La norme de l'industrie pour le partage de renseignements sur les menaces.
STIX et TAXII sont des normes élaborées dans le but d'améliorer la prévention et l'atténuation des cyber-attaques. STIX indique le « quoi » des renseignements sur les menaces, tandis que TAXII définit « comment » cette information est relayée. Contrairement aux méthodes de partage précédentes, STIX et TAXII sont lisibles à la machine et donc facilement automatisées.
STIX/TAXII visent à améliorer les mesures de sécurité de plusieurs manières :
STIX/TAXI, établis en source libre grâce aux efforts de la communauté, fournissent des précisions gratuites pour assister à l’expression automatisée des renseignements sur les cyber-menaces. Les deux bénéficient d’une communauté active de développeurs et d’analystes.
STIX, abréviation de Structured Threat Information eXpression, est un langage normalisé développé par MITRE et OASIS Cyber Threat Intelligence (CTI) Technical Committee Le Comité technique pour les renseignements sur la cyber-menace, dans le but de décrire les informations relatives aux cyber-menaces. Il a été adopté comme norme internationale par diverses communautés et organisations partageant des renseignements. Il est conçu pour être partagé via TAXII, mais peut l'être par d’autres moyens. STIX est structuré de telle manière que les utilisateurs peuvent décrire les attributs suivants d'une menace :
TAXII, acronyme de « Trusted Automated eXchange of Intelligence Information », définit la façon dont les informations relatives aux cyber-menaces peuvent être partagées via les services et l'échange de messages. TAXII est conçu spécifiquement pour prendre en charge les informations STIX, ce qu'il fait en définissant une API qui s'aligne sur les modèles de partage courants. Les trois principaux modèles de TAXII comprennent :
TAXII définit quatre services. Les utilisateurs peuvent sélectionner et appliquer autant de ces services dont ils auraient besoin, et les associer afin de réaliser différents modèles de partage.
STIX/TAXII prend en charge une variété de cas d'utilisation concernan la gestion des cyber-menaces. STIX/TAXII a été largement adopté par les gouvernements et les Information Sharing and Analysis Centers (ISACs), Centres de partage et d'analyse de l'information, se focalisant de l'industrie à la géolocalisation.
Les organisations peuvent trier les informations en mode “push” et “pull”, par catégories. Par exemple, si un secteur subit une attaque de hameçonnage ciblée, celui-ci peut partager cette information avec la catégorie hameçonnage de l’ISAC. D’autres organisations peuvent automatiquement ingérer ces renseignements et renforcer leurs propres défenses.
Les organisations ayant un client TAXII peuvent pousser et tirer des informations en mode « push » et « pull » dans les serveurs TAXII de groupes de partage de confiance. Certaines organisations peuvent avoir accès à des groupes privés au sein de ces ISAC, qui fournissent des informations plus détaillées.
Anomali fournit un utilitaire appelé STAXX qui vous permet de vous abonner facilement à tout flux STIX/TAXII et d’envoyer gratuitement des indicateurs via STIX/TAXII. Pour démarrer, il suffit de :
L'ouverture d'un compte sur le portail STAXX permet aux utilisateurs d'associer un IOC (Indicateur de Compromis) à une information qui identifie les acteurs, les campagnes et les TTP. STAXX est également pré-configuré avec un flux, Limo. Les utilisateurs peuvent également accéder à des flux d'informations supplémentaires sur les menaces, d'Anomali, et prévisualiser les fonctionnalités de ThreatStream, la plate-forme de renseignements sur les menaces, d'Anomali.
Il y a plusieurs façons de s'impliquer avec STIX/TAXII. Si vous souhaitez vous engager avec la communauté et contribuer aux efforts de création, vous pouvez rejoindre un comité au sein d'OASIS TC. Si vous souhaitez en savoir davantage à propos de STIX/TAXII, voici quelques ressources supplémentaires :
Pour obtenir encore plus d'informations sur STIX/TAXII, téléchargez le livre blanc.