los modelos comunes de intercambio. Los tres modelos principales de TAXII son:

  • Un solo repositorio de información
  • Fuente/suscriptor: una única fuente de información.
  • Entre iguales: varios grupos comparten información

TAXII define cuatro servicios. Los usuarios pueden seleccionar e implantar tantos como necesiten, y combinarlos para distintos modelos de uso compartido.

  • Descubrimiento: una forma de saber qué servicios admite una entidad y cómo interactuar con ellos.
  • Gestión de colecciones: una forma de conocer y solicitar suscripciones a colecciones de datos.
  • Bandeja de entrada: una forma de recibir contenidos (mensajería push).
  • Encuesta - una forma de solicitar contenidos (pull messaging)

Casos de uso de STIX/TAXII

STIX/TAXII soporta una variedad de casos de uso relacionados con la gestión de ciberamenazas. STIX/TAXII ha sido ampliamente adoptado por gobiernos y centros de análisis e intercambio de información (ISAC), que abarcan desde la industria hasta la geolocalización.

Compartir información categorizada

Las organizaciones pueden insertar y extraer información en categorías. Por ejemplo, si un sector sufre un ataque de phishing selectivo, puede compartir esa información en la categoría de phishing del ISAC. Otras organizaciones pueden incorporar automáticamente esa información y reforzar sus propias defensas.

Compartir con grupos

Las organizaciones con un cliente TAXII pueden enviar y recibir información en los servidores TAXII de los grupos de intercambio de confianza. Algunas organizaciones pueden tener acceso a grupos privados dentro de estos ISAC que proporcionan información más detallada.

Herramientas STIX/TAXII

Anomali proporciona una utilidad llamada STAXX que le permite suscribirse fácilmente a cualquier feed STIX/TAXII y enviar indicadores a través de STIX/TAXII de forma gratuita. Comience en tres sencillos pasos:

El registro de una cuenta en el portal de STAXX permite a los usuarios enlazar desde un Indicador de Compromiso (IOC) a la información que identifica a los Actores de la Amenaza, Campañas y TTPs. STAXX también está preconfigurado con un feed, Limo. Los usuarios también pueden acceder a otras fuentes de inteligencia sobre amenazas de Anomali , así como a funciones de vista previa de la plataforma de inteligencia sobre amenazas de Anomali, ThreatStream.

Recursos STIX/TAXII en línea

Hay muchas formas de participar en STIX/TAXII. Si desea comprometerse con la comunidad y contribuir a los esfuerzos de creación, puede unirse a un comité dentro del TC de OASIS. Si desea obtener más información sobre STIX/TAXII, aquí tiene algunos recursos adicionales:

¿Quiere saber más?

Si desea más información sobre STIX/TAXII, descargue el documento.