Qu'est-ce que STIX/TAXII ?

STIX/TAXII est une initiative collaborative mondiale qui vise à encourager l'échange de renseignements sur les menaces et la collaboration entre les organisations pour une sécurité renforcée.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir STIX/TAXII
  • Expliquer les cas d'utilisation courants de STIX/TAXII
  • Découvrez comment STIX/TAXII améliore l'atténuation et la prévention des cybermenaces.

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que STIX/TAXII ?

STIX/TAXII relève d'une initiative mondiale visant à atténuer et à prévenir les cybermenaces. Lancée en décembre 2016 par le ministère américain de la Sécurité intérieure (DHS), l'organisation est désormais gérée par OASIS, une organisation à but non lucratif qui œuvre à la progression du développement, à l'adoption et à la convergence des normes ouvertes pour l'Internet.

Structured Threat Information eXpression (STIX) est un langage normalisé qui utilise un lexique basé sur JSON pour exprimer et partager des renseignements sur les menaces dans un format unique et lisible par une machine. Il fonctionne à l'image d'une langue commune qui permettrait à des personnes de différentes parties du monde à communiquer. Cependant, il ne s'agit pas de conversations entre personnes, mais de permettre l'échange d'informations sur les cybermenaces entre systèmes. STIX fournit une syntaxe commune grâce à laquelle les utilisateurs peuvent décrire de manière uniforme les menaces en fonction de leurs motivations, de leurs aptitudes, de leurs capacités et de leurs réactions.

Le format TAXII (Trusted Automated eXchange of Intelligence Information) est le format de transmission des données d'informations sur les menaces. TAXII est un protocole de transport qui prend en charge le transfert des informations STIX sur Hyper Text Transfer Protocol Secure (HTTPS).

Il convient de préciser que STIX et TAXII sont des normes indépendantes. STIX ne repose sur aucune méthode de transport spécifique, et TAXII peut être utilisé pour transférer des informations et des données non-STIX.

L'utilisation conjointe de STIX et TAXII (STIX/TAXII) forme un cadre pour l'échange et l'utilisation des informations sur les menaces. Il en découle une plateforme ouverte sur laquelle les utilisateurs peuvent rechercher des enregistrements contenant les détails de vecteurs d'attaque tels que les adresses IP malveillantes, les signatures de logiciels malveillants et les acteurs de la menace.

Comment fonctionne STIX ?

STIX fournit un langage commun pour décrire les indicateurs de menace, les incidents et les violations de données. Il peut être utilisé manuellement ou programmé à l'aide d'un éditeur XML, de liaisons Python et Java, ainsi que d'API et d'utilitaires Python. Les données sont organisées en paquets STIX, puis partagées selon différentes méthodes, notamment l'échange de fichiers, les API ou la publication sur une plateforme d'informations sur les menaces.

STIX recommande également un ensemble de vocabulaires et de modèles de données, ce qui permet aux organisations de décrire plus facilement les structures et types de menaces communes.

Comment fonctionne TAXII ?

TAXII définit les protocoles d'échange de données, y compris les formats de messages, les protocoles de communication et les exigences en matière de sécurité.

Deux concepts clés de TAXII sont la collecte et le canal. Une collection est un ensemble de paquets STIX organisés et gérés par une seule entité, telle qu'un fournisseur de sécurité ou une agence gouvernementale. Un canal permet aux organisations d'accéder à une collection spécifique, par exemple par le biais d'une API, d'un échange de fichiers ou d'une plateforme de renseignements sur les menaces. Un canal permet aux utilisateurs d'envoyer des données à plusieurs consommateurs.

Pourquoi STIX/TAXII est-il important ?

STIX/TAXII est important parce qu'il renforce la position globale de sécurité d'une organisation en améliorant sa capacité à détecter les cybermenaces, à y répondre et à les prévenir.

STIX/TAXII permet de :

  1. Faciliter l'échange d'informations sur les menaces : STIX/TAXII offre aux organisations un langage commun pour la transmission et l'échange d'informations sur les menaces.
  2. Renforcer la détection et la réponse aux menaces : grâce à une méthode standard de représentation des données sur les menaces, les entreprises sont en mesure d'automatiser la détection, l'analyse et la réponse aux menaces.
  3. Affiner la précision des informations : le cadre STIX/TAXII garantit la cohérence, l'exhaustivité et surtout l'exactitude des informations.Il améliore la qualité et l'utilité des données d'informations sur les menaces.
  4. Favoriser la collaboration : les organisations sont en mesure d'échanger des données de manière sécurisée et évolutive, ce qui encourage la collaboration et l'échange d'informations entre les organisations.
  5. Automatiser la prise en charge : l'utilisation d'un langage et de normes communs dans STIX/TAXII facilite aux organisations l'automatisation des processus de détection, d'analyse et de réponse aux menaces, ce qui permet d'améliorer l'efficacité et de réduire le risque d'erreur humaine.

Quelles sont les différentes façons d'utiliser STIX/TAXII ?

Depuis son lancement, STIX/TAXII a été utilisé par des agences du monde entier pour enrichir leur compréhension des menaces en ligne. Il existe plusieurs façons d'utiliser le cadre STIX/TAXII pour l'échange de données d'informations sur les menaces :

  1. Plateformes d'information sur les menaces : les organisations peuvent publier et accéder aux données STIX par le biais d'une plateforme d'information sur les menaces qui fait office de référentiel pour l'échange de données d'informations sur les menaces.
  2. Intégrations d'API : les analystes des menaces peuvent utiliser des API pour échanger des données avec d'autres outils et systèmes de sécurité.
  3. Échanges de fichiers : Les organisations peuvent échanger des paquets STIX sous forme de fichiers, facilitant ainsi l'échange de données entre les systèmes.
  4. Flux de données en temps réel : les équipes d'analystes peuvent utiliser TAXII pour s'abonner à des flux de données en temps réel proposés par de fournisseurs.
  5. Recherche de menaces : Les analystes de sécurité peuvent utiliser STIX/TAXII pour organiser et rechercher des données de renseignements sur les menaces, ce qui facilite l'identification des menaces et les enquêtes.
  6. Détection automatisée des menaces : avec STIX/TAXII les organisations sont en mesure d'automatiser le processus de détection des menaces et ainsi de réagir rapidement lorsqu'il en apparaît de nouvelles.

Cloudforce One

Cloudforce One est une équipe de recherche et d'exploitation des menaces créée pour traquer et perturber les acteurs de la menace. L'équipe de renseignement sur les menaces possède des capacités avancées qui lui permettent de fournir une couverture complète de toutes les entités du paysage des menaces. Cela aide les organisations à rester en avance sur les menaces et à prendre des mesures proactives pour les empêcher de causer des dommages.