¿Qué es STIX/TAXII?

STIX/TAXII es una iniciativa conjunta global para impulsar el intercambio de información sobre amenazas y la colaboración entre organizaciones.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir STIX/TAXII
  • Explicar los casos de uso habituales de STIX/TAXII
  • Más información sobre cómo STIX/TAXII mejora la mitigación y prevención de las ciberamenazas

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es STIX/TAXII?

STIX/TAXII es una iniciativa global diseñada para mejorar la mitigación y prevención de las ciberamenazas. Lanzada originalmente en diciembre de 2016 por el Departamento de Seguridad Nacional de Estados Unidos (DHS), esta organización es gestionada ahora por OASIS, una organización sin ánimo de lucro que promueve el desarrollo, la adopción y la convergencia de normas abiertas para Internet.

Structured Threat Information eXpression (STIX) es un lenguaje estandarizado que utiliza un léxico basado en JSON para expresar y compartir información sobre amenazas en un formato legible y coherente. Es similar a la forma en que un idioma cualquiera puede ayudar a comunicarse a personas de distintas partes del mundo. Solo que en lugar de una conversación entre personas, STIX permite el intercambio de información sobre ciberamenazas entre los sistemas. STIX ofrece una sintaxis común para que los usuarios puedan describir las amenazas de forma coherente según sus motivaciones, habilidades, capacidades y respuestas.

Trusted Automated eXchange of Intelligence Information (TAXII) es el formato por el cual se transmiten los datos de información sobre amenazas. TAXII es un protocolo de transporte que soporta la transferencia de información de STIX a través de Hyper Text Transfer Protocol Secure (HTTPS).

Una nota clave es que STIX y TAXII son estándares independientes. STIX no depende de un método de transporte específico y se puede usar TAXII para transportar información y datos que no sean STIX.

Cuando se utilizan juntos, STIX/TAXII forman un marco para compartir y utilizar la información sobre amenazas, creando una plataforma de código abierto que permite a los usuarios buscar en registros que contienen detalles de vectores de ataque, como direcciones IP maliciosas, firmas de malware y agentes de amenazas.

¿Cómo funciona STIX?

STIX ofrece un lenguaje común para describir indicadores de amenazas, incidentes y fugas de datos. Se puede usar de forma manual o programada con un editor XML, enlaces de Python y Java, y API y utilidades de Python. Los datos se organizan en paquetes STIX, luego se pueden compartir mediante diversos métodos, como el intercambio de archivos, las API o la publicación en una plataforma de información sobre amenazas.

STIX también proporciona un conjunto de vocabularios y modelos de datos recomendados, que facilitan a las organizaciones la descripción de tipos y estructuras de amenazas habituales.

¿Cómo funciona TAXII?

TAXII funciona mediante la definición de protocolos de intercambio de datos, incluidos los formatos de mensajes, protocolos de comunicación y requisitos de seguridad.

La recopilación y el canal son dos conceptos clave en TAXII. Una recopilación es un conjunto de paquetes STIX organizados y gestionados por una única entidad, como un proveedor de seguridad o un organismo gubernamental. Un canal permite que las organizaciones accedan a una recopilación específica, como a través de una API, un intercambio de archivos o una plataforma de información sobre amenazas. Un canal permite que los usuarios envíen datos a varios consumidores.

¿Por qué es importante STIX/TAXII?

STIX/TAXII es importante porque mejora la postura de seguridad general de una organización al mejorar su capacidad para detectar, responder y prevenir las ciberamenazas.

STIX/TAXII permite hacer lo siguiente:

  1. Mejorar el intercambio de información sobre amenazas: STIX/TAXII proporciona un lenguaje común para que las organizaciones compartan e intercambien información sobre amenazas.
  2. Impulsa la detección y respuesta a las amenazas: con una forma estándar de representar los datos sobre amenazas, las organizaciones pueden automatizar la detección, el análisis y la respuesta a las amenazas.
  3. Aumentar la precisión de la información: el marco STIX/TAXII ayuda a garantizar que los datos de información sean coherentes, completos y precisos. Mejora la calidad y la utilidad de los datos de información sobre amenazas.
  4. Fomentar la colaboración: las organizaciones pueden compartir datos de forma segura y ampliable, lo que fomenta la colaboración y el intercambio de información entre organizaciones.
  5. Apoyo automatizado: el uso de un lenguaje y estándares comunes en STIX/TAXII facilita a las organizaciones automatizar los procesos de detección, análisis y respuesta a las amenazas, lo cual ayuda a mejorar la eficacia y reduce el riesgo de errores humanos.

¿Cuáles son las diferentes formas de utilizar STIX/TAXII?

Desde su lanzamiento, las agencias en todo el mundo han usado STIX/TAXII para mejorar su comprensión de las amenazas en línea. Hay varias formas de usar el marco STIX/TAXII para intercambiar datos de información sobre amenazas:

  1. Plataformas de información sobre amenazas: las organizaciones pueden publicar y acceder a los datos STIX a través de una plataforma de información sobre amenazas, que actúa como repositorio central para compartir e intercambiar los datos de información sobre amenazas.
  2. Integraciones API: los analistas de amenazas pueden utilizar las API para intercambiar datos con otras herramientas y sistemas de seguridad.
  3. Intercambio de archivos: las organizaciones pueden intercambiar paquetes STIX como archivos, lo que permite un sencillo intercambio de datos entre los sistemas.
  4. Fuentes de datos en tiempo real: los equipos de analistas pueden aprovechar TAXII para suscribirse a fuentes de datos de los proveedores en tiempo real.
  5. Detección de amenazas: los analistas de seguridad pueden utilizar STIX/TAXII para organizar y buscar datos de información sobre amenazas, lo cual facilita la identificación de amenazas y el apoyo a las investigaciones.
  6. Detección de amenazas automatizada: los equipos de seguridad pueden usar STIX/TAXII para automatizar el proceso de detección de amenazas, lo cual les permite identificar y responder con rapidez a las nuevas amenazas.

Cloudforce One

Cloudforce One es un equipo de operaciones e investigación de amenazas que se encarga de rastrear y desarticular redes de atacantes. Las funciones avanzadas de información sobre amenazas del equipo permiten una cobertura exhaustiva de todas las entidades del panorama de amenazas, y ayudan a las organizaciones a adelantarse a los acontecimientos y tomar medidas antes de que cualquier amenaza pueda causar daños.