O que são STIX e TAXII?
Nos últimos anos, STIX e TAXII surgiram como os dois chavões no cenário da segurança cibernética, mas ainda não são bem conhecidos e compreendidos por toda a comunidade de cibersegurança. Neste artigo, forneceremos uma breve visão geral do que eles são, e por que eles foram projetados em primeiro lugar.
STIX 101
O projeto STIX wiki define STIX como”Structured Threat Information Expression (STIX) é uma linguagem estruturada para descrever informações de ameaças cibernéticas para que possam ser compartilhadas, armazenadas e analisadas de forma consistente. Mas o que isso significa?
No cenário moderno de ameaças, está se tornando cada vez mais crucial que as organizações desenvolvam recursos de inteligência de ameaças cibernéticas para ficarem à frente das novas ameaças. Nesse cenário, o compartilhamento de informações sobre ameaças entre as organizações torna-se uma prioridade fundamental e facilitadora que cria a necessidade de uma representação padronizada e estruturada de informações sobre ameaças.
Aqui é onde o STIX entra em cena. Começou como um esforço da comunidade para desenvolver uma linguagem para compartilhar informações estruturadas de ameaças que rapidamente se tornou o padrão do setor em uso com inúmeros produtos e profissionais de cibersegurança.
Uma das principais características do STIX é que ele é legível para humanos e também programável, o que o torna um ajuste perfeito para organizações onde funcionários em diferentes funções precisam colaborar nas principais decisões de segurança.
A linguagem STIX consiste em 9 construções-chave e as relações entre eles como visto no diagrama abaixo.
Fonte: STIX Project wiki
O STIX possui dois componentes principais, o STIX Data Objects (SDOs), que contêm os parâmetros que descrevem qualquer intel, e os SROs (STIX Relationship Objects, objetos de relacionamento) que ajudam a estabelecer as relações entre vários SDOs e seus parâmetros.
Os SDOs contêm vários parâmetros-chave descrevendo um incidente como Observáveis, Indicadores (IOCs), Incidentes e Alvos de Exploração. Além disso, contém parâmetros relacionados aos atores de ameaças como Táticas adversárias, Técnicas e Procedimentos (TTP), Atores de Ameaças e Campanhas. Ele também tem parâmetros adicionais, incluindo Curso de Ação e Relatórios para compartilhar mais informações para uma resposta eficaz a ameaças.
Embora os ODS forneçam muitos detalhes importantes sobre qualquer ameaça, os SROs podem melhorar ainda mais a análise de ameaças fornecendo informações contextuais. As relações expressas pelos SROs podem ser de dois tipos - Associação e Composição.
As relações de associação associam dois ODS distintos com base em um detalhe contextual compartilhado. Por outro lado, as relações de composição ligam dois desses componentes onde um deles é totalmente descrito, incluindo também o outro componente relacionado como parte da análise.
Assim, a combinação de ODS e SROs pode efetivamente descrever qualquer ameaça cibernética, juntamente com seus atores de ameaças associados, padrões, campanhas e muito mais.
TAXII, um passo adiante
A próxima pergunta em sua mente seria naturalmente sobre a outra palavra-chave - TAXII. Uma vez que entendemos o conceito de STIX, ele nos dá a oportunidade de construir aplicativos que possam se comunicar com objetos STIX para aproveitar ainda mais suas capacidades. TAXII foi concebido para este exato propósito.
O Trusted Automated Exchange of Intelligence Information (TAXII) é um protocolo de camada de aplicativo especialmente projetado para permitir a troca de objetos STIX para facilitar o compartilhamento e comunicação de informações de ameaças cibernéticas.
Taxii atropela HTTPS, o que também o torna seguro e adequado para a construção de serviços online que possam consumir e processar objetos STIX. Ele fornece aos desenvolvedores a capacidade de construir servidores TAXII e clientes TAXII que podem se comunicar uns com os outros de forma solicitante/resposta.
A TAXII fornece três modelos de compartilhamento:
- Hub and Spoke - uma clareira central
- Fonte/Assinante - uma única organização é a fonte de informação
- Peer-to-Peer - várias organizações que compartilham informações entre si
O modelo cliente-servidor do protocolo TAXII permite que os provedores de produtos de cibersegurança construam aplicativos para organizações que possam agregar inteligência de ameaças de várias fontes e fornecer uma visão de uma águia sobre o cenário de ameaças ou até mesmo inteligência específica de acordo com os requisitos.
Juntos, tanto o STIX quanto o TAXII permitem que as organizações troquem a inteligência de ameaças cibernéticas de forma mais estruturada e padronizada, abrindo caminho para uma colaboração mais profunda contra ameaças.