Mikä on Structured Threat Information eXpression (STIX)?
Structured Threat Information eXpression (STIX) on standardoitu Extensible Markup Language (XML) ohjelmointikieli tietojen välittämiseen tietoverkkojen uhkia tavalla, jonka sekä ihmiset että turvallisuusteknologiat voivat helposti ymmärtää.
STIX on strukturoitu, avoimen lähdekoodin ja ilmainen kieli kyberuhkien tiedustelutietojen jakamiseen (CTI). Kielen tavoitteena on esittää CTI:tä jäsennellyssä muodossa varmistaakseen, että se on ihmisen ja koneen luettavissa sekä ilmaisuvoimainen, joustava ja laajennettavissa. CTI:n edustaminen STIXissä varmistaa, että se voidaan jakaa ja analysoida helposti ja johdonmukaisesti uhkien ymmärtämiseksi ja ennakoimiseksi tai puolustamiseksi.
STIX-kehitys ja ylläpito ovat ensisijaisesti yhteisövetoisia ponnisteluja, mikä tarkoittaa, että kuka tahansa kyberturvallisuudesta kiinnostunut tai sen parissa työskentelevä voi auttaa kehittämään kieltä STIX-verkkosivusto, online-foorumit ja muut yhteistyömediat. STIX-yhteisö toivottaa myös tervetulleeksi teollisuuden ja tiedemaailman panoksen kielen ja sen ominaisuuksien parantamiseksi.
[Upotetun sisällön]
Strukturoidun uhkainformaation ilmaisun tarkoitus
Kattava ja ajantasainen CTI on välttämätöntä, jotta organisaatiot ymmärtävät erilaisten uhkien kybervastustajia ja ryhtyä tarvittaviin toimiin minimoi negatiivinen vaikutus näistä vastustajista. CTI-tietojen kerääminen ei kuitenkaan ole helppoa, koska useimmilla organisaatioilla ei ole pääsyä riittäviin tai olennaisiin tietoihin. Tiedon puute vaikuttaa heidän kykyynsä rakentaa tarkka tilannetietoisuus itsestään uhkamaisema. STIX kehitettiin vastaamaan tähän haasteeseen.
STIXin avulla tietoturva-ammattilaiset ja yhteisöt voivat siepata ja jakaa CTI-tietoja standardoidulla ja ymmärrettävällä tavalla. Näin ollen he kaikki voivat saada paremman käsityksen kyberuhkien maisemasta ja toteuttaa strategioita ennakoidakseen ja vastatakseen niihin tehokkaasti. verkkohyökkäykset. STIXin avulla he voivat parantaa kyberturvallisuuteen liittyviä valmiuksiaan, erityisesti seuraavissa asioissa:
- Uhka-analyysi.
- Uhkatietojen vaihto.
- Automaattinen uhkien havaitseminen ja reagointi.
- Analyysi uhkaindikaattorimallit.
- Uhkien ehkäisy.
STIXin avoin ja yhteistyökykyinen luonne mahdollistaa korkean tarkkuuden CTI:n jakamisen yli organisaatiorajojen. Tämä CTI ei myöskään ole sidottu tiettyihin tietoturvatuotteisiin, -palveluihin tai -ratkaisuihin, mikä tarjoaa kattavamman CTI-joukon analysointia varten ja parantaa turvallisuuteen liittyviä päätöksenteko.
Lisäksi, koska STIX edustaa CTI:tä jäsennellyssä ja standardoidussa muodossa, se tukee sovellusta automaatio työkaluja ja teknologioita kyberturvallisuusprosesseihin ja työnkulkuja. Automatisointi voi auttaa ihmisten analysoinnissa kyberuhkista ja auttaa turvallisuusryhmiä suorittamaan puolustavia tai hyökkääviä toimia vastauksena näihin uhkiin.
Structured Threat Information expression käyttötapaukset
Suunniteltu laajaan kyberturvallisuuskäyttöön, STIXille on useita ydinkäyttötapauksia. Yksi, sitä käyttää uhka-analyytikot tarkastella kyberuhkia ja uhkiin liittyvää toimintaa. He voivat myös käyttää STIX:iä tunnistamaan kuvioita, jotka voivat viitata kyberuhkiin, ja ymmärtääkseen niitä taktiikat, tekniikat ja menettelyt (TTP), joita vastustajat käyttävät kyberhyökkäysten aloittamiseen.
Kuka tahansa kyberturvallisuuden päätöksentekijä tai operatiivista henkilöstöä voi myös käyttää STIX-tietoja helpottaakseen ja hallitakseen kyberuhkien toimintaa, mukaan lukien ennaltaehkäisy, havaitseminen ja vastaus. Toinen STIXin ydinkäyttö on CTI:n jakaminen organisaation sisällä ja ulkopuolisten kumppaneiden tai yhteisöjen kanssa, jotka voivat hyötyä tiedosta. Jakaminen ja yhteistyö mahdollistaa turvallisuustiimien yhteistyön muiden sisäisten ja ulkoisten osapuolten kanssa oppiakseen toisiltaan ja parantaakseen omaa ja muiden tilannetietoisuutta uhkakuvasta.
STIX-arkkitehtuuri ja ydinrakenteet
STIX-kieli tarjoaa yhdistävän arkkitehtuurin, joka yhdistää monenlaisia CTI:itä. Ydinkonsepteja on yhteensä kahdeksan, jotka kaikki ovat itsenäisiä, uudelleenkäytettäviä ja toisiinsa liittyviä:
- havaittavuutta kuvaile mitä on havaittu tai voidaan havaita kyberturvallisuuden näkökulmasta, kuten uuden rekisteriavaimen luominen, liikenne, joka menee tiettyyn IP-osoite, tietystä sähköpostiosoitteesta tulevat sähköpostit jne.
