STIX e TAXII sono standard sviluppati allo scopo di migliorare la prevenzione e la mitigazione delle minacce informatiche. STIX definisce le informazioni relative alla Threat Intelligence e TAXII le modalità in cui queste vengono trasmesse. A differenza dei metodi di condivisione precedenti, STIX e TAXII utilizzano una formattazione standardizzata e sono pertanto facilmente automatizzabili.
Cos’è STIX?
STIX è l’acronimo di Structured Threat Information eXpression . Il nome dice tutto: è uno standard per fornire informazioni strutturate e univoche sulle minacce informatiche. Essendo basato su JSON H è in grado di fornire uno scambio automatico di informazioni tra i numerosi strumenti necessari per proteggere la sicurezza di un’organizzazione.
STIX affronta le casistiche riguardanti le minacce informatiche, tra cui: l’analisi degli attacchi, l’acquisizione e la specifica degli indicatori, la gestione delle attività di risposta e la condivisione delle informazioni. STIX fornisce un’architettura unificante che unisce cioè un insieme diversificato di informazioni sulle minacce informatiche:
- Indicatori (potenziali osservabili con annesso significato e contesto).
- Incidenti (casi di specifiche azioni avversarie).
- Cyber Observables (ad esempio, viene creata una chiave di registro, il traffico di rete si verifica verso indirizzi IP specifici, viene osservata la posta elettronica da un indirizzo specifico, ecc.).
- Tattiche, tecniche e procedure avversarie (inclusi schemi di attacco, malware, exploit, kill chain, strumenti, infrastrutture, targeting delle vittime, ecc.).
- Exploit Target (ad esempio, vulnerabilità, punti deboli o configurazioni).
- Linee d’azione (ad esempio, risposta agli incidenti o rimedi alla vulnerabilità/debolezza).
- Campagne di attacco informatico (insiemi di incidenti e/o TTP con intenti condivisi)
- Cyber
Threat Actors (identificazione e/o caratterizzazione dell’avversario.
Cos’è TAXII?
TAXII, o Trusted Automated eXchange of Intelligence Information , è uno standard per la condivisione di informazioni sulle minacce informatiche tramite servizi e scambi di messaggi. È costruito appositamente per supportare i dati STIX e lo fa offrendo un’API compatibile con i modelli di condivisione più diffusi.
I seguenti tre sono i principali modelli TAXII:
- Hub and spoke : un archivio di informazioni
- Source/subscriber: un’unica fonte di informazioni
- Peer-to-peer : più gruppi condividono informazioni
TAXII definisce quattro servizi:
- Discovery: un modo per scoprire quali servizi supporta un’entità e come interagire con essi
- Collection Management: un modo per conoscere e richiedere abbonamenti alle raccolte di dati
- Inbox: un modo per ricevere contenuti (messaggi push)
- Poll: un modo per richiedere contenuti (pull messaging)
Come vediamo in figura 2, TAXII definisce due servizi primari per supportare una varietà di modelli di condivisione comuni:
- Collection : è un’interfaccia per un repository logico di oggetti CTI fornito da un server TAXII che consente a un produttore di ospitare un insieme di dati CTI che possono essere richiesti dai consumatori: i client e i server TAXII si scambiano informazioni in un modello di richiesta-risposta.
- Canale: è gestito da un server TAXII, consente ai produttori di inviare dati a molti consumatori e ai consumatori di ricevere dati da molti produttori: i client TAXII scambiano informazioni con altri client TAXII in un modello di pubblicazione-sottoscrizione.
Perché abbiamo bisogno di STIX/TAXII?
Standard come STIX e TAXII consentono un’efficace condivisione dell’intelligence sulle minacce informatiche in modo automatizzato tra diversi prodotti, persone e organizzazioni.
Aiutano anche i professionisti della sicurezza a comunicare e condividere le informazioni in modo più efficace, il che aumenta anche il livello di difesa.
Quali sono i vantaggi dell’utilizzo di STIX/TAXII?
STIX 2 descrive l’intelligence sulle minacce informatiche in un modo ripetibile comprensibile sia agli utenti che alle macchine.
TAXII 2 ti offre la possibilità di condividere informazioni tempestive con gruppi di utenti pertinenti in un formato standardizzato.
Sia STIX 2 che TAXII 2 ti aiutano a ridurre la gestione manuale dell’intelligence sulle minacce informatiche.
- Il formato STIX 2 riduce la necessità di creare documenti in più formati
- TAXII 2 riduce la necessità di distribuire informazioni via e-mail
Questi standard forniscono un modo per collegare gli indicatori di compromissione (prove di un attacco informatico) a tattiche, tecniche e procedure (le tecniche regolarmente utilizzate dagli attori delle minacce o dai gruppi di attori delle minacce). Questo permetterà di:
- Identificare la fonte di un attacco informatico
- Collegare eventi precedentemente non associati
- Permette un focus migliore sulle minacce che la tua organizzazione si trova ad affrontare
Questi standard aumentano i livelli di automazione, ma non dovrebbero sostituire l’interazione dell’utente, poiché l’automazione completa rischia di creare un “denial of service” autoinflitto.
Quali sono i casi d’uso per STIX/TAXII?
STIX ha lo scopo di supportare una lunga serie di casi d’uso fondamentali nella gestione delle minacce informatiche, tra cui l’analisi delle minacce informatiche, la specifica dei modelli di indicatori, la gestione delle attività di risposta e la condivisione delle informazioni sulle minacce informatiche.
- Analisi delle minacce informatiche
- Specificare modelli di indicatori per le minacce informatiche
- Gestione delle attività di risposta alle minacce informatiche
- Prevenzione delle minacce informatiche
- Rilevamento delle minacce informatiche
- Risposta agli incidenti
- Condivisione di informazioni sulle minacce informatiche
Formazione sicurezza informatica
Nel mondo fortemente interconnesso di oggi, la Sicurezza Informatica rappresenta un ambito di specializzazione che sta assumendo e assumerà sempre più un peso di rilievo all’interno dei processi aziendali e del mondo del lavoro.
Nexsys propone corsi di formazione per lo staff aziendale tra cui: