Was ist Structured Threat Information eXpression (STIX)?

Structured Threat Information eXpression (STIX) ist eine standardisierte Extensible Markup Language (XML) Programmiersprache zur Übermittlung von Daten über Internet-Sicherheit Bedrohungen auf eine Weise, die sowohl für Menschen als auch für Sicherheitstechnologien leicht verständlich ist.

STIX ist ein strukturiertes, Open-Source- und freie Sprache zum Austausch von Cyberbedrohungsinformationen (CTI). Die Sprache zielt darauf ab, CTI in einer strukturierten Form darzustellen, um sicherzustellen, dass sie für Menschen und Maschinen lesbar sowie ausdrucksstark, flexibel und lesbar ist erweiterbar. Durch die Darstellung von CTI in STIX wird sichergestellt, dass diese einfach und konsistent geteilt und analysiert werden können, um Bedrohungen zu verstehen und proaktiv oder defensiv zu handeln.

Die Entwicklung und Wartung von STIX erfolgt in erster Linie durch die Community. Das bedeutet, dass jeder, der sich für Cybersicherheit interessiert oder in diesem Bereich arbeitet, bei der Entwicklung der Sprache mithelfen kann STIX-Website, Online-Foren und andere kollaborative Medien. Die STIX-Community begrüßt auch Beiträge aus Industrie und Wissenschaft, um die Sprache und ihre Fähigkeiten weiter zu verfeinern.

[Eingebetteten Inhalt]

Zweck der strukturierten Bedrohungsinformationsdarstellung

Eine umfassende und aktuelle CTI ist für Unternehmen unerlässlich, um die von verschiedenen Bedrohungen ausgehenden Bedrohungen zu verstehen Cyber-Gegner und entsprechende Maßnahmen ergreifen die negativen Auswirkungen minimieren dieser Gegner. Allerdings ist es nicht einfach, CTI zu erfassen, da die meisten Organisationen keinen Zugriff auf angemessene oder relevante Informationen haben. Ein Mangel an Informationen beeinträchtigt ihre Fähigkeit, ein genaues Situationsbewusstsein für sie aufzubauen Bedrohungslandschaft. STIX wurde entwickelt, um dieser Herausforderung zu begegnen.

Mit STIX können Sicherheitsexperten und Communities CTI auf standardisierte und verständliche Weise erfassen und weitergeben. Dadurch können sie alle bessere Einblicke in die Cyber-Bedrohungslandschaft gewinnen und Strategien zur effektiven Antizipation und Reaktion umsetzen Cyber-Angriffe. Mit STIX ist das möglich ihre Fähigkeiten im Bereich Cybersicherheit verbessern, insbesondere rund um Folgendes:

• Bedrohungsanalyse.
• Informationsaustausch über Bedrohungen.
• Automatisierte Erkennung und Reaktion auf Bedrohungen.
• Analyse von Bedrohungsindikatormuster.
• Bedrohungsprävention.

Der offene und kollaborative Charakter von STIX ermöglicht den Austausch von High-Fidelity-CTI über Organisationsgrenzen hinweg. Außerdem ist dieser CTI nicht an bestimmte Sicherheitsprodukte, -dienste oder -lösungen gebunden, wodurch ein umfassenderer CTI-Satz für die Analyse bereitgestellt und die Sicherheit verbessert wird Entscheidungsfindung.

Da STIX CTI außerdem in einer strukturierten und standardisierten Form darstellt, unterstützt es die Anwendung von Automatisierung Tools und Technologien für Cybersicherheitsprozesse und Workflows. Automatisierung kann die menschliche Analyse von Cyberbedrohungen unterstützen und Sicherheitsteams bei der Durchführung defensiver oder offensiver Maßnahmen als Reaktion auf diese Bedrohungen unterstützen.

Anwendungsfälle für strukturierte Bedrohungsinformationen eXpression

STIX ist für den breiten Einsatz in der Cybersicherheit konzipiert und bietet mehrere Kernanwendungsfälle. Erstens wird es von verwendet Bedrohungsanalysten um Cyberbedrohungen und bedrohungsbezogene Aktivitäten zu überprüfen. Sie können STIX auch verwenden, um Muster zu identifizieren, die auf Cyberbedrohungen hinweisen könnten, und um diese zu verstehen Taktiken, Techniken und Verfahren (TTPs), die von Angreifern zur Initiierung von Cyberangriffen verwendet werden.

Jeder Entscheidungsträger im Bereich Cybersicherheit oder Betriebspersonal kann STIX-Daten auch zur Erleichterung und Verwaltung von Cyberbedrohungsaktivitäten, einschließlich Prävention, nutzen. Erkennung und Reaktion. Eine weitere Hauptanwendung von STIX ist die Weitergabe von CTI innerhalb einer Organisation und mit externen Partnern oder Communities, die von den Informationen profitieren können. Teilen und Zusammenarbeit Ermöglichen Sie Sicherheitsteams die Zusammenarbeit mit anderen internen und externen Parteien, um voneinander zu lernen und ihr eigenes und das Situationsbewusstsein anderer für die Bedrohungslandschaft zu verbessern.