- indikaattorit kuvaile mahdollisia havaintoja merkityksen ja kontekstin avulla.
- Vaaratilanteet kuvaile tapahtumia, joissa vastustajat tekivät tiettyjä toimia.
- Vastustajat TTP:t kuvaile hyökkäysmalleja, hyödyntää, tappaa ketjut, käytetyt työkalut, kohteen uhrit jne. vastustajan käyttämät.
- Hyödynnä kohteita kuvaavat haavoittuvuuksia, heikkouksia tai kokoonpanoja, joita vastustaja voi hyödyntää.
- Toimintatavat kuvaile suositeltua tapahtuman vastaus toimia tai korjauskeinoja havaitun haavoittuvuuden korjaamiseksi, jota vastustaja voi käyttää hyväkseen.
- Kampanjat kuvaile joukko tapauksia ja/tai TTP:itä – kaikilla yhteisellä tarkoituksella.
- Uhkanäyttelijät kuvaile vastustajia ja heidän ominaisuuksiaan.
Eri rakenteiden väliset suhteet on osoitettu arkkitehtuurikaaviossa nuolilla. Jokaisessa nuolitunnisteessa on hakasulkeinen tähti ([*]), mikä tarkoittaa, että kukin suhde voi esiintyä nollasta useaan kertaan. Kieli on toteutettu muodossa tai XML-muodossa malli, joka konkretisoi kunkin rakenteen jäsenneltyä sisältöä.
[Upotetun sisällön]
STIXin evoluutio ja tulevaisuuden suunta
Vuonna 2010 Yhdysvaltain jäsenet Tietokoneen hätätilanteisiin valmistautuminen ja CERT.org – kaikki turvallisuustoimintojen ja CTI:n asiantuntijat – perustivat sähköpostilistan keskustellakseen CTI-indikaattoreiden standardoidun esityksen tarpeesta. STIX syntyi näistä keskusteluista, ja vuonna 2012 se määriteltiin julkisesti versiolla 0.3.
Kun kieli kehitettiin ensimmäisen kerran, luotiin karkea arkkitehtuurikaavio määrittelemään tiedot, jotka tulisi sisällyttää strukturoituun kyberuhkien indikaattoriin. Ajan myötä strukturoitua CTI-arkkitehtuuria jalostettiin, mikä johti sen XML-skeeman toteutukseen. Yhteisö käyttää edelleen skeemaa STIXin kehittämiseen ja jalostukseen.
STIXiä sponsoroi Yhdysvaltain kyberturvallisuus- ja viestintätoimisto Department of Homeland Security (DHS). Sen tekijänoikeudet suojaa myös Mitre Corp., mikä varmistaa, että se pysyy avoimen lähdekoodin, ilmaisena ja laajennettavana standardina. Tätä standardia voivat käyttää kaikki kyberturvallisuudesta kiinnostuneet tai siitä kiinnostuneet, mukaan lukien organisaatiot, tutkijat, valtion virastot ja tietoturvatuotteiden/palveluiden toimittajat.
STIXiä voidaan käyttää manuaalisesti tai ohjelmallisesti. Manuaalinen käyttö vaatii XML-editorin, mutta ei lisätyökaluja. Ohjelmallinen käyttö edellyttää Python ja Jaava siteet, Python sovellusohjelmointirajapinnat ja apuohjelmia. Sidokset ja niihin liittyvät työkalut, jotka auttavat tietoturva-analyytikoita käsittelemään ja työskentelemään STIXin kanssa, ovat avoimen lähdekoodin päällä GitHub.
Vuodesta 2023 lähtien STIX on versiossa 2.1. Verrattuna v2.0:aan, v2.1 sisältää useita uusia objekteja ja käsitteitä. Jotkut esineet, mukaan lukien haittaohjelmat, ovat kokeneet merkittävän muutoksen. Lisäksi joitain ristiriitaisia ominaisuuksia on nimetty uudelleen, kuvauksia ja nimiä on lisätty joihinkin objekteihin ja joistakin STIX Cyber-observable Object -suhteista on tehty ulkoisia.
STIX ja TAXII
Trusted Automated Exchange of Indicator Information (TAXII) on a menetelmä STIX:ssä edustettuna olevan CTI:n vaihtamiseen. Toisin sanoen TAXII on STIXin kuljetusmekanismi. Sen avulla organisaatiot ja tietoturva-ammattilaiset voivat jakaa jäsenneltyä CTI:tä avoimella, standardoidulla, turvallisella ja automatisoidulla tavalla.
STIXin tapaan TAXII on yhteisölähtöinen projekti, jota sponsoroi Yhdysvaltain DHS. DHS käyttää STIX:ää ja TAXII:ta, jotta sen kumppanit – yksityiset ja julkiset – voivat vaihtaa CTI:tä käyttämällä turvallisia automatisoituja mekanismeja kyberuhkien havaitsemiseksi, ehkäisemiseksi ja lieventämiseksi. Monet yksityisen sektorin organisaatiot käyttävät myös STIX- ja TAXII-koodeja uhkatietojen jakamiseen muiden kanssa. Esimerkkejä ovat Microsoft, Hewlett Packard Enterprise ja monet kyberturvallisuuden toimittajat.
Opi kaikki kyberturvallisuuden tulevaisuus, ja tutkia 10 kyberturvallisuuden parasta käytäntöä ja vinkkiä yrityksille. Katso miten Korjaa viisi suurinta kyberturvallisuuden haavoittuvuutta, ja lue siitä kyberhygienia ja miksi se on tärkeää.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.techtarget.com/searchsecurity/definition/STIX-Structured-Threat-Information-eXpression
