Necessidade pelo padrão de compartilhamento de TI
STIX e TAXII são padrões desenvolvidos com o objetivo de melhorar a prevenção e mitigação de ataques cibernéticos. O STIX define o que é inteligência contra ameaças, enquanto o TAXII define como essa informação é retransmitida. Diferente dos métodos anteriores de compartilhamento, STIX e TAXII são legíveis por máquina e, portanto, facilmente automatizados.
O STIX/TAXII tem como objetivo melhorar as medidas de segurança de algumas maneiras:
- Ampliar as capacidades de compartilhamento de inteligência contra ameaças atuais
- Equilibrar respostas com detecção proativa
- Incentivar uma abordagem abrangente para a inteligência contra ameaças
O desenvolvimento do STIX/TAXII é um esforço aberto e comunitário que fornece especificações gratuitas para ajudar na expressão automatizada de informações sobre ameaças cibernéticas. Ambos possuem uma comunidade ativa de desenvolvedores e analistas.


STIX
O STIX, abreviação de Structured Threat Information eXpression (Expressão Estruturada de Informações sobre Ameaças), é uma linguagem padronizada desenvolvida pela MITRE e pelo Comitê Técnico de Inteligência Contra Ameaças Cibernéticas (CTI) da OASIS para descrever informações sobre ameaças cibernéticas. Ele foi adotado como um padrão internacional por várias organizações e comunidades de compartilhamento de inteligência. Foi desenvolvido para ser compartilhado via TAXII, mas pode ser compartilhado por outros meios. O STIX está estruturado de forma que os usuários podem descrever os seguintes aspectos da ameaça:
- Motivações
- Capacidades
- Recursos
- Resposta
TAXII
TAXII, sigla para Trusted Automated eXchange of Intelligence Information (Troca Automatizada e Confiável de Informações sobre Inteligência), define como as informações sobre ameaças cibernéticas podem ser compartilhadas por meio de serviços e trocas de mensagens. Ela foi desenvolvida para suportar especificamente as informações do STIX, e o faz ao definir um API que se alinha a modelos comuns de compartilhamento. Os três principais modelos para TAXII incluem:
- Hub e spoke – um repositório de informações
- Fonte/assinante – uma única fonte de informação
- Entre colegas – vários grupos compartilham informações
A TAXII define quatro serviços. Os usuários podem selecionar e implementar quantos quiserem e podem combiná-los para criar diferentes modelos de compartilhamento.
- Descoberta – uma forma de saber quais serviços são suportados por uma entidade e como interagir com eles
- Gerenciamento de coleta – uma forma de aprender e solicitar assinaturas para a coleta de dados
- Caixa de entrada – uma forma de receber conteúdo (enviar mensagens)
- Captação – uma forma de solicitar conteúdo (receber mensagens)

Casos de uso
STIX/TAXII são compatíveis com uma variedade de casos de uso relacionados ao gerenciamento de ameaças cibernéticas. STIX/TAXII foi amplamente adotado por governos e Centros de Análise e Compartilhamento de Informações (ISACs), com foco que varia do setor à localização geográfica.
Compartilhamento de informações categorizadas
As organizações podem enviar e receber informações de categorias. Por exemplo, se um setor sofrer um ataque de phishing direcionado, ele poderá compartilhar essas informações na categoria de phishing do ISAC. Outras organizações podem obter automaticamente essa inteligência e reforçar suas defesas.

Compartilhamento com grupos
Organizações com um cliente TAXII podem enviar e receber informações dos servidores TAXII de grupos de compartilhamento confiáveis. Algumas organizações podem ter acesso a grupos privados dentro desses ISACs, que fornecem informações mais detalhadas.

Ferramentas STIX/TAXII
A Anomali fornece um recurso chamado STAXX que permite que você assine facilmente qualquer feed STIX/TAXII e obtenha indicadores por meio de STIX/TAXII de graça. Para começar:
- Faça o download do cliente STAXX
- Configure suas fontes de dados
- Configure seu calendário de downloads
Criar uma conta no portal STAXX permite que os usuários se conectem a partir de um Indicador de Compromisso (IOC) com informações que identificam Agentes, Campanhas e TTPs de ameaças. O STAXX também é pré-configurado com um feed, o Limo. Os usuários também podem acessar feeds adicionais de inteligência contra ameaças da Anomali e ver recursos da plataforma de inteligência contra ameaças da Anomali, a ThreatStream.
Recursos on-line
Há muitas formas de começar a usar o STIX/TAXII. Se desejar se envolver com a comunidade e contribuir com os esforços de criação, você pode participar de um comitê no CT da OASIS. Se quiser saber mais sobre o STIX/TAXII, veja alguns recursos adicionais:
Visões gerais do STIX/TAXII
Ferramentas STIX/TAXII gratuitas
- STAXX
- O feed do Limo, que pode ser acessado pelo STAXX
STIX
- Descrição detalhada do STIX 2.0 (Google Doc)
- Informações sobre as diferenças entre STIX 1.x/CybOX 2.x e STIX 2.0 (GitHub)
TAXII
Quer saber mais?
Para obter mais informações sobre o STIX/TAXII, faça o download do whitepaper.