STIX/TAXII es una iniciativa conjunta global para impulsar el intercambio de información sobre amenazas y la colaboración entre organizaciones.
Después de leer este artículo podrás:
Contenido relacionado
Información sobre amenazas
Vector de ataque
Movimiento lateral
Centro de operaciones de seguridad (SOC)
Ataque de desbordamiento de búfer
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
STIX/TAXII es una iniciativa global diseñada para mejorar la mitigación y prevención de las ciberamenazas. Lanzada originalmente en diciembre de 2016 por el Departamento de Seguridad Nacional de Estados Unidos (DHS), esta organización es gestionada ahora por OASIS, una organización sin ánimo de lucro que promueve el desarrollo, la adopción y la convergencia de normas abiertas para Internet.
Structured Threat Information eXpression (STIX) es un lenguaje estandarizado que utiliza un léxico basado en JSON para expresar y compartir información sobre amenazas en un formato legible y coherente. Es similar a la forma en que un idioma cualquiera puede ayudar a comunicarse a personas de distintas partes del mundo. Solo que en lugar de una conversación entre personas, STIX permite el intercambio de información sobre ciberamenazas entre los sistemas. STIX ofrece una sintaxis común para que los usuarios puedan describir las amenazas de forma coherente según sus motivaciones, habilidades, capacidades y respuestas.
Trusted Automated eXchange of Intelligence Information (TAXII) es el formato por el cual se transmiten los datos de información sobre amenazas. TAXII es un protocolo de transporte que soporta la transferencia de información de STIX a través de Hyper Text Transfer Protocol Secure (HTTPS).
Una nota clave es que STIX y TAXII son estándares independientes. STIX no depende de un método de transporte específico y se puede usar TAXII para transportar información y datos que no sean STIX.
Cuando se utilizan juntos, STIX/TAXII forman un marco para compartir y utilizar la información sobre amenazas, creando una plataforma de código abierto que permite a los usuarios buscar en registros que contienen detalles de vectores de ataque, como direcciones IP maliciosas, firmas de malware y agentes de amenazas.
STIX ofrece un lenguaje común para describir indicadores de amenazas, incidentes y fugas de datos. Se puede usar de forma manual o programada con un editor XML, enlaces de Python y Java, y API y utilidades de Python. Los datos se organizan en paquetes STIX, luego se pueden compartir mediante diversos métodos, como el intercambio de archivos, las API o la publicación en una plataforma de información sobre amenazas.
STIX también proporciona un conjunto de vocabularios y modelos de datos recomendados, que facilitan a las organizaciones la descripción de tipos y estructuras de amenazas habituales.
TAXII funciona mediante la definición de protocolos de intercambio de datos, incluidos los formatos de mensajes, protocolos de comunicación y requisitos de seguridad.
La recopilación y el canal son dos conceptos clave en TAXII. Una recopilación es un conjunto de paquetes STIX organizados y gestionados por una única entidad, como un proveedor de seguridad o un organismo gubernamental. Un canal permite que las organizaciones accedan a una recopilación específica, como a través de una API, un intercambio de archivos o una plataforma de información sobre amenazas. Un canal permite que los usuarios envíen datos a varios consumidores.
STIX/TAXII es importante porque mejora la postura de seguridad general de una organización al mejorar su capacidad para detectar, responder y prevenir las ciberamenazas.
STIX/TAXII permite hacer lo siguiente:
Desde su lanzamiento, las agencias en todo el mundo han usado STIX/TAXII para mejorar su comprensión de las amenazas en línea. Hay varias formas de usar el marco STIX/TAXII para intercambiar datos de información sobre amenazas:
Cloudforce One es un equipo de operaciones e investigación de amenazas que se encarga de rastrear y desarticular redes de atacantes. Las funciones avanzadas de información sobre amenazas del equipo permiten una cobertura exhaustiva de todas las entidades del panorama de amenazas, y ayudan a las organizaciones a adelantarse a los acontecimientos y tomar medidas antes de que cualquier amenaza pueda causar daños.