Потребность в стандарте обмена информацией об угрозах
STIX и TAXII — это стандарты, разработанные для повышения эффективности предотвращения и смягчения последствий кибератак. STIX устанавливает предмет анализа угроз, а ТАХII определяет порядок распространения такой информации. В отличие от предыдущих методов обмена информацией, STIX и TAXII являются машиночитаемыми и поэтому легко автоматизируются.
STIX/TAXII направлены на повышение эффективности мер по обеспечению безопасности несколькими способами:
- расширение возможностей обмена данными анализа угроз;
- обеспечение баланса между реагированием и упреждающим обнаружением;
- поощрение целостного подхода к анализу угроз информационной безопасности.
Создание STIX/TAXII — это открытая, реализованная сообществом инициатива, которая позволяет использовать бесплатные спецификации для автоматизированного представления информации о киберугрозах. Вокруг обоих этих стандартов сформировано активное сообщество разработчиков и аналитиков.


STIX
STIX (сокр. от Structured Threat Information eXpression) — это стандартизированный язык, разработанный MITRE и техническим комитетом OASIS Cyber Threat Intelligence (CTI) для представления информации о киберугрозах. Он был принят в качестве международного стандарта различными сообществами и организациями, занимающимися обменом аналитическими данными. Он предназначен для обмена информацией через TAXII, но обмен может выполняться и другими методами. STIX структурирован таким образом, чтобы пользователи могли описать угрозу:
- Мотивы
- Возможности
- Средства
- Реагирование
TAXII
TAXII (сокр. от Trusted Automated eXchange of Intelligence Information) определяет способы обмена информацией о киберугрозах через службы и средства обмена сообщениями. Он разработан специально для обеспечения поддержки информации STIX и определяет API, соответствующий общим моделям обмена информацией. Три основные модели TAXII:
- «Звезда» – один репозиторий информации.
- «Источник/абонент» – один источник информации.
- «Равноправные узлы» – обмен информацией происходит между несколькими группами.
TAXII определяет четыре службы. Пользователи могут выбрать и внедрить столько служб, сколько требуется, и комбинировать их с учетом различных моделей обмена информацией.
- Обнаружение – способ определения служб, поддерживаемых организацией, и метода взаимодействия с ними.
- Управление сбором данных – способ получения и запроса информации о подписках на массивы данных.
- Входящие – способ получения контента (push-сообщения).
- Опрос – способ запроса контента (pull-сообщения).

Применение
STIX/TAXII поддерживает различные сценарии использования, связанные с управлением киберугрозами. STIX/TAXII широко используется правительственными организациями и центрами обмена и анализа информации (ISAC), сфера деятельности которых варьируется от промышленности до геопозиционирования.
Обмен категоризированной информацией
Организации могут предоставлять и получать информацию различных категорий. Например, если в одной отрасли происходит целевая фишинговая атака, организации могут поделиться этой информацией в категории фишинга ISAC. Другие организации могут автоматически получать эти данные и использовать их для повышения эффективности собственных средств защиты.

Обмен информацией с группами
Организации с клиентом TAXII могут предоставлять и передавать информацию на серверы TAXII доверенных групп обмена информацией. У некоторых организаций может быть доступ к частным группам в рамках этих ISAC, которые могут предоставлять более подробную информацию.

Инструменты STIX/TAXII
Anomali предоставляет утилиту STAXX которая позволяет с легкостью подписаться на любой канал STIX/TAXII и бесплатно делиться индикаторами через STIX/TAXII. Чтобы начать работу, достаточно выполнить следующие действия:
- Загрузите клиент STAXX.
- Настройте источники данных.
- Настройте расписание загрузки.
Регистрация учетной записи на портале STAXX позволяет пользователям связывать индикатор компрометации (IOC) с информацией, которая указывает на источники угроз, кампании и TTP. В STAXX также предварительно настроен канал Limo. Пользователи также могут получить доступ к дополнительным каналам аналитических данных об угрозах Anomali и предварительно ознакомиться с функциями платформы анализа угроз Anomali ThreatStream.
Онлайн-ресурсы
Существует много способов ближе познакомиться со STIX/TAXII. Если вы хотите участвовать в работе сообщества и внести свой вклад в разработку, вы можете присоединиться к комитету в рамках OASIS TC. Если вы хотите узнать больше о STIX/TAXII, ознакомьтесь с дополнительными ресурсами:
Обзоры STIX/TAXII
Бесплатные инструменты STIX/TAXII
- STAXX
- Канал Limo, доступ к которому можно получить через STAXX