El estándar del sector para el intercambio de inteligencia contra amenazas
STIX y TAXII son estándares desarrollados en una iniciativa para mejorar la prevención y mitigación de los ataques informáticos. STIX establece el qué de la inteligencia contra amenazas, mientras que TAXII define cómo se transmite la información. A diferencia de otros métodos de intercambio, STIX y TAXII son legibles por máquinas y, por lo tanto, se automatizan fácilmente.
STIX y TAXII tienen por objetivo mejorar las medidas de seguridad de varias formas:
El establecimiento de STIX y TAXII es una iniciativa abierta, impulsada por la comunidad, que proporciona especificaciones gratuitas para ayudar en la expresión automatizada de la información de las amenazas informáticas. Ambos poseen una comunidad muy activa de desarrolladores y analistas.
STIX, eXpresión estructurada de información sobre amenazas, es un lenguaje estandarizado desarrollado por MITRE y el Comité Técnico sobre Inteligencia (CTI) para Amenazas Informáticas OASIS a fin de describir la información de las amenazas informáticas. STIX ha sido adoptado como estándar internacional por varias organizaciones y comunidades de intercambio de inteligencia. Está diseñado para ser compartido a través de TAXII, pero puede compartirse por otros medios. STIX está estructurado de tal manera que los usuarios pueden describir las amenazas:
TAXII, el intercambio automatizado de información de inteligencia, define cómo la información de las amenazas informáticas se puede compartir a través del intercambio de servicios y mensajes. Está diseñado específicamente para dar soporte a la información de STIX, definiendo una API que se alinea con los modelos comunes de intercambio. Los tres modelos principales para TAXII incluyen:
TAXII define cuatro servicios: los usuarios pueden seleccionar e implementar tantos servicios como deseen y combinarlos para obtener distintos modelos de intercambio.
STIX y TAXII dan soporte a una gran variedad de casos de uso sobre la gestión de amenazas informáticas. STIX y TAXII han sido ampliamente adoptados por los gobiernos y los centros de análisis e intercambio de información (ISAC), en distintos rubros desde el sector informático a la geolocalización.
Las organizaciones pueden enviar o solicitar información en distintas categorías. Por ejemplo, si una industria sufre un ataque de phishing específico, puede compartir esa información dentro de la categoría fraude electrónico del centro de análisis e intercambio de información (ISAC). Otras organizaciones pueden procesar automáticamente esa inteligencia y reforzar sus propias defensas.
Las organizaciones con un cliente TAXII pueden enviar o solicitar información a los servidores TAXII de los grupos de intercambio de confianza. Algunas organizaciones pueden tener acceso a grupos privados dentro de estos ISAC que brindan información más detallada.
Anomali proporciona una herramienta denominada STAXX que permite suscribirse de manera sencilla a cualquier fuente STIX y TAXII, a fin de solicitar indicadores mediante STIX y TAXII de forma gratuita. Para comenzar, solo tiene que:
Al registrar una cuenta en el portal STAXX, los usuarios pueden vincular un Indicador de Compromiso (IOC) con la información que identifica los actores de riesgo, las campañas y las técnicas, tácticas y procedimientos (TTP). STAXX también está preconfigurado con una fuente, Limo. Los usuarios también pueden acceder a fuentes adicionales de inteligencia contra amenazas de Anomali y obtener una vista previa de las funciones de la plataforma de inteligencia contra amenazas de Anomali, ThreatStream.
Hay muchas formas de participar con STIX y TAXII. Si desea interactuar con la comunidad y contribuir a las iniciativas de creación, puede unirse a un comité técnico de OASIS. Si desea conocer más sobre STIX y TAXII, aquí hay algunos recursos adicionales:
Por más información sobre STIX y TAXII, descargue el informe técnico.