¿Qué es STIX/TAXII?

STIX/TAXII es una iniciativa conjunta global para impulsar el intercambio de información sobre amenazas y la colaboración entre organizaciones.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir STIX/TAXII
  • Explicar los casos de uso habituales de STIX/TAXII
  • Más información sobre cómo STIX/TAXII mejora la mitigación y prevención de las ciberamenazas

Copiar enlace del artículo

¿Qué es STIX/TAXII?

STIX/TAXII es una iniciativa global diseñada para mejorar la mitigación y prevención de las ciberamenazas. Lanzada originalmente en diciembre de 2016 por el Departamento de seguridad nacional de Estados Unidos (DHS), ahora la gestiona OASIS, una organización sin ánimo de lucro que promueve el desarrollo, la adopción y la convergencia de normas abiertas para Internet.

Structured Threat Information eXpression (STIX) es un lenguaje estandarizado que utiliza un léxico basado en JSON para expresar y compartir información sobre amenazas en un formato legible por máquinas y coherente. Funciona de forma similar a como un idioma común puede ayudar a comunicarse a personas de distintas partes del mundo. Solo que en lugar de una conversación entre personas, STIX permite el intercambio de información sobre ciberamenazas entre sistemas. STIX ofrece una sintaxis común para que los usuarios puedan describir de forma coherente las amenazas según sus motivaciones, habilidades, capacidades y respuestas.

Trusted Automated eXchange of Intelligence Information (TAXII) es el formato a través del cual se transmiten los datos de información sobre amenazas. TAXII es un protocolo de transporte que es compatible con la transferencia de información de STIX a través de Hyper Text Transfer Protocol Secure (HTTPS).

STIX y TAXII son estándares independientes. STIX no depende de un método de transporte específico, y se puede usar TAXII para transportar información y datos que no sean STIX.

Cuando se utilizan juntos, STIX/TAXII forman un marco integral para compartir y utilizar la información sobre ciberamenazas, creando una plataforma de código abierto que permite que los usuarios puedan buscar entre miles de millones de registros que contienen detalles sobre vectores de ataque, como direcciones IP maliciosas, firmas de malware, agentes de ciberamenazas y archivos peligrosos.

¿Cómo funciona STIX?

STIX ofrece una sintaxis común para describir indicadores de amenazas, incidentes y fugas de datos.

STIX se puede usar de forma manual o programática con un editor XML, enlaces de Python y Java, y API y utilidades de Python. Los datos se organizan en paquetes STIX, que se pueden compartir mediante diversos métodos, como el intercambio de archivos, las API o la publicación en una plataforma de información sobre amenazas.

STIX también incluye un conjunto de vocabularios y modelos de datos recomendados, que facilitan a las organizaciones la descripción de tipos y estructuras de amenazas habituales.

¿Cómo funciona TAXII?

TAXII define un conjunto de servicios y protocolos para intercambiar datos STIX, e incluye formatos de mensaje, protocolos de comunicación y requisitos de seguridad.

La recopilación y el canal son dos conceptos clave en TAXII. Una recopilación es un conjunto de paquetes STIX organizados y gestionados por una única entidad, como un proveedor de seguridad o un organismo gubernamental. Un canal permite que las organizaciones accedan a una recopilación específica, como a través de una API, un intercambio de archivos o una plataforma de información sobre amenazas. Un canal permite que los usuarios envíen datos a varios consumidores.

¿Por qué es importante STIX/TAXII?

STIX/TAXII refuerza la postura de seguridad general de las organizaciones al mejorar su capacidad para detectar, responder y prevenir las ciberamenazas.

STIX/TAXII es importante porque permite lo siguiente:

  1. Intercambio de información sobre amenazas mejorado: STIX/TAXII proporciona un lenguaje y un marco comunes para compartir e intercambiar información sobre amenazas, lo cual facilita que las organizaciones puedan compartir y utilizar los datos de inteligencia para mejorar su postura general de seguridad.
  2. Mejora de la detección y respuesta a las amenazas: al proporcionar una forma estándar de representar los datos sobre amenazas, STIX/TAXII facilita a las organizaciones la automatización del proceso de detección, análisis y respuesta a las amenazas.
  3. Mayor precisión y exhaustividad de la información: STIX/TAXII ayuda a asegurar que los datos de información sobre amenazas sean precisos, consistentes y completos, lo cual mejora la calidad y utilidad general de los datos.
  4. Fomento de la colaboración: al permitir que las organizaciones puedan compartir datos de información sobre amenazas de forma segura y ampliable, STIX/TAXII fomenta la colaboración y el intercambio de información entre organizaciones, lo cual les permite beneficiarse de un fondo colectivo de datos de información sobre amenazas.
  5. Apoyo a la automatización: el uso de un lenguaje y unos estándares comunes en STIX/TAXII facilita a las organizaciones la automatización de los procesos de detección, análisis y respuesta a las amenazas, lo cual mejora la eficacia y reduce el riesgo de errores humanos.

¿Cuáles son las diferentes formas de utilizar STIX/TAXII?

Desde su lanzamiento, las fuerzas de seguridad de todo el mundo han usado STIX/TAXII para mejorar su comprensión de las amenazas en línea. Hay varias formas de usar el marco STIX/TAXII para intercambiar datos de información sobre amenazas:

  1. Plataformas de información sobre amenazas: las organizaciones pueden publicar y acceder a los datos STIX a través de una plataforma de información sobre amenazas, que actúa como repositorio central para compartir e intercambiar datos de información sobre amenazas.
  2. Integraciones API: las organizaciones pueden utilizar API para intercambiar datos STIX con otras herramientas y sistemas de seguridad, lo cual permite la automatización y la integración con los flujos de trabajo existentes.
  3. Intercambio de archivos: las organizaciones pueden intercambiar paquetes STIX como archivos, lo que permite un sencillo intercambio de datos entre los sistemas.
  4. Fuentes de datos en tiempo real: las organizaciones pueden usar TAXII para suscribirse a fuentes de datos en tiempo real de proveedores de información sobre amenazas, lo cual les permite recibir información actualizada sobre las amenazas más recientes.
  5. Detección de amenazas: los analistas de seguridad pueden utilizar STIX/TAXII para organizar y buscar datos de información sobre amenazas, lo cual facilita la identificación de amenazas y el apoyo a las investigaciones.
  6. Detección de amenazas automatizada: las organizaciones pueden usar STIX/TAXII para automatizar el proceso de detección de amenazas, lo cual les permite identificar y responder con rapidez a las nuevas amenazas.

Cloudforce One

Cloudforce One es un equipo de operaciones e investigación de amenazas que se encarga de rastrear y desarticular redes de atacantes. Las funciones avanzadas de información sobre amenazas del equipo permiten una cobertura exhaustiva de todas las entidades del panorama de amenazas, y ayudan a las organizaciones a adelantarse a los acontecimientos y tomar medidas antes de que cualquier amenaza pueda causar daños.

Ventas