O que são STIX/TAXII?

O que são STIX/TAXII?

O padrão da indústria para compartilhar inteligência contra ameaças

Necessidade pelo padrão de compartilhamento de TI

STIX e TAXII são padrões desenvolvidos com o objetivo de melhorar a prevenção e mitigação de ataques cibernéticos. O STIX define o que é inteligência contra ameaças, enquanto o TAXII define como essa informação é retransmitida. Diferente dos métodos anteriores de compartilhamento, STIX e TAXII são legíveis por máquina e, portanto, facilmente automatizados.

O STIX/TAXII tem como objetivo melhorar as medidas de segurança de algumas maneiras:

  • Ampliar as capacidades de compartilhamento de inteligência contra ameaças atuais
  • Equilibrar respostas com detecção proativa
  • Incentivar uma abordagem abrangente para a inteligência contra ameaças

O desenvolvimento do STIX/TAXII é um esforço aberto e comunitário que fornece especificações gratuitas para ajudar na expressão automatizada de informações sobre ameaças cibernéticas. Ambos possuem uma comunidade ativa de desenvolvedores e analistas.

STIX

O STIX, abreviação de Structured Threat Information eXpression (Expressão Estruturada de Informações sobre Ameaças), é uma linguagem padronizada desenvolvida pela MITRE e pelo Comitê Técnico de Inteligência Contra Ameaças Cibernéticas (CTI) da OASIS para descrever informações sobre ameaças cibernéticas. Ele foi adotado como um padrão internacional por várias organizações e comunidades de compartilhamento de inteligência. Foi desenvolvido para ser compartilhado via TAXII, mas pode ser compartilhado por outros meios. O STIX está estruturado de forma que os usuários podem descrever os seguintes aspectos da ameaça:

  • Motivações
  • Capacidades
  • Recursos
  • Resposta

TAXII

TAXII, sigla para Trusted Automated eXchange of Intelligence Information (Troca Automatizada e Confiável de Informações sobre Inteligência), define como as informações sobre ameaças cibernéticas podem ser compartilhadas por meio de serviços e trocas de mensagens. Ela foi desenvolvida para suportar especificamente as informações do STIX, e o faz ao definir um API que se alinha a modelos comuns de compartilhamento. Os três principais modelos para TAXII incluem:

  1. Hub e spoke – um repositório de informações
  2. Fonte/assinante – uma única fonte de informação
  3. Entre colegas – vários grupos compartilham informações

A TAXII define quatro serviços. Os usuários podem selecionar e implementar quantos quiserem e podem combiná-los para criar diferentes modelos de compartilhamento.

  1. Descoberta – uma forma de saber quais serviços são suportados por uma entidade e como interagir com eles
  2. Gerenciamento de coleta – uma forma de aprender e solicitar assinaturas para a coleta de dados
  3. Caixa de entrada – uma forma de receber conteúdo (enviar mensagens)
  4. Captação – uma forma de solicitar conteúdo (receber mensagens)

Casos de uso

STIX/TAXII são compatíveis com uma variedade de casos de uso relacionados ao gerenciamento de ameaças cibernéticas. STIX/TAXII foi amplamente adotado por governos e Centros de Análise e Compartilhamento de Informações (ISACs), com foco que varia do setor à localização geográfica.


Compartilhamento de informações categorizadas

As organizações podem enviar e receber informações de categorias. Por exemplo, se um setor sofrer um ataque de phishing direcionado, ele poderá compartilhar essas informações na categoria de phishing do ISAC. Outras organizações podem obter automaticamente essa inteligência e reforçar suas defesas.

Sharing Categorized Information

Compartilhamento com grupos

Organizações com um cliente TAXII podem enviar e receber informações dos servidores TAXII de grupos de compartilhamento confiáveis. Algumas organizações podem ter acesso a grupos privados dentro desses ISACs, que fornecem informações mais detalhadas.

Sharing With Groups

Ferramentas STIX/TAXII

A Anomali fornece um recurso chamado STAXX que permite que você assine facilmente qualquer feed STIX/TAXII e obtenha indicadores por meio de STIX/TAXII de graça. Para começar:

  1. Faça o download do cliente STAXX
  2. Configure suas fontes de dados
  3. Configure seu calendário de downloads

Criar uma conta no portal STAXX permite que os usuários se conectem a partir de um Indicador de Compromisso (IOC) com informações que identificam Agentes, Campanhas e TTPs de ameaças. O STAXX também é pré-configurado com um feed, o Limo. Os usuários também podem acessar feeds adicionais de inteligência contra ameaças da Anomali e ver recursos da plataforma de inteligência contra ameaças da Anomali, a ThreatStream.

 

Recursos on-line

Há muitas formas de começar a usar o STIX/TAXII. Se desejar se envolver com a comunidade e contribuir com os esforços de criação, você pode participar de um comitê no CT da OASIS. Se quiser saber mais sobre o STIX/TAXII, veja alguns recursos adicionais:

Whitepaper

Quer saber mais?

Para obter mais informações sobre o STIX/TAXII, faça o download do whitepaper.