Wat is Structured Threat Information eXpression (STIX)?
Structured Threat Information eXpression (STIX) is een gestandaardiseerde Extensible Markup Language (XML) programmeertaal voor het overbrengen van gegevens over internetveiligheid bedreigingen op een manier die gemakkelijk kan worden begrepen door zowel mensen als beveiligingstechnologieën.
STIX is een gestructureerde, open source en vrije taal om informatie over cyberdreigingen te delen (CTI). De taal is bedoeld om CTI in een gestructureerde vorm weer te geven om ervoor te zorgen dat het leesbaar is voor mensen en machines, maar ook expressief, flexibel en uitrekbaar. Het vertegenwoordigen van CTI in STIX zorgt ervoor dat het eenvoudig en consistent kan worden gedeeld en geanalyseerd om bedreigingen te begrijpen en proactief of defensief te handelen.
De ontwikkeling en het onderhoud van STIX zijn in de eerste plaats gemeenschapsgedreven inspanningen, wat betekent dat iedereen die geïnteresseerd is in of werkt in cybersecurity, kan helpen de taal te ontwikkelen via de STIX-website, online forums en andere samenwerkingsmedia. De STIX-gemeenschap verwelkomt ook input van de industrie en de academische wereld om de taal en zijn mogelijkheden verder te verfijnen.
[Ingesloten inhoud]
Doel van de expressie van gestructureerde dreigingsinformatie
Uitgebreide en up-to-date CTI is essentieel voor organisaties om inzicht te krijgen in de bedreigingen die verschillende bedreigingen met zich meebrengen cyber-tegenstanders en passende actie ondernemen minimaliseer de negatieve impact van deze tegenstanders. Het is echter niet eenvoudig om CTI vast te leggen, aangezien de meeste organisaties geen toegang hebben tot adequate of relevante informatie. Een gebrek aan informatie beïnvloedt hun vermogen om een accuraat situationeel bewustzijn van hun situatie op te bouwen bedreigingslandschap. STIX is ontwikkeld om deze uitdaging aan te pakken.
STIX stelt beveiligingsprofessionals en gemeenschappen in staat CTI op een gestandaardiseerde, begrijpelijke manier vast te leggen en te delen. Bijgevolg kunnen ze allemaal betere inzichten krijgen in het cyberdreigingslandschap en strategieën implementeren om effectief te anticiperen en erop te reageren cyberaanvallen. Met STIX kan dat hun cyberbeveiligingscapaciteiten te verbeteren, met name rond het volgende:
- Bedreigingsanalyse.
- Uitwisseling van informatie over dreigingen.
- Geautomatiseerde detectie en reactie op bedreigingen.
- Analyse van patronen van dreigingsindicatoren.
- Bedreigingspreventie.
Het open en collaboratieve karakter van STIX maakt het delen van high-fidelity CTI over de grenzen van de organisatie heen mogelijk. Bovendien is deze CTI niet gebonden aan specifieke beveiligingsproducten, -diensten of -oplossingen, waardoor een uitgebreidere set CTI's voor analyse wordt geboden en de beveiligingsgerelateerde prestaties worden verbeterd. besluitvorming.
Omdat STIX CTI in een gestructureerde en gestandaardiseerde vorm vertegenwoordigt, ondersteunt het bovendien de toepassing van automatisering tools en technologieën voor cyberbeveiligingsprocessen en workflows. Automatisering kan de menselijke analyse van cyberdreigingen ondersteunen en beveiligingsteams helpen defensieve of offensieve acties uit te voeren als reactie op deze bedreigingen.
Gestructureerde gebruiksscenario's voor eXpressie van bedreigingsinformatie
Ontworpen voor breed gebruik in cyberbeveiliging, zijn er verschillende kerngebruiksscenario's voor STIX. Ten eerste wordt het gebruikt door dreigingsanalisten om cyberdreigingen en daarmee verband houdende activiteiten te beoordelen. Ze kunnen STIX ook gebruiken om patronen te identificeren die op cyberdreigingen kunnen duiden en om de dreigingen ervan te begrijpen tactieken, technieken en procedures (TTP's) die door tegenstanders worden gebruikt om cyberaanvallen te initiëren.
Elke besluitvormer of operationeel personeel op het gebied van cyberbeveiliging kan STIX-gegevens ook gebruiken om cyberdreigingsactiviteiten te vergemakkelijken en te beheren, inclusief preventie, opsporing en reactie. Een ander belangrijk gebruik van STIX is het delen van CTI binnen een organisatie en met externe partners of gemeenschappen die van de informatie kunnen profiteren. Delen en samenwerking stellen beveiligingsteams in staat samen te werken met andere interne en externe partijen om van elkaar te leren en hun eigen situationele bewustzijn en dat van anderen over het dreigingslandschap te verbeteren.
STIX-architectuur en kernconstructies
De STIX-taal biedt een verenigende architectuur die vele soorten CTI combineert. Er zijn in totaal acht kernconcepten, die allemaal onafhankelijk, herbruikbaar en met elkaar verbonden zijn:
- Waarneembare beschrijven wat is waargenomen of zou kunnen worden waargenomen vanuit een cyberbeveiligingsperspectief, zoals het aanmaken van een nieuwe registersleutel, verkeer dat naar een specifieke IP-adres, e-mails afkomstig van een bepaald e-mailadres, enz.
