STIX/TAXII는 조직 간의 위협 인텔리전스 공유 및 협업을 촉진하기 위한 글로벌 공동 이니셔티브입니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
STIX/TAXII는 사이버 위협을 완화하고 방지하기 위해 설계된 글로벌 이니셔티브입니다. 2016년 12월 미국 국토안보부(DHS)에서 출범한 이 조직은 현재 인터넷 개방형 표준의 개발, 채택, 융합을 촉진하는 비영리 단체인 OASIS가 관리하고 있습니다.
Structured Threat Information eXpression(STIX)는 JSON 기반 어휘를 사용하여 위협 인텔리전스 정보를 읽을 수 있으며 일관된 형식으로 표현하고 공유하는 표준화된 언어입니다. 이는 공통 언어가 세계 각지의 사람들이 소통하는 데 도움이 되는 것과 유사합니다. 한 가지 차이점은 STIX는 사람 간의 대화 대신 시스템 간에 사이버 위협 정보를 교환할 수 있다는 것입니다. STIX는 사용자가 위협의 동기, 능력, 기능, 대응에 따라 위협을 일관되게 설명할 수 있도록 공통 구문을 제공합니다.
Trusted Automated eXchange of Intelligence Information(TAXII)는 위협 인텔리전스 데이터가 전송되는 형식입니다. TAXII는 하이퍼 텍스트 전송 프로토콜 보안(HTTPS)을 통해 STIX 인사이트 전송을 지원하는 전송 프로토콜입니다.
한 가지 중요한 점은 STIX와 TAXII가 독립적인 표준이라는 점입니다. STIX는 특정 전송 방법에 의존하지 않으며 TAXII는 STIX가 아닌 정보 및 데이터를 전송하는 데 사용할 수 있습니다.
STIX/TAXII를 함께 사용하면 위협 인텔리전스를 공유하고 사용하기 위한 프레임워크를 형성하여 사용자가 공격 벡터 악성 IP 주소, 멀웨어 시그니처, 위협 행위자 등의 세부 정보가 포함된 기록을 검색할 수 있는 오픈 소스 플랫폼을 만들 수 있습니다.
STIX는 위협 지표, 사고, 데이터 유출을 설명하기 위한 공통 언어를 제공하는 방식으로 작동합니다. STIX는 XML 편집기, Python 및 Java 바인딩, Python API, 유틸리티를 사용하여 수동으로 또는 프로그래밍하여 사용할 수 있습니다. 데이터는 STIX 패키지로 구성된 다음 파일 교환, API, 위협 인텔리전스 플랫폼에의 게시 등 다양한 방법을 통해 공유할 수 있습니다.
또한 STIX에는 권장 어휘 및 데이터 모델 집합이 제공되므로 조직에서 일반적인 위협 유형과 구조를 더 쉽게 설명할 수 있습니다.
TAXII는 메시지 형식, 통신 프로토콜, 보안 요구 사항 등 데이터 교환을 위한 프로토콜을 정의하여 작동합니다.
TAXII의 두 가지 핵심 개념은 컬렉션과 채널입니다. 컬렉션은 보안 벤더나 정부 기관과 같은 단일 주체가 구성하고 관리하는 STIX 패키지의 집합입니다. 채널을 통해 조직은 API, 파일 교환 또는 위협 인텔리전스 플랫폼 등을 통해 특정 컬렉션에 액세스할 수 있습니다. 채널을 통해 사용자는 여러 소비자에게 데이터를 푸시할 수 있습니다.
STIX/TAXII의 중요성은 사이버 위협을 감지, 대응, 예방하는 능력을 개선하여 조직의 전반적인 보안 상태를 강화한다는 데 있습니다.
STIX/TAXII는 다음을 활성화합니다:
STIX/TAXII가 출시된 이후 전 세계 여러 기관에서 온라인 위협에 대한 이해를 높이기 위해 이를 사용하고 있습니다. 위협 인텔리전스 데이터를 교환하기 위해 STIX/TAXII 프레임워크를 사용하는 방법에는 여러 가지가 있습니다.
Cloudforce One은 위협 행위자를 추적하고 중단시키기 위해 만들어진 위협 운영 및 연구 팀입니다. 팀의 고급 위협 인텔리전스 기능을 통해 위협 환경의 모든 엔터티를 포괄적으로 파악하고 위협으로 인해 피해가 발생하기 전에 조직이 한발 앞서 조치를 취할 수 있도록 지원합니다.