STIX-Architektur und Kernkonstrukte

Die STIX-Sprache bietet eine vereinheitlichende Architektur, die viele Arten von CTI kombiniert. Insgesamt gibt es acht Kernkonzepte, die alle unabhängig, wiederverwendbar und miteinander verknüpft sind:

1. Beobachtbare Beschreiben Sie, was aus Sicht der Cybersicherheit beobachtet wurde oder beobachtet werden könnte, z. B. die Erstellung eines neuen Registrierungsschlüssels oder den Datenverkehr, der zu einem bestimmten Ziel geht IP-Adresse, E-Mails, die von einer bestimmten E-Mail-Adresse stammen usw.
2. Anzeigen Beschreiben Sie potenzielle Observablen mit Bedeutung und Kontext.
3. Vorfälle Beschreiben Sie Ereignisse, bei denen Gegner bestimmte Maßnahmen ergriffen haben.
4. Gegnerische TTPs Angriffsmuster beschreiben, Abenteuer, Tötungsketten, verwendete Werkzeuge, Zielopfer usw., die vom Gegner verwendet werden.
5. Exploit-Ziele Beschreiben Sie Schwachstellen, Schwächen oder Konfigurationen, die ein Angreifer ausnutzen könnte.
6. Vorgehensweise beschreiben empfohlen Vorfallreaktion Maßnahmen oder Abhilfemaßnahmen für eine identifizierte Schwachstelle, die von einem Gegner ausgenutzt werden können.
7. Kampagnen Beschreiben Sie eine Reihe von Vorfällen und/oder TTPs – alle mit einer gemeinsamen Absicht.
8. Bedrohungsakteure Beschreiben Sie Gegner und ihre Eigenschaften.

Die Beziehungen zwischen den verschiedenen Konstrukten sind im Architekturdiagramm durch Pfeile gekennzeichnet. Jede Pfeilbeschriftung enthält ein in Klammern gesetztes Sternchen ([*]), um anzudeuten, dass jede Beziehung von Null bis zu vielen Malen existieren kann. Die Sprache wird im Formular oder XML implementiert Schema, das den strukturierten Inhalt jedes Konstrukts konkretisiert.

[Eingebetteten Inhalt]

Entwicklung und zukünftige Ausrichtung von STIX

Im Jahr 2010 Mitglieder der USA Team für Computer-Notfallbereitschaft und CERT.org – alles Experten für Sicherheitsabläufe und CTI – haben eine E-Mail-Liste eingerichtet, um die Notwendigkeit einer standardisierten Darstellung von CTI-Indikatoren zu diskutieren. STIX entstand aus diesen Diskussionen und wurde 2012 mit Version 0.3 öffentlich definiert.

Als die Sprache erstmals entwickelt wurde, wurde ein grobes Architekturdiagramm erstellt, um die Informationen zu definieren, die in einem strukturierten Cyberbedrohungsindikator enthalten sein sollten. Im Laufe der Zeit wurde die strukturierte CTI-Architektur verfeinert, was zu einer XML-Schema-Implementierung führte. Das Schema wird weiterhin von der Community zur Entwicklung und Verfeinerung von STIX verwendet.

STIX wird vom Office of Cybersecurity and Communications in den Vereinigten Staaten gesponsert Department of Homeland Security (DHS). Es unterliegt außerdem dem Urheberrecht der Mitre Corp., was sicherstellt, dass es ein Open-Source-, kostenloser und erweiterbarer Standard bleibt. Dieser Standard kann von jedem verwendet werden, der sich mit Cybersicherheit befasst oder daran interessiert ist, einschließlich Organisationen, Akademikern, Regierungsbehörden und Anbietern von Sicherheitsprodukten/-dienstleistungen.

STIX kann manuell oder programmgesteuert verwendet werden. Für die manuelle Nutzung ist ein XML-Editor, aber keine zusätzlichen Tools erforderlich. Programmatische Nutzung erfordert Python und Javac Bindungen, Python Anwendungsprogrammierschnittstellen und Versorgungsunternehmen. Bindungen und zugehörige Tools, die Sicherheitsanalysten bei der Verarbeitung und Arbeit mit STIX unterstützen, sind Open Source GitHub.

Ab 2023 liegt STIX in der Version 2.1 vor. Im Vergleich zu Version 2.0 enthält Version 2.1 mehrere neue Objekte und Konzepte. Einige Objekte, darunter Malware, haben erhebliche Veränderungen erfahren. Außerdem wurden einige widersprüchliche Eigenschaften umbenannt, Beschreibungen und Namen zu einigen Objekten hinzugefügt und einige STIX Cyber-observable Object-Beziehungen wurden extern gemacht.

STIX und TAXII

Trusted Automated eXchange of Indicator Information (TAXII) ist ein Methode zum Austausch von CTI, das in STIX dargestellt wird. Mit anderen Worten: TAXII ist der Transportmechanismus für STIX. Es ermöglicht Organisationen und Sicherheitsexperten, strukturierte CTI auf offene, standardisierte, sichere und automatisierte Weise auszutauschen.

TAXII ist wie STIX ein gemeinschaftsorientiertes Projekt, das vom US-amerikanischen DHS gesponsert wird. Das DHS nutzt STIX und TAXII, damit seine Partner – private und öffentliche – CTI mithilfe sicherer automatisierter Mechanismen austauschen können, um Cyberbedrohungen zu erkennen, zu verhindern und abzuschwächen. Viele Organisationen im privaten Sektor nutzen STIX und TAXII auch, um Bedrohungsinformationen mit anderen zu teilen. Beispiele hierfür sind Microsoft, Hewlett Packard Enterprise und viele mehr Anbieter von Cybersicherheit.

Erfahren Sie alles über die Zukunft der Cybersicherheitund erkunden 10 Best Practices und Tipps für Cybersicherheit für Unternehmen. Sehen Sie, wie es geht Beheben Sie die fünf größten Cybersicherheitslücken, und lies darüber Cyberhygiene und warum ist sie wichtig?.