- indicatoren potentiële waarneembare gegevens beschrijven met betekenis en context.
- incidenten gebeurtenissen beschrijven waarbij tegenstanders specifieke acties ondernamen.
- Tegengestelde TTP's aanvalspatronen beschrijven, exploits, kettingen doden, gebruikte hulpmiddelen, beoogde slachtoffers, enz. die door de tegenstander worden gebruikt.
- Doelen uitbuiten beschrijven kwetsbaarheden, zwakke punten of configuraties die een tegenstander zou kunnen misbruiken.
- Acties aanbevolen aanbevelen incident reactie acties of oplossingen voor een geïdentificeerde kwetsbaarheid die door een tegenstander kan worden uitgebuit.
- Campagnes beschrijven reeksen incidenten en/of TTP’s – allemaal met een gedeelde intentie.
- bedreiging acteurs beschrijf tegenstanders en hun kenmerken.
De relaties tussen de verschillende constructies zijn op het architectuurdiagram met pijlen aangegeven. Elk pijllabel bevat een sterretje tussen haakjes ([*]) om aan te geven dat elke relatie van nul tot vele keren kan bestaan. De taal wordt geïmplementeerd in de vorm of een XML schema, waarin de gestructureerde inhoud van elk construct wordt uitgewerkt.
[Ingesloten inhoud]
Evolutie en toekomstige richting van STIX
In 2010 leden van de VS Computer Emergency Readiness Team en CERT.org – allemaal experts op het gebied van beveiligingsoperaties en CTI – hebben een e-maillijst opgesteld om de noodzaak van een gestandaardiseerde weergave van CTI-indicatoren te bespreken. STIX kwam voort uit deze discussies en werd in 2012 publiekelijk gedefinieerd met versie 0.3.
Toen de taal voor het eerst werd ontwikkeld, werd er een ruw architectuurdiagram gemaakt om de informatie te definiëren die moet worden opgenomen in een gestructureerde cyberdreigingsindicator. In de loop van de tijd werd de gestructureerde CTI-architectuur verfijnd, wat resulteerde in de implementatie van het XML-schema. Het schema wordt nog steeds door de gemeenschap gebruikt om STIX te ontwikkelen en te verfijnen.
STIX wordt gesponsord door het Office of Cybersecurity and Communications in de Verenigde Staten Department of Homeland Security (DHS). Het valt ook onder het auteursrecht van Mitre Corp., wat ervoor zorgt dat het een open source, gratis en uitbreidbare standaard blijft. Deze standaard kan worden gebruikt door iedereen die zich bezighoudt met of geïnteresseerd is in cyberbeveiliging, inclusief organisaties, academici, overheidsinstanties en leveranciers van beveiligingsproducten/diensten.
STIX kan handmatig of programmatisch worden gebruikt. Voor handmatig gebruik is een XML-editor vereist, maar geen extra tools. Programmatisch gebruik vereist Python en Java bindingen, Python applicatie-programmeerinterfaces en nutsvoorzieningen. Bindingen en gerelateerde tools om beveiligingsanalisten te helpen bij het verwerken en werken met STIX zijn open source GitHub.
Vanaf 2023 bevindt STIX zich in versie 2.1. Vergeleken met v2.0 bevat v2.1 verschillende nieuwe objecten en concepten. Sommige objecten, waaronder malware, hebben aanzienlijke veranderingen ondergaan. Ook zijn enkele conflicterende eigenschappen hernoemd, zijn beschrijvingen en namen aan sommige objecten toegevoegd en zijn sommige STIX Cyber-observable Object-relaties extern gemaakt.
STIX en TAXII
Vertrouwde geautomatiseerde uitwisseling van indicatorinformatie (TAXII) is een methode voor het uitwisselen van CTI die wordt weergegeven in STIX. Met andere woorden, TAXII is het transportmechanisme voor STIX. Het stelt organisaties en beveiligingsprofessionals in staat om gestructureerde CTI op een open, gestandaardiseerde, veilige en geautomatiseerde manier te delen.
Net als STIX is TAXII een gemeenschapsgestuurd project dat wordt gesponsord door het Amerikaanse DHS. DHS gebruikt STIX en TAXII zodat zijn partners – zowel privé als publiek – CTI kunnen uitwisselen met behulp van veilige geautomatiseerde mechanismen om cyberdreigingen te detecteren, voorkomen en beperken. Veel organisaties in de particuliere sector gebruiken STIX en TAXII ook om dreigingsinformatie met anderen te delen. Voorbeelden hiervan zijn Microsoft, Hewlett Packard Enterprise en talloze leveranciers van cyberbeveiliging.
Leer alles over de toekomst van cyberbeveiliging, en verkennen 10 best practices en tips voor cyberbeveiliging voor bedrijven. Zie hoe de top vijf van cyberbeveiligingskwetsbaarheden oplossen, en lees erover cyberhygiëne en waarom is het belangrijk.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.techtarget.com/searchsecurity/definition/STIX-Structured-Threat-Information-eXpression
