STIX/TAXII est une initiative collaborative mondiale qui vise à encourager l'échange de renseignements sur les menaces et la collaboration entre les organisations pour une sécurité renforcée.
Cet article s'articule autour des points suivants :
Contenu associé
Informations sur les menaces
Vecteur d'attaque
Mouvements latéraux
Centre d'opérations de sécurité (SOC)
Attaque par débordement de tampon (buffer overflow)
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
STIX/TAXII relève d'une initiative mondiale visant à atténuer et à prévenir les cybermenaces. Lancée en décembre 2016 par le ministère américain de la Sécurité intérieure (DHS), l'organisation est désormais gérée par OASIS, une organisation à but non lucratif qui œuvre à la progression du développement, à l'adoption et à la convergence des normes ouvertes pour l'Internet.
Structured Threat Information eXpression (STIX) est un langage normalisé qui utilise un lexique basé sur JSON pour exprimer et partager des informations sur les menaces dans un format unique et lisible par une machine. Il est semblable à une langue commune qui permettrait à des personnes de différentes parties du monde à communiquer. Cependant, il ne s'agit pas de conversations entre personnes, mais de permettre l'échange d'informations sur les cybermenaces entre systèmes. STIX fournit une syntaxe commune grâce à laquelle les utilisateurs peuvent décrire de manière uniforme les menaces en fonction de leurs motivations, de leurs aptitudes, de leurs capacités et de leurs réactions.
Le format TAXII (Trusted Automated eXchange of Intelligence Information) est le format de transmission des données d'informations sur les menaces. TAXII est un protocole de transport qui prend en charge le transfert des informations STIX sur Hyper Text Transfer Protocol Secure (HTTPS).
Il convient de préciser que STIX et TAXII sont des normes indépendantes. STIX ne repose sur aucune méthode de transport spécifique, et TAXII peut être utilisé pour transférer des informations et des données non-STIX.
L'utilisation conjointe de STIX et TAXII (STIX/TAXII) forme un cadre pour l'échange et l'utilisation des informations sur les menaces. Il en découle une plateforme ouverte sur laquelle les utilisateurs peuvent rechercher des enregistrements contenant les détails de vecteurs d'attaque tels que les adresses IP malveillantes, les signatures de logiciels malveillants et les acteurs de la menace.
STIX fournit un langage commun pour décrire les indicateurs de menace, les incidents et les violations de données. Il peut être utilisé manuellement ou programmé à l'aide d'un éditeur XML, de liaisons Python et Java, ainsi que d'API et d'utilitaires Python. Les données sont organisées en paquets STIX, puis partagées selon différentes méthodes, notamment l'échange de fichiers, les API ou la publication sur une plateforme d'informations sur les menaces.
STIX recommande également un ensemble de vocabulaires et de modèles de données, ce qui permet aux organisations de décrire plus facilement les structures et types de menaces communes.
TAXII définit les protocoles d'échange de données, y compris les formats de messages, les protocoles de communication et les exigences en matière de sécurité.
Deux concepts clés de TAXII sont la collecte et le canal. Une collection est un ensemble de paquets STIX organisés et gérés par une seule entité, telle qu'un fournisseur de sécurité ou une agence gouvernementale. Un canal permet aux organisations d'accéder à une collection spécifique, par exemple par le biais d'une API, d'un échange de fichiers ou d'une plateforme de renseignements sur les menaces. Un canal permet aux utilisateurs d'envoyer des données à plusieurs consommateurs.
STIX/TAXII est important car il améliore la stratégie de sécurité globale d'une entreprise en renforçant sa capacité à détecter, réagir et prévenir les cybermenaces.
STIX/TAXII permet de :
Depuis son lancement, STIX/TAXII a été utilisé par des agences du monde entier pour enrichir leur compréhension des menaces en ligne. Il existe plusieurs façons d'utiliser le cadre STIX/TAXII pour l'échange de données d'informations sur les menaces :
Cloudforce One est une équipe de recherche et d'exploitation des menaces créée pour traquer et perturber les acteurs de la menace. Ses capacités avancées d'informations sur les menaces lui permettent de fournir une couverture complète de toutes les entités du paysage des menaces. Il est ainsi plus facile pour les entreprises de garder une longueur d'avance sur les menaces et de prendre des mesures par anticipation afin de les empêcher de causer des dommages.