Aproveitando o STIX e o TAXII para melhorar a inteligência contra ameaças cibernéticas (Parte 1)

O ciberespaço moderno, com seus cenários de ataque cada vez mais complexos e modus operandi sofisticado, está se tornando cada vez mais difícil de defender e proteger. E dadas as crescentes complexidades do cenário de ameaças, a velocidade com que os eventos ocorrem e a grande quantidade de dados envolvidos, a necessidade do momento é um sistema legível por máquina e facilmente automatizável para compartilhar dados de inteligência contra ameaças cibernéticas (CTI).

É aqui que o STIX e o TAXII entram em cena.

O STIX é uma representação estruturada de informações sobre ameaças que é expressiva, flexível, extensível, automatizável e legível. O uso de feeds STIX com o TAXII permite que as organizações troquem informações sobre ameaças cibernéticas de maneira mais estruturada e padronizada, permitindo uma colaboração mais profunda contra ameaças.

Neste artigo, exploraremos os fundamentos do STIX e do TAXII e algumas de suas aplicações no espaço da cibersegurança.

O que é STIX?

STIX, de acordo com o guia do oásis, é “Structured Threat Information Expression (STIX™) é um formato de linguagem e serialização usado para trocar inteligência de ameaças cibernéticas (CTI)”.

Não passa de um padrão definido pela comunidade para compartilhar informações sobre ameaças entre várias organizações. Usando o STIX, todos os aspectos de uma ameaça potencial, como suspeita, comprometimento e atribuição de ataque, podem ser representados claramente com objetos e relacionamentos descritivos. O STIX é fácil de ler e consumir porque está no formato JSON e também pode ser integrado a outras plataformas populares de inteligência contra ameaças, como QRADAR, ThreatConnect etc.

Aplicações do STIX

(UC1) Analisando ameaças cibernéticas

Um analista de segurança analisa uma variedade de ameaças cibernéticas de diferentes fontes todos os dias. Durante o qual é importante analisar vários fatores de uma ameaça, como seu comportamento, modos de operação, capacidades, agentes de ameaças, etc. Os objetos STIX facilitam a representação fácil de todos os dados necessários para análise.

(UC2) Especificando padrões de indicadores para ameaças cibernéticas

Um analista geralmente procura padrões em um ataque cibernético ou em um feed de ameaças. Isso inclui avaliar as características da ameaça, o conjunto relevante de observáveis (indicadores de comprometimento (IOCs), anexos, arquivos, endereços IP etc.) e o curso de ação sugerido. Esses dados também podem ser bem representados atribuindo os objetos STIX necessários a uma ameaça.

(UC3) Gerenciando atividades de resposta a ameaças cibernéticas

Remediar ou prevenir um ataque cibernético é a função mais importante de um profissional de segurança. Depois de analisar os dados da ameaça, espera-se planejar um plano de ação corretiva adequado para protegê-lo de ataques futuros. O STIX permite que os analistas planejem ações corretivas.

O que é TAXII?

O TAXII, de acordo com o guia do oásis, é “Trusted Automated Exchange of Intelligence Information (TAXII™) e é um protocolo de aplicativo para troca de CTI por HTTPS”.

TAXII é um padrão que define um conjunto de protocolos para clientes e servidores trocarem CTI junto com uma API RESTful (um conjunto de serviços e trocas de mensagens).

O TAXII define dois serviços principais para oferecer suporte a uma variedade de modelos de compartilhamento comuns.

Coleção: um repositório de objetos fornecido pelo servidor em que clientes e servidores TAXII trocam informações em um modelo de solicitação-resposta.

Canal: Quando há mais de um produtor e todos os produtores alimentam os objetos nos canais que são então consumidos pelos clientes da TAXII, os clientes da TAXII trocam informações dentro de um modelo de publicação e assinatura.

Nota: A especificação TAXII 2.1 reserva as palavras-chave necessárias para os canais, mas não especifica os serviços do canal. Os canais e seus serviços serão definidos em uma versão posterior do TAXII.

O TAXII foi projetado especificamente para suportar a troca de CTI representada no STIX e o suporte para a troca de conteúdo do STIX 2.1. É importante observar que o STIX e o TAXII são padrões independentes e o TAXII pode ser usado para transportar dados não STIX.

Os três principais modelos do TAXII

1. Hub and spoke — um repositório de informações

2. Fonte/assinante — uma única fonte de informações

3.Peer-to-peer — vários grupos compartilham informações

Próximos...

Na Parte 2, nos aprofundaremos na arquitetura, implementação e uso do STIX e analisaremos para obter uma compreensão mais profunda das diferentes versões do TAXII e de suas implementações de cliente e servidor.

Referências:

1. https://oasis-open.github.io/cti-documentation/taxii/intro.html
2. https://oasis-open.github.io/cti-documentation/stix/intro 
3. https://www.first.org/resources/papers/munich2016/wunder-stix-taxii-Overview.pdf
4. https://stixproject.github.io