Necessità di uno standard per la condivisione della Threat Intelligence
STIX e TAXII sono standard sviluppati allo scopo di migliorare la prevenzione e la mitigazione degli attacchi informatici. STIX definisce le informazioni relative alla Threat Intelligence e TAXII le modalità in cui vengono trasmesse. A differenza dei precedenti metodi di condivisione, STIX e TAXII utilizzano una formattazione standardizzata e pertanto sono facilmente automatizzabili.
L'obiettivo degli standard STIX e TAXII consiste nel migliorare le misure di sicurezza in vari modi:
- Ampliando le capacità dell'attuale condivisione della Threat Intelligence
- Bilanciando le funzionalità di risposta e rilevamento proattivo
- Promuovendo un approccio olistico alla Threat Intelligence
Gli standard STIX e TAXII sono frutto di uno sforzo collettivo volto a fornire specifiche gratuite per favorire l'espressione automatica dei dati sulle minacce informatiche. Entrambi sono supportati da un'attiva community di sviluppatori e analisti.


STIX
STIX, acronimo di Structured Threat Information eXpression, è un linguaggio standardizzato sviluppato da MITRE e dall'OASIS Cyber Threat Intelligence (CTI) Technical Committee per descrivere i dati relativi alle minacce informatiche. Adottato come standard internazionale da varie organizzazioni e community di condivisione dell'intelligence, è progettato per la condivisione tramite TAXII, ma può essere condiviso anche con altri mezzi. STIX è strutturato in modo da consentire agli utenti di descrivere i seguenti aspetti delle minacce:
- Motivazioni
- Abilità
- Capacità
- Risposta
TAXII
TAXII, acronimo di Trusted Automated eXchange of Intelligence Information, definisce la modalità di condivisione dei dati sulle minacce informatiche tramite servizi e scambi di messaggi. È progettato specificamente per supportare i dati STIX attraverso la definizione di un'API compatibile con i modelli di condivisione comuni. I tre modelli principali di TAXII sono:
- Hub and spoke: singolo archivio di informazioni
- Source/subscriber: singola fonte di informazioni
- Peer-to-peer: più gruppi che condividono le informazioni
Lo standard TAXII definisce quattro servizi. Gli utenti possono selezionare, implementare e abbinare il numero di servizi che preferiscono per creare diversi modelli di condivisione.
- Discovery: consente di individuare quali servizi supporta un'entità e come interagisce con gli stessi
- Collection Management: consente di individuare e richiedere la sottoscrizione alle raccolte di dati
- Inbox: modalità utilizzata per la ricezione dei dati (messaggi push)
- Poll: modalità utilizzata per la richiesta dei dati (messaggi pull)

Casi d'uso
STIX e TAXII supportano una serie di casi d'uso in materia di gestione delle minacce informatiche. STIX e TAXII sono stati ampiamente adottati da governi e centri di condivisione e analisi delle informazioni (ISACs), in vari settori, da quello industriale a quello della geolocalizzazione.
Condivisione di dati suddivisi per categorie
Le organizzazioni possono condividere ricevere dati organizzati per categorie. Ad esempio, se un settore subisce un attacco di phishing mirato, può condividere tali informazioni all'interno della categoria di phishing dell'ISAC, consentendo ad altre organizzazioni di acquisire automaticamente l'intelligence e rafforzare le proprie strategie di difesa.

Condivisione con i gruppi
Le organizzazioni dotate di un client TAXII possono trasferire e recuperare informazioni nei server TAXII di gruppi di condivisione attendibili. Alcune organizzazioni possono accedere a gruppi privati all'interno di questi ISAC che forniscono informazioni più dettagliate.

Strumenti di STIX e TAXII
Anomali ha reso disponibile STAXX un software ti permette di sottoscriverti facilmente a qualsiasi feed STIX/TAXII e di condividere gratuitamente gli indicatori tramite STIX e TAXII. Per iniziare, è sufficiente:
- Scaricare il client STAXX
- Configurare le sorgenti di dati
- Programmare la pianificazione di download
La registrazione a un account sul portale STAXX consente agli utenti di collegarsi alle informazioni che identificano attori, campagne e TTP da un indicatore di compromissione (IOC). Inoltre, l'utilità STAXX è preconfigurata con un feed, Limo. Gli utenti possono anche accedere ad altri feed di Threat Intelligence di Anomali e visualizzare in anteprima le funzionalità della piattaforma di Threat Intelligence di Anomali, ThreatStream.
Risorse online
Esistono vari modi per conoscere meglio STIX e TAXII. Se desideri interagire con la community e contribuire all'attività di creazione, puoi entrare a far parte di un comitato tecnico all'interno di OASIS. Se desideri ulteriori informazioni su STIX e TAXII, puoi consultare le seguenti risorse aggiuntive:
Indicazioni generali su STIX e TAXII
Strumenti di STIX e TAXII gratuiti
Desideri maggiori informazioni?
Per ulteriori informazioni su STIX e TAXII, scarica il whitepaper.