O STIX/TAXII é uma iniciativa global conjunta para impulsionar o compartilhamento e a colaboração de inteligência contra ameaças entre as organizações.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Inteligência contra ameaças
Vetor de ataque
Movimento lateral
Centro de operações de segurança (SOC)
Ataque de estouro de buffer
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
STIX/TAXII é uma iniciativa global projetada para mitigar e prevenir ameaças cibernéticas. Lançada em dezembro de 2016 pelo Departamento de Segurança Interna (DHS) dos Estados Unidos, agora é gerenciado pela OASIS, uma organização sem fins lucrativos que promove o desenvolvimento, a adoção e a convergência de padrões abertos para a internet.
Structured Threat Information eXpression (STIX) é uma linguagem padronizada que usa um léxico baseado em JSON para expressar e compartilhar informações de inteligência contra ameaças em um formato legível e consistente. Funciona de forma semelhante a um idioma comum que pode ajudar pessoas de diferentes partes do mundo a se comunicarem. Só que em vez de conversas entre as pessoas, o STIX permite a troca de informações sobre ameaças cibernéticas entre sistemas. O STIX fornece uma sintaxe comum para que os usuários possam descrever as ameaças de forma consistente por suas motivações, habilidades, capacidades e respostas.
O Trusted Automated eXchange of Intelligence Information (TAXII) é o formato pelo qual os dados de inteligência contra ameaças são transmitidos. O TAXII é um protocolo de transporte que é compatível com a transferência de insights do STIX sobre Hyper Text Transfer Protocol Secure (HTTPS).
Uma observação importante é que o STIX e o TAXII são padrões independentes. O STIX não depende de um método de transporte específico, e o TAXII pode ser usado para transportar informações e dados não STIX.
Quando usados em conjunto, STIX/TAXII formam uma estrutura para compartilhar e usar inteligência contra ameaças, criando uma plataforma de código aberto que permite aos usuários pesquisar registros contendo detalhes sobre vetores de ataque tais como endereços de IP maliciosos, assinaturas de malware e agentes de ameaças.
O STIX funciona fornecendo uma linguagem comum para descrever indicadores de ameaças, incidentes e violações de dados. Ele pode ser usado manualmente ou programado por meio do editor XML, ligações Python e Java e APIs e utilitários Python. Os dados são organizados em pacotes STIX, que podem ser compartilhados através de vários métodos, incluindo troca de arquivos, APIs, ou publicações em uma plataforma de inteligência contra ameaças.
O STIX também fornece um conjunto de vocabulários e modelos de dados recomendados, facilitando para as organizações a descrição de tipos e estruturas comuns de ameaças.
O TAXII funciona definindo os protocolos para troca de dados, incluindo formatos de mensagens, protocolos de comunicação e requisitos de segurança.
Dois conceitos-chave no TAXII são a coleção e o canal. Uma coleção é um conjunto de pacotes STIX organizados e gerenciados por uma única entidade, como um fornecedor de segurança ou uma agência governamental. Um canal permite que as organizações acessem uma coleção específica, como por exemplo através de uma API, troca de arquivos ou plataforma de inteligência contra ameaças. Um canal permite que os usuários enviem dados para vários consumidores.
O STIX/TAXII é importante porque melhora a postura geral de segurança de uma organização, melhorando sua capacidade de detectar, responder e prevenir ameaças cibernéticas.
O STIX/TAXII permite:
Desde seu lançamento, o STIX/TAXII tem sido usado por agências em todo o mundo para melhorar sua compreensão das ameaças on-line. Há várias maneiras de usar a estrutura STIX/TAXII para o intercâmbio de dados de inteligência contra ameaças:
O Cloudforce One é uma equipe de operações e pesquisa de ameaças criada para rastrear e interromper os agentes de ameaças. Os recursos avançados de inteligência contra ameaças da equipe permitem uma cobertura abrangente de todas as entidades no cenário de ameaças e ajudam as organizações a se manterem à frente da curva e tomarem medidas antes que qualquer ameaça possa causar danos.