¿Qué es STIX y TAXII?

La necesidad de contar con un estándar de intercambio de TI

STIX y TAXII son estándares desarrollados en una iniciativa para mejorar la prevención y mitigación de los ataques informáticos. STIX establece el qué de la inteligencia contra amenazas, mientras que TAXII define cómo se transmite la información. A diferencia de otros métodos de intercambio, STIX y TAXII son legibles por máquinas y, por lo tanto, se automatizan fácilmente.

STIX y TAXII tienen por objetivo mejorar las medidas de seguridad de varias formas:

• ​Extender la capacidad actual del intercambio de inteligencia contra amenazas.
• ​Equilibrar la respuesta con una detección proactiva.
• ​Fomentar un enfoque holístico a la inteligencia contra amenazas.

El establecimiento de STIX y TAXII es una iniciativa abierta, impulsada por la comunidad, que proporciona especificaciones gratuitas para ayudar en la expresión automatizada de la información de las amenazas informáticas. Ambos poseen una comunidad muy activa de desarrolladores y analistas.

TAXII, el intercambio automatizado de información de inteligencia, define cómo la información de las amenazas informáticas se puede compartir a través del intercambio de servicios y mensajes. Está diseñado específicamente para dar soporte a la información de STIX, definiendo una API que se alinea con los modelos comunes de intercambio. Los tres modelos principales para TAXII incluyen:

1. Radial: un depósito de información.
2. Fuente o suscriptor: una única fuente de información.
3. Entre pares: múltiples grupos comparten información.

TAXII define cuatro servicios: los usuarios pueden seleccionar e implementar tantos servicios como deseen y combinarlos para obtener distintos modelos de intercambio.

1. Descubrimiento: una manera de aprender qué servicios son compatibles con una entidad y cómo interactuar con ellos.
2. Gestión de recopilación: una manera de aprender sobre las suscripciones a las recopilaciones de datos y solicitarlas.
3. Buzón: una manera de recibir contenido (mensajería push).
4. Encuesta: una manera de solicitar contenido (mensajería pull).

Anomali proporciona una herramienta denominada STAXX que permite suscribirse de manera sencilla a cualquier fuente STIX y TAXII, a fin de solicitar indicadores mediante STIX y TAXII de forma gratuita. Para comenzar, solo tiene que:

1. Descargar el cliente STAXX.
2. Configurar sus fuentes de datos.
3. Establecer su cronograma de descarga.

Al registrar una cuenta en el portal STAXX, los usuarios pueden vincular un Indicador de Compromiso (IOC) con la información que identifica los actores de riesgo, las campañas y las técnicas, tácticas y procedimientos (TTP). STAXX también está preconfigurado con una fuente, Limo. Los usuarios también pueden acceder a fuentes adicionales de inteligencia contra amenazas de Anomali y obtener una vista previa de las funciones de la plataforma de inteligencia contra amenazas de Anomali, ThreatStream.