Что такое STIX/TAXII? | Anomali
Get COVID-19 Cyber Security Resources Learn More

Что такое STIX/TAXII?

Отраслевой стандарт обмена аналитической информацией об угрозах

Необходимость в стандарте обмена аналитической информацией об угрозах

STIX и TAXII — это стандарты, разработанные в целях улучшения профилактики кибератак и смягчения их последствий. STIX определяет суть аналитической информации об угрозах, а TAXII определяет способы передачи этой информации. В отличие от предыдущих способов обмена информацией, STIX и TAXII могут считываться компьютером и поэтому легко могут быть автоматизированы.

STIX/TAXII стремятся к улучшению мер безопасности несколькими способами:

  • Расширение возможностей текущего обмена аналитической информацией об угрозах
  • Баланс между реакцией на событие и превентивным обнаружением
  • Поощрение комплексного подхода к аналитической информации об угрозах

Создание STIX/TAXII — это открытая инициатива сообщества, предоставляющая возможность получить бесплатные спецификации, позволяющие автоматизировать выражение информации о киберугрозах. Над обоими стандартами работает активное сообщество разработчиков и аналитиков.

STIX TAXII
STIX

STIX

STIX, или структурированное выражение информации об угрозах (Structured Threat Information eXpression), представляет собой стандартизированный язык, разработанный корпорацией MITRE и техническим комитетом OASIS по анализу информации о киберугрозах (CTI) и описывающий информацию о киберугрозах. Он был принят в качестве международного стандарта различными сообществами и организациями по обмену аналитической информацией. Он предназначен для обмена через TAXII, но может использоваться и другими способами. Язык STIX структурирован таким образом, что пользователи могут описывать следующие характеристики угроз:

  • Мотивация
  • Способности
  • Возможности
  • Отклик

TAXII

TAXII, или доверенный автоматизированный обмен аналитической информацией (Trusted Automated eXchange of Intelligence Information), определяет способы обмена информацией о киберугрозах посредством служб и обмена сообщениями. Он разработан специально для поддержки информации STIX с помощью API, который согласуется с общими моделями обмена информацией. Три принципиальные модели TAXII включают следующее:

  1. Концентратор и луч — один репозиторий информации
  2. Источник/подписчик — один источник информации
  3. Одноранговая сеть — несколько групп обмениваются информацией

TAXII определяет четыре службы. Пользователи могут выбирать и внедрять столько, сколько необходимо, и комбинировать их для разных моделей обмена информацией.

  1. Обнаружение — способ узнать, какие службы поддерживает объект и как с ними взаимодействовать
  2. Управление коллекциями — способ узнать о коллекциях данных и сделать запрос о подписке на них
  3. Входящие — способ получения контента (push-сообщения)
  4. Опрос — способ запроса контента (pull-сообщения)
Гибкая модель обмена информацией

Варианты использования

STIX/TAXII поддерживает множество вариантов, касающихся управления киберугрозами. STIX/TAXII широко используются в госсекторе и центрах обмена информацией и анализа (ISAC), чья область деятельности лежит в диапазоне от промышленности до геолокации.


Обмен категоризированной информацией

Организации могут распространять и получать информацию по категориям. Например, если одна отрасль подвергается целенаправленной фишинг-атаке, она может поделиться этой информацией в категории фишинга центра ISAC. Другие организации могут автоматически получить эту информацию и укрепить свою собственную защиту.

Обмен категоризированной информацией

Обмен с группами

Организации с клиентским приложением TAXII могут обмениваться информацией (распространять и получать) с серверами TAXII доверенных групп по обмену информацией. Некоторые организации могут иметь доступ к частным группам в этих центрах ISAC, которые предоставляют более подробную информацию.

Обмен с группами

Инструменты STIX/TAXII

Компания Anomali предлагает служебное приложение под названием STAXX, которое позволяет легко подписаться на любой канал STIX/TAXII и бесплатно получать индикаторы STIX/TAXII. Чтобы начать работу, необходимо выполнить лишь следующие действия:

  1. Загрузить клиентское приложение STAXX
  2. Настроить источники данных
  3. Настроить расписание загрузок

Регистрация учетной записи на портале STAXX позволяет пользователям связать индикатор компрометации (IOC) с информацией, которая идентифицирует участников, кампании, а также тактику, технологию и процедуры угрозы. STAXX имеет предварительно установленный канал Limo. Пользователи также могут получить доступ к дополнительным каналам информации об угрозах Anomali и просмотреть функции ThreatStream, платформы анализа информации об угрозах Anomali.

 

Интернет-ресурсы

Существует много способов взаимодействия с STIX/TAXII. Если вы хотите взаимодействовать с сообществом и вносить свой вклад в креативную работу, вы можете присоединиться к комитету в OASIS TC. Если вы хотите узнать больше о STIX/TAXII, ниже приведены некоторые дополнительные ресурсы:

Что такое STIX/TAXII?

Хотите узнать больше?

Для получения дополнительной информации о STIX/TAXII загрузите информационный лист.

Читать сейчас