O que é STIX/TAXII? | Anomali

O que é STIX/TAXII?

O padrão do setor para compartilhar inteligência contra ameaças

Necessidade de um padrão de compartilhamento de inteligência contra ameaças

STIX e TAXII são padrões desenvolvidos em um esforço para aprimorar a prevenção e a mitigação de ataques cibernéticos. STIX determina os "ques" da inteligência contra emaças, e TAXII define como essas informações são divulgadas. Ao contrário de métodos de compartilhamento anteriores, STIX e TAXII podem ser lidos por máquinas e, portanto, são facilmente automatizados.

O objetivo de STIX/TAXII é aprimorar as medidas de segurança de algumas maneiras:

  • Ampliar os recursos de compartilhamento de inteligência contra ameaças atual
  • Equilibrar a resposta com uma detecção proativa
  • Estimular uma abordagem holística para a inteligência contra ameaças

A criação de STIX/TAXII é um esforço aberto e comunitário que oferece especificações gratuitas para auxiliar na expressão automatizada das informações sobre ameaças cibernéticas. Ambos contam com uma comunidade ativa de desenvolvedores e analistas.

STIX TAXII
STIX

STIX

STIX, sigla para Structured Threat Information eXpression (Expressão Estruturada de Informações sobre Ameaças), é uma linguagem padronizada desenvolvida pela MITRE e pelo comitê técnico de inteligência contra ameaças cibernéticas (CTI) da OASIS para descrever informações de ameaças cibernéticas. Ele foi adotado como um padrão internacional por várias organizações e comunidades de compartilhamento de inteligência. Foi desenvolvido para ser compartilhado via TAXII, mas pode ser compartilhado por outros meios. O STIX está estruturado de forma que os usuários podem descrever os seguintes aspectos da ameaça:

  • Motivações
  • Capacidades
  • Recursos
  • Resposta

TAXII

TAXII, sigla para Trusted Automated eXchange of Intelligence Information (Troca Automatizada e Confiável de Informações sobre Inteligência), define como as informações sobre ameaças cibernéticas podem ser compartilhadas por meio de serviços e trocas de mensagens. Ela foi desenvolvida para suportar especificamente as informações do STIX, e o faz ao definir um API que se alinha a modelos comuns de compartilhamento. Os três principais modelos para TAXII incluem:

  1. Hub e spoke – um repositório de informações
  2. Fonte/assinante – uma única fonte de informação
  3. Entre colegas – vários grupos compartilham informações

A TAXII define quatro serviços. Os usuários podem selecionar e implementar quantos quiserem e podem combiná-los para criar diferentes modelos de compartilhamento.

  1. Descoberta – uma forma de saber quais serviços são suportados por uma entidade e como interagir com eles
  2. Gerenciamento de coleta – uma forma de aprender e solicitar assinaturas para a coleta de dados
  3. Caixa de entrada – uma forma de receber conteúdo (enviar mensagens)
  4. Captação – uma forma de solicitar conteúdo (receber mensagens)
Modelo de compartilhamento flexível

Casos práticos

STIX/TAXII suporta uma variedade de casos práticos relativos ao gerenciamento das ameaças cibernéticas. STIX/TAXII foi amplamente adotado por governos e Centros de Análise e Compartilhamento de Informações (ISACs), com foco que varia do setor à localização geográfica.


Compartilhamento de informações categorizadas

As empresas podem inserir e obter informações de categorias. Por exemplo, caso um setor sofra um ataque de phishing direcionado, pode compartilhar essa informação na categoria de phishing do ISAC. Outras empresas podem, automaticamente, obter essa inteligência e reforçar suas defesas.

Compartilhamento de informações categorizadas

Compartilhamento com grupos

As empresas com um cliente TAXII podem enviar e obter informações dos servidores TAXII em grupos de compartilhamento confiáveis. Algumas empresas podem ter acesso a grupos privados nesses ISACs, que fornecem informações mais detalhadas.

Compartilhamento com grupos

Ferramentas STIX/TAXII

A Anomali oferece um recurso chamado STAXX, que permite que você se inscreva facilmente em qualquer feed de STIX/TAXII e obtenha indicadores de maneira gratuita. Para começar:

  1. Faça download do cliente STAXX
  2. Configure suas fontes de dados
  3. Configure seu calendário de downloads

Abrir uma conta no portal STAXX permite que os usuários façam uma ligação entre os indicadores de compromisso (IOC) e as informações, que identifica os agendes de ameaça, campanhas e TTPs. O STAXX também é pré-configurado com um feed, Limo. Os usuários também podem acessar feeds adicionais de inteligência contra ameaças da Anomali e ver recursos da plataforma de inteligência contra ameaças da Anomali, ThreatStream.

 

Recursos on-line

Há muitas formas de se envolver com o STIX/TAXII. Caso deseje se envolver com a comunidade e contribuir com os esforços de criação, você pode se unir a um comitê do comitê técnico da OASIS. Caso queira saber mais dobre o STIX/TAXII, alguns recursos adicionais são:

O que é STIX/TAXII?

Deseja mais informações?

Para obter mais informações sobre o STIX/TAXII, faça download do whitepaper.

Ler agora