Что такое STIX/TAXII?

Что такое STIX/TAXII?

Отраслевой стандарт обмена данными анализа угроз

Потребность в стандарте обмена информацией об угрозах

STIX и TAXII — это стандарты, разработанные для повышения эффективности предотвращения и смягчения последствий кибератак. STIX устанавливает предмет анализа угроз, а ТАХII определяет порядок распространения такой информации. В отличие от предыдущих методов обмена информацией, STIX и TAXII являются машиночитаемыми и поэтому легко автоматизируются.

STIX/TAXII направлены на повышение эффективности мер по обеспечению безопасности несколькими способами:

  • расширение возможностей обмена данными анализа угроз;
  • обеспечение баланса между реагированием и упреждающим обнаружением;
  • поощрение целостного подхода к анализу угроз информационной безопасности.

Создание STIX/TAXII — это открытая, реализованная сообществом инициатива, которая позволяет использовать бесплатные спецификации для автоматизированного представления информации о киберугрозах. Вокруг обоих этих стандартов сформировано активное сообщество разработчиков и аналитиков.

STIX

STIX (сокр. от Structured Threat Information eXpression) — это стандартизированный язык, разработанный MITRE и техническим комитетом OASIS Cyber Threat Intelligence (CTI) для представления информации о киберугрозах. Он был принят в качестве международного стандарта различными сообществами и организациями, занимающимися обменом аналитическими данными. Он предназначен для обмена информацией через TAXII, но обмен может выполняться и другими методами. STIX структурирован таким образом, чтобы пользователи могли описать угрозу:

  • Мотивы
  • Возможности
  • Средства
  • Реагирование

TAXII

TAXII (сокр. от Trusted Automated eXchange of Intelligence Information) определяет способы обмена информацией о киберугрозах через службы и средства обмена сообщениями. Он разработан специально для обеспечения поддержки информации STIX и определяет API, соответствующий общим моделям обмена информацией. Три основные модели TAXII:

  1. «Звезда» – один репозиторий информации.
  2. «Источник/абонент» – один источник информации.
  3. «Равноправные узлы» – обмен информацией происходит между несколькими группами.

TAXII определяет четыре службы. Пользователи могут выбрать и внедрить столько служб, сколько требуется, и комбинировать их с учетом различных моделей обмена информацией.

  1. Обнаружение – способ определения служб, поддерживаемых организацией, и метода взаимодействия с ними.
  2. Управление сбором данных – способ получения и запроса информации о подписках на массивы данных.
  3. Входящие – способ получения контента (push-сообщения).
  4. Опрос – способ запроса контента (pull-сообщения).

Применение

STIX/TAXII поддерживает различные сценарии использования, связанные с управлением киберугрозами. STIX/TAXII широко используется правительственными организациями и центрами обмена и анализа информации (ISAC), сфера деятельности которых варьируется от промышленности до геопозиционирования.


Обмен категоризированной информацией

Организации могут предоставлять и получать информацию различных категорий. Например, если в одной отрасли происходит целевая фишинговая атака, организации могут поделиться этой информацией в категории фишинга ISAC. Другие организации могут автоматически получать эти данные и использовать их для повышения эффективности собственных средств защиты.

Sharing Categorized Information

Обмен информацией с группами

Организации с клиентом TAXII могут предоставлять и передавать информацию на серверы TAXII доверенных групп обмена информацией. У некоторых организаций может быть доступ к частным группам в рамках этих ISAC, которые могут предоставлять более подробную информацию.

Sharing With Groups

Инструменты STIX/TAXII

Anomali предоставляет утилиту STAXX которая позволяет с легкостью подписаться на любой канал STIX/TAXII и бесплатно делиться индикаторами через STIX/TAXII. Чтобы начать работу, достаточно выполнить следующие действия:

  1. Загрузите клиент STAXX.
  2. Настройте источники данных.
  3. Настройте расписание загрузки.

Регистрация учетной записи на портале STAXX позволяет пользователям связывать индикатор компрометации (IOC) с информацией, которая указывает на источники угроз, кампании и TTP. В STAXX также предварительно настроен канал Limo. Пользователи также могут получить доступ к дополнительным каналам аналитических данных об угрозах Anomali и предварительно ознакомиться с функциями платформы анализа угроз Anomali ThreatStream.

 

Онлайн-ресурсы

Существует много способов ближе познакомиться со STIX/TAXII. Если вы хотите участвовать в работе сообщества и внести свой вклад в разработку, вы можете присоединиться к комитету в рамках OASIS TC. Если вы хотите узнать больше о STIX/TAXII, ознакомьтесь с дополнительными ресурсами:

Whitepaper

Хотите узнать больше?

Чтобы узнать больше о STIX/TAXII, загрузите брошюру.