Cosa sono gli STIX/TAXII?

Lo standard del settore per la condivisione delle informazioni sulle minacce.

STIX/TAXII è stato sviluppato dall'esigenza di uno standard di condivisione delle informazioni sulle minacce.

STIX e TAXII sono standard sviluppati nel tentativo di migliorare la prevenzione e la mitigazione degli attacchi informatici. STIX stabilisce il "cosa" delle informazioni sulle minacce, mentre TAXII definisce il "come" tali informazioni vengono trasmesse. A differenza dei precedenti metodi di condivisione, STIX e TAXII sono leggibili dalla macchina e quindi facilmente automatizzabili.

STIX/TAXII mira a migliorare le misure di sicurezza in diversi modi:

Estendere le capacità dell'attuale condivisione delle informazioni sulle minacce
Bilanciare la risposta con il rilevamento proattivo
Incoraggiare un approccio olistico all'intelligence sulle minacce.

STIX

STIX, acronimo di Structured Threat Information eXpression, è un linguaggio standardizzato sviluppato dal MITRE e dal Comitato tecnico OASIS Cyber Threat Intelligence (CTI) per descrivere le informazioni sulle minacce informatiche. È stato adottato come standard internazionale da varie comunità e organizzazioni di condivisione dell'intelligence. È stato progettato per essere condiviso tramite TAXII, ma può essere condiviso con altri mezzi. STIX è strutturato in modo che gli utenti possano descrivere le minacce:

Motivazioni
Abilità
Capacità
Risposta

TAXII

TAXII, acronimo di Trusted Automated eXchange of Intelligence Information, definisce il modo in cui le informazioni sulle minacce informatiche possono essere condivise tramite servizi e scambi di messaggi. È stato progettato specificamente per supportare le informazioni STIX, e lo fa definendo un'API che si allinea ai modelli di condivisione comuni. I tre modelli principali di TAXII comprendono:

  • Hub and spoke - un unico archivio di informazioni
  • Fonte/sottoscrittore - un'unica fonte di informazioni
  • Peer-to-peer - più gruppi condividono le informazioni

TAXII definisce quattro servizi. Gli utenti possono selezionarne e implementarne quanti ne desiderano e combinarli per ottenere diversi modelli di condivisione.

  • Discovery: un modo per conoscere i servizi supportati da un'entità e come interagire con essi.
  • Gestione delle collezioni: un modo per conoscere e richiedere l'abbonamento alle collezioni di dati.
  • Inbox - un modo per ricevere contenuti (messaggistica push)
  • Sondaggio - un modo per richiedere contenuti (pull messaging)

Casi d'uso STIX/TAXII

STIX/TAXII supporta una varietà di casi d'uso relativi alla gestione delle minacce informatiche. STIX/TAXII è stato ampiamente adottato dai governi e dai centri di condivisione e analisi delle informazioni (ISAC), che spaziano dall'industria alla geolocalizzazione.

Condivisione di informazioni categorizzate

Le organizzazioni possono spingere e tirare le informazioni nelle categorie. Ad esempio, se un settore subisce un attacco di phishing mirato, può condividere le informazioni all'interno della categoria phishing dell'ISAC. Le altre organizzazioni possono automaticamente recepire queste informazioni e rafforzare le proprie difese.

Condivisione con i gruppi

Le organizzazioni che dispongono di un client TAXII possono inserire e inserire informazioni nei server TAXII dei gruppi di condivisione fidati. Alcune organizzazioni possono avere accesso a gruppi privati all'interno di questi ISAC che forniscono informazioni più dettagliate.

Strumenti STIX/TAXII

Anomali fornisce un'utility chiamata STAXX che consente di abbonarsi facilmente a qualsiasi feed STIX/TAXII e di inviare gratuitamente indicatori tramite STIX/TAXII. Iniziate in tre semplici passi:

La registrazione di un account sul portale STAXX consente agli utenti di collegarsi da un Indicatore di Compromissione (IOC) a informazioni che identificano gli attori delle minacce, le campagne e i TTP. STAXX è anche preimpostato con un feed, Limo. Gli utenti possono inoltre accedere ad altri feed di intelligence sulle minacce di Anomali e alle funzioni di anteprima della piattaforma di intelligence sulle minacce di Anomali, ThreatStream.

Risorse STIX/TAXII online

Ci sono molti modi per partecipare a STIX/TAXII. Se desiderate impegnarvi nella comunità e contribuire agli sforzi di creazione, potete unirvi a un comitato del TC OASIS. Per saperne di più su STIX/TAXII, ecco alcune risorse aggiuntive:

Volete saperne di più?

Per ulteriori informazioni su STIX/TAXII, scaricare il documento.