O que é STIX/TAXII?

O STIX/TAXII é uma iniciativa global conjunta para impulsionar o compartilhamento e a colaboração de inteligência contra ameaças entre as organizações.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir STIX/TAXII
  • Explicar casos de uso comuns para STIX/TAXII
  • Saber como o STIX/TAXII melhora a mitigação e a prevenção de ameaças cibernéticas

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é STIX/TAXII?

STIX/TAXII é uma iniciativa global projetada para mitigar e prevenir ameaças cibernéticas. Lançada em dezembro de 2016 pelo Departamento de Segurança Interna (DHS) dos Estados Unidos, agora é gerenciado pela OASIS, uma organização sem fins lucrativos que promove o desenvolvimento, a adoção e a convergência de padrões abertos para a internet.

Structured Threat Information eXpression (STIX) é uma linguagem padronizada que usa um léxico baseado em JSON para expressar e compartilhar informações de inteligência contra ameaças em um formato legível e consistente. Funciona de forma semelhante a um idioma comum que pode ajudar pessoas de diferentes partes do mundo a se comunicarem. Só que em vez de conversas entre as pessoas, o STIX permite a troca de informações sobre ameaças cibernéticas entre sistemas. O STIX fornece uma sintaxe comum para que os usuários possam descrever as ameaças de forma consistente por suas motivações, habilidades, capacidades e respostas.

O Trusted Automated eXchange of Intelligence Information (TAXII) é o formato pelo qual os dados de inteligência contra ameaças são transmitidos. O TAXII é um protocolo de transporte que é compatível com a transferência de insights do STIX sobre Hyper Text Transfer Protocol Secure (HTTPS).

Uma observação importante é que o STIX e o TAXII são padrões independentes. O STIX não depende de um método de transporte específico, e o TAXII pode ser usado para transportar informações e dados não STIX.

Quando usados em conjunto, STIX/TAXII formam uma estrutura para compartilhar e usar inteligência contra ameaças, criando uma plataforma de código aberto que permite aos usuários pesquisar registros contendo detalhes sobre vetores de ataque tais como endereços de IP maliciosos, assinaturas de malware e agentes de ameaças.

Como funciona o STIX?

O STIX funciona fornecendo uma linguagem comum para descrever indicadores de ameaças, incidentes e violações de dados. Ele pode ser usado manualmente ou programado por meio do editor XML, ligações Python e Java e APIs e utilitários Python. Os dados são organizados em pacotes STIX, que podem ser compartilhados através de vários métodos, incluindo troca de arquivos, APIs, ou publicações em uma plataforma de inteligência contra ameaças.

O STIX também fornece um conjunto de vocabulários e modelos de dados recomendados, facilitando para as organizações a descrição de tipos e estruturas comuns de ameaças.

Como funciona o TAXII?

O TAXII funciona definindo os protocolos para troca de dados, incluindo formatos de mensagens, protocolos de comunicação e requisitos de segurança.

Dois conceitos-chave no TAXII são a coleção e o canal. Uma coleção é um conjunto de pacotes STIX organizados e gerenciados por uma única entidade, como um fornecedor de segurança ou uma agência governamental. Um canal permite que as organizações acessem uma coleção específica, como por exemplo através de uma API, troca de arquivos ou plataforma de inteligência contra ameaças. Um canal permite que os usuários enviem dados para vários consumidores.

Por que STIX/TAXII é importante?

O STIX/TAXII é importante porque melhora a postura geral de segurança de uma organização, melhorando sua capacidade de detectar, responder e prevenir ameaças cibernéticas.

O STIX/TAXII permite:

  1. Melhorar o compartilhamento de inteligência contra ameaças: o STIX/TAXII oferece uma linguagem comum para que as organizações compartilhem e troquem inteligência contra ameaças.
  2. Aumentar a detecção e a resposta a ameaças: com uma maneira padrão de representar os dados de ameaças, as organizações podem automatizar a detecção, a análise e a resposta a ameaças.
  3. Aumentar a precisão da inteligência: a estrutura STIX/TAXII ajuda a garantir que os dados de inteligência sejam consistentes, completos e, principalmente, precisos. Ela melhora a qualidade e a utilidade dos dados da inteligência contra ameaças.
  4. Incentivar a colaboração: as organizações podem compartilhar dados de forma segura e escalável, o que promove a colaboração e o compartilhamento de informações entre as organizações.
  5. Suporte de automação: o uso de linguagem e padrões comuns no STIX/TAXII facilita a automatização dos processos de detecção, análise e resposta a ameaças, nas organizações melhorando a eficiência e reduzindo o risco de erro humano.

Quais são as diferentes maneiras de usar o STIX/TAXII?

Desde seu lançamento, o STIX/TAXII tem sido usado por agências em todo o mundo para melhorar sua compreensão das ameaças on-line. Há várias maneiras de usar a estrutura STIX/TAXII para o intercâmbio de dados de inteligência contra ameaças:

  1. Plataformas de inteligência contra ameaças: as organizações podem publicar e acessar dados de STIX através de uma plataforma de inteligência contra ameaças, que atua como um repositório central para compartilhamento e troca de dados de inteligência contra ameaças.
  2. Integrações de API: os analistas de ameaças podem usar APIs para trocar dados com outras ferramentas e sistemas de segurança.
  3. Troca de arquivos: as organizações podem trocar pacotes STIX como arquivos, permitindo a troca simples de dados entre sistemas.
  4. Feeds de dados em tempo real: as equipes de analistas podem aproveitar o TAXII para assinar feeds de dados em tempo real de provedores.
  5. Caça a ameaças: os analistas de segurança podem usar STIX/TAXII para organizar e pesquisar dados de inteligência contra ameaças, facilitando a identificação de ameaças e as investigações de apoio.
  6. Detecção automatizada de ameaças: as equipes de segurança podem usar o STIX/TAXII para automatizar o processo de detecção de ameaças, permitindo que elas identifiquem e respondam rapidamente a novas ameaças.

Cloudforce One

O Cloudforce One é uma equipe de operações e pesquisa de ameaças criada para rastrear e interromper os agentes de ameaças. Os recursos avançados de inteligência contra ameaças da equipe permitem uma cobertura abrangente de todas as entidades no cenário de ameaças e ajudam as organizações a se manterem à frente da curva e tomarem medidas antes que qualquer ameaça possa causar danos.