Que signifie STIX/TAXII ?

Que signifie STIX/TAXII ?

Il s'agit de la norme du secteur en matière de partage des renseignements sur les menaces

Nécessité d'une norme de partage des renseignements sur les menaces

Les protocoles STIX et TAXII sont des normes élaborées en vue de renforcer la prévention et l'atténuation des cyberattaques. Le protocole STIX définit le contenu des renseignements sur les menaces, tandis que le protocole TAXII définit leurs modalités de transmission. Contrairement aux méthodes de partage précédentes, ces deux protocoles peuvent être lus par une machine et sont donc facilement automatisables.

STIX/TAXII visent à améliorer les mesures de sécurité de plusieurs manières :

  • Renforcer les capacités actuelles en matière de partage des renseignements sur les menaces
  • Trouver un équilibre entre détection proactive et réaction
  • Encourager une démarche globale en matière de renseignement sur les menaces

La mise en place des normes STIX/TAXII est un projet libre et communautaire qui fournit des spécifications gratuites permettant la diffusion automatique de renseignements concernant les cybermenaces. Les deux comptent une communauté active de développeurs et d'analystes.

STIX

La norme STIX, abréviation de Structured Threat Information eXpression, est un langage standardisé développé par MITRE et le comité technique OASIS Cyber Threat Intelligence (CTI). Elle permet de décrire les renseignements sur les cybermenaces. Elle a été adoptée comme norme internationale par diverses communautés et organisations actives dans le domaine du partage de renseignements. Elle est conçue pour être partagée via le protocole TAXII, mais d'autres méthodes peuvent être employées. Le langage STIX est structuré de telle manière que les utilisateurs peuvent décrire la menace :

  • Motivations
  • Compétences
  • Fonctions
  • Réaction

TAXII

La norme TAXII, abréviation de Trusted Automated eXchange of Intelligence Information, définit les modalités de partage des renseignements sur les cybermenaces par le biais de services et d'échanges de messages. Ce langage a été spécialement conçu pour prendre en charge les informations STIX en définissant une API qui respecte les modèles courants de partage. Les trois principaux modèles du protocole TAXII sont les suivants :

  1. Réseau en étoile – un référentiel d'informations
  2. Source/abonné – une seule source d'informations
  3. Pair à pair – plusieurs groupes partagent des informations

Le langage TAXII définit quatre services. Les utilisateurs peuvent en sélectionner et en implémenter autant qu'ils le souhaitent, ainsi que les combiner afin d'obtenir différents modèles de partage.

  1. Recherche – outil permettant de savoir quels services une entité prend en charge et comment interagir avec ceux-ci.
  2. Gestion des collectes – outil permettant de s'informer sur les collectes de données et demander des abonnements
  3. Boîte de réception – outil permettant de recevoir du contenu (messagerie en mode Push)
  4. Sondage – outil permettant de demander du contenu (messagerie en mode Push)

Cas d'utilisation

Les protocoles STIX/TAXII prennent en charge de nombreux cas d'utilisation ayant trait à la gestion des cybermenaces. Les normes STIX/TAXII sont largement utilisées par les gouvernements et les centres d'analyse et d'échange d'informations (ISAC) dont les centres d'intérêt vont de l'industrie à la géolocalisation.


Partage d'informations catégorisées

Les organisations peuvent envoyer et récupérer des informations par catégories. Par exemple, si un secteur subit une attaque d'hameçonnage ciblée, il peut partager ces renseignements dans la catégorie hameçonnage de l'ISAC. D'autres organisations peuvent intégrer automatiquement ces renseignements et renforcer leurs propres systèmes de protection.

Sharing Categorized Information

Partage avec des groupes

Les organisations disposant d'un client TAXII peuvent envoyer et récupérer des renseignements dans les serveurs TAXII des groupes de partage de confiance. Certaines organisations peuvent avoir accès à des groupes privés au sein de ces ISAC qui fournissent des informations plus détaillées.

Sharing With Groups

Outils STIX/TAXII

Anomali offre un utilitaire appelé STAXX permettant de s'abonner facilement à tous les flux STIX/TAXII et de diffuser gratuitement des indicateurs via STIX/TAXII. Pour commencer, il suffit de procéder comme suit :

  1. Téléchargez le client STAXX
  2. Configurez vos sources de données
  3. Définissez votre programme de téléchargement

L'inscription à un compte sur le portail STAXX permet de créer un lien entre un indicateur de compromission (IOC) et des renseignements qui identifient les agents, les campagnes et les TTP de la menace. Le langage STAXX est également préconfiguré avec le flux Limo. Il est également possible d'accéder à d'autres flux de renseignements sur les menaces d'Anomali et de prévisualiser les fonctionnalités de la plate-forme de renseignements sur les menaces d'Anomali : ThreatStream.

 

Ressources en ligne

Il existe de nombreuses façons de collaborer aux projets STIX/TAXII. Si vous souhaitez participer à la communauté et contribuer au processus de création, vous pouvez rejoindre un comité au sein de l'OASIS TC. Pour en savoir plus sur les protocoles STIX/TAXII, voici quelques ressources supplémentaires :

There are many ways to get involved with STIX/TAXII. If you’d like to engage with the community and contribute to creation efforts, you can join a committee within the OASIS TC. If you’d like to learn more about STIX/TAXII, here are some additional resources:

Whitepaper

Vous souhaitez en savoir plus ?

Pour en savoir plus sur les normes STIX/TAXII, téléchargez le livre blanc.