Cosa sono STIX/TAXII?

Cosa sono STIX/TAXII?

Lo standard di settore per la condivisione di Threat intelligence

La necessità di fare affidamento su uno standard di condivisione TI

STIX e TAXII sono standard sviluppati nello sforzo di migliorare la prevenzione e la mitigazione degli attacchi informatici. STIX definisce il tipo di informazione della Threat intelligence, mentre TAXII definisce il modo in cui tali informazioni vengono condivise. A differenza di metodi di condivisione precedenti, STIX e TAXII sono leggibili da software dedicati e pertanto facilmente automatizzati.

STIX/TAXII mirano a migliorare le misure di sicurezza in vari modi:

  • Estendere le capacità dell'attuale condivisione di Threat intelligence
  • Equilibrare la risposta con il rilevamento proattivo
  • Incoraggiare un approccio olistico alla Threat intelligence

Lo stabilimento di STIX e TAXII è un'iniziativa aperta, guidata dalla community, che fornisce specifiche gratuite per aiutare nell'espressione automatizzata delle informazioni delle minacce informatiche. Entrambi possiedono una community molto attiva di sviluppatori e analisti.

STIX TAXII
STIX

STIX

STIX, acronimo di Structured Threat Information eXpression, è un linguaggio standardizzato sviluppato da MITRE e dal Comitato tecnico si OASIS Cyber Threat intelligence (CTI) al fine di descrivere le informazioni delle minacce informatiche. STIX è stato adottato come standard internazionale da varie organizzazioni e community di condivisione di intelligence. È progettato per essere condiviso attraverso TAXII, ma può essere condiviso anche mediante altri mezzi. STIX è strutturato in modo tale da consentire agli utenti di descrivere le minacce:

  • Motivazioni
  • Abilità
  • Capacità
  • Risposta

TAXII

TAXII, acronimo di Trusted Automated eXchange of Intelligence Information, definisce come è possibile condividere le informazioni sulle minacce informatiche attraverso lo scambio di servizi e messaggi. È progettato appositamente per supportare le informazioni di STIX, definendo un'API che si allinea con i modelli comuni di condivisione. I tre modelli principali per TAXII includono:

  1. Hub and spoke (radiale) – un repository di informazioni
  2. Sorgente/abbonato – un'unica sorgente di informazioni.
  3. Peer-to-peer – gruppi multipli che condividono informazioni.

TAXII definisce quattro servizi. Gli utenti possono selezionare e implementare il numero di servizi che desiderano e combinarli per ottenere modelli di condivisione diversi.

  1. Scoperta – un modo di apprendere quali siano i servizi compatibili con un'entità e come interagire con essi.
  2. Gestione della raccolta – un modo di apprendere e richiedere abbonamenti alle raccolte di dati.
  3. Casella di posta – un modo di ricevere contenuti (messaggeria push).
  4. Sondaggio – un modo di richiedere contenuti (messaggeria pull).
Modello di condivisione flessibile

Casi d'uso

STIX e TAXII offrono supporto a una gran varietà di casi d'uso sulla gestione delle minacce informatiche. STIX/TAXII sono stati ampiamente adottati dai governi e dai Centri di condivisione e analisi delle informazioni (Information Sharing and Analysis Centers - ISAC), che spaziano dal settore informatico alla geolocalizzazione.


Condivisione di informazioni categorizzate

Le organizzazioni possono inviare o richiedere informazioni in varie categorie. Ad esempio, se un settore subisce un attacco di phishing mirato, può condividere tali informazioni all'interno della categoria Phishing del Centro di condivisione e analisi delle informazioni (ISAC). Altre organizzazioni possono assimilare automaticamente questa intelligence e rafforzare le proprie difese.

Condivisione di informazioni categorizzate

Condivisione con gruppi

Le organizzazioni con un client TAXII possono inviare o richiedere informazioni ai server TAXII dei gruppi di condivisione fidati. Alcune organizzazioni possono accedere a gruppi privati all'interno di tali ISAC che offrono informazioni più dettagliate.

Condivisione con gruppi

Strumenti STIX/TAXII

Anomali fornisce una utility denominata STAXX che ti consente di abbonarti facilmente a qualsiasi feed STIX/TAXII e inviare gratuitamente indicatori attraverso STIX/TAXII. Per iniziare, basta semplicemente:

  1. Scaricare il client STAXX
  2. Configurare le sorgenti di dati
  3. Impostare il programma di download

La registrazione di un account sul portale STAXX consente agli utenti di collegarsi da un Indicatore di Compromissione (IOC) alle informazioni che identificano Singoli, Campagne e TTP di attacchi. STAXX è inoltre preconfigurato con un feed, Limo. Gli utenti possono inoltre accedere a feed di Threat intelligence di Anomali supplementari e visualizzare in anteprima le funzioni della Piattaforma di gestione di Threat intelligence di Anomali, ThreatStream.

 

Risorse online

Esistono molti modi per partecipare con STIX/TAXII. Se desideri interagire con la community e contribuire alle iniziative di creazione, puoi unirti a comitato tecnico all'interno di OASIS. Se vuoi saperne di più su STIX/TAXII, ecco alcune risorse supplementari:

Cosa sono STIX/TAXII?

Vuoi saperne di più?

Per avere ancora maggiori informazioni su STIX/TAXII, scarica il whitepaper.

Leggi subito