STIX/TAXII란?

STIX/TAXII는 조직 간의 위협 인텔리전스 공유 및 협업을 촉진하기 위한 글로벌 공동 이니셔티브입니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • STIX/TAXII 정의
  • STIX/TAXII의 일반적인 사용 사례 설명
  • STIX/TAXII가 사이버 위협의 완화 및 예방을 어떻게 개선하는지 알아보기

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

STIX/TAXII란?

STIX/TAXII는 사이버 위협을 완화하고 방지하기 위해 설계된 글로벌 이니셔티브입니다. 2016년 12월 미국 국토안보부(DHS)에서 출범한 이 조직은 현재 인터넷 개방형 표준의 개발, 채택, 융합을 촉진하는 비영리 단체인 OASIS가 관리하고 있습니다.

Structured Threat Information eXpression(STIX)는 JSON 기반 어휘를 사용하여 위협 인텔리전스 정보를 읽을 수 있으며 일관된 형식으로 표현하고 공유하는 표준화된 언어입니다. 이는 공통 언어가 세계 각지의 사람들이 소통하는 데 도움이 되는 것과 유사합니다. 한 가지 차이점은 STIX는 사람 간의 대화 대신 시스템 간에 사이버 위협 정보를 교환할 수 있다는 것입니다. STIX는 사용자가 위협의 동기, 능력, 기능, 대응에 따라 위협을 일관되게 설명할 수 있도록 공통 구문을 제공합니다.

Trusted Automated eXchange of Intelligence Information(TAXII)는 위협 인텔리전스 데이터가 전송되는 형식입니다. TAXII는 하이퍼 텍스트 전송 프로토콜 보안(HTTPS)을 통해 STIX 인사이트 전송을 지원하는 전송 프로토콜입니다.

한 가지 중요한 점은 STIX와 TAXII가 독립적인 표준이라는 점입니다. STIX는 특정 전송 방법에 의존하지 않으며 TAXII는 STIX가 아닌 정보 및 데이터를 전송하는 데 사용할 수 있습니다.

STIX/TAXII를 함께 사용하면 위협 인텔리전스를 공유하고 사용하기 위한 프레임워크를 형성하여 사용자가 공격 벡터 악성 IP 주소, 멀웨어 시그니처, 위협 행위자 등의 세부 정보가 포함된 기록을 검색할 수 있는 오픈 소스 플랫폼을 만들 수 있습니다.

STIX는 어떻게 작동하나요?

STIX는 위협 지표, 사고, 데이터 유출을 설명하기 위한 공통 언어를 제공하는 방식으로 작동합니다. STIX는 XML 편집기, Python 및 Java 바인딩, Python API, 유틸리티를 사용하여 수동으로 또는 프로그래밍하여 사용할 수 있습니다. 데이터는 STIX 패키지로 구성된 다음 파일 교환, API, 위협 인텔리전스 플랫폼에의 게시 등 다양한 방법을 통해 공유할 수 있습니다.

또한 STIX에는 권장 어휘 및 데이터 모델 집합이 제공되므로 조직에서 일반적인 위협 유형과 구조를 더 쉽게 설명할 수 있습니다.

TAXII는 어떻게 작동하나요?

TAXII는 메시지 형식, 통신 프로토콜, 보안 요구 사항 등 데이터 교환을 위한 프로토콜을 정의하여 작동합니다.

TAXII의 두 가지 핵심 개념은 컬렉션과 채널입니다. 컬렉션은 보안 벤더나 정부 기관과 같은 단일 주체가 구성하고 관리하는 STIX 패키지의 집합입니다. 채널을 통해 조직은 API, 파일 교환 또는 위협 인텔리전스 플랫폼 등을 통해 특정 컬렉션에 액세스할 수 있습니다. 채널을 통해 사용자는 여러 소비자에게 데이터를 푸시할 수 있습니다.

STIX/TAXII가 중요한 이유는?

STIX/TAXII의 중요성은 사이버 위협을 감지, 대응, 예방하는 능력을 개선하여 조직의 전반적인 보안 상태를 강화한다는 데 있습니다.

STIX/TAXII는 다음을 활성화합니다:

  1. 위협 인텔리전스 공유 개선: STIX/TAXII는 조직이 위협 인텔리전스를 공유하고 교환할 수 있는 공통 언어를 제공합니다.
  2. 위협 탐지 및 대응 강화: 위협 데이터를 표현하는 표준 방식을 통해 조직은 위협 탐지, 분석 및 대응을 자동화할 수 있습니다.
  3. 인텔리전스 정확도 향상: STIX/TAXII 프레임워크는 인텔리전스 데이터의 일관성, 완전성, 정확성을 보장하는 데 도움이 됩니다. 이는 위협 인텔리전스 데이터의 품질과 유용성을 개선합니다.
  4. 협업 장려: 조직은 안전하고 확장 가능한 방식으로 데이터를 공유할 수 있어 조직 간의 협업과 정보 공유를 촉진할 수 있습니다.
  5. 지원 자동화: STIX/TAXII에서 공통 언어와 표준을 사용하면 조직에서 위협 감지, 분석 및 대응 프로세스를 더 쉽게 자동화할 수 있으므로 효율성을 개선하고 인적 오류의 위험을 줄일 수 있습니다.

STIX/TAXII를 사용하는 다른 방법은?

STIX/TAXII가 출시된 이후 전 세계 여러 기관에서 온라인 위협에 대한 이해를 높이기 위해 이를 사용하고 있습니다. 위협 인텔리전스 데이터를 교환하기 위해 STIX/TAXII 프레임워크를 사용하는 방법에는 여러 가지가 있습니다.

  1. 위협 인텔리전스 플랫폼: 조직은 위협 인텔리전스 데이터 공유 및 교환을 위한 중앙 저장소 역할을 하는 위협 인텔리전스 플랫폼을 통해 STIX 데이터를 게시하고 액세스할 수 있습니다.
  2. API 통합: 위협 분석가는 API를 사용하여 다른 보안 도구 및 시스템과 데이터를 교환할 수 있습니다.
  3. 파일 교환: 조직은 STIX 패키지를 파일로 교환하여 시스템 간에 간단한 데이터 교환을 할 수 있습니다.
  4. 실시간 데이터 피드: 분석팀은 TAXII를 활용하여 제공업체의 실시간 데이터 피드를 구독할 수 있습니다.
  5. 위협 사냥: 보안 분석가는 STIX/TAXII를 사용하여 위협 인텔리전스 데이터를 구성하고 검색할 수 있으므로 위협을 식별하고 조사를 더 쉽게 지원할 수 있습니다.
  6. 자동화된 위협 감지: 보안 팀에서 STIX/TAXII를 사용하여 위협 감지 프로세스를 자동화할 수 있으므로 새로운 위협을 신속하게 식별하고 대응할 수 있습니다.

Cloudforce One

Cloudforce One은 위협 행위자를 추적하고 중단시키기 위해 만들어진 위협 운영 및 연구 팀입니다. 팀의 고급 위협 인텔리전스 기능을 통해 위협 환경의 모든 엔터티를 포괄적으로 파악하고 위협으로 인해 피해가 발생하기 전에 조직이 한발 앞서 조치를 취할 수 있도록 지원합니다.