Что такое структурированное выражение информации об угрозах (STIX)?
Структурированное выражение информации об угрозах (STIX) — это стандартизированный расширяемый язык разметки (XML) язык программирования для передачи данных о информационной безопасности угрозы таким образом, чтобы их могли легко понять как люди, так и технологии безопасности.
STIX представляет собой структурированный, с открытым исходным кодом и свободный язык для обмена информацией о киберугрозах (CTI). Язык призван представлять CTI в структурированной форме, чтобы гарантировать, что он удобен для чтения человеком и машиной, а также является выразительным, гибким и растяжимый. Представление CTI в STIX гарантирует, что его можно будет легко и последовательно передавать и анализировать, чтобы понимать угрозы и действовать упреждающе или оборонительно.
Разработка и обслуживание STIX — это, прежде всего, усилия сообщества, а это означает, что любой, кто интересуется или работает в области кибербезопасности, может помочь в разработке языка через сайт СТИКС, онлайн-форумы и другие средства массовой информации для совместной работы. Сообщество STIX также приветствует вклад представителей промышленности и научных кругов в дальнейшее совершенствование языка и его возможностей.
[Встраиваемое содержимое]
Цель структурированного выражения информации об угрозах
Комплексная и актуальная CTI необходима организациям для понимания угроз, создаваемых различными киберпротивники и принять соответствующие меры, чтобы минимизировать негативное воздействие этих противников. Однако уловить CTI непросто, поскольку большинство организаций не имеют доступа к адекватной и актуальной информации. Недостаток информации влияет на их способность формировать точную ситуационную осведомленность о своих действиях. ландшафт угроз. STIX был разработан для решения этой проблемы.
STIX позволяет специалистам по безопасности и сообществам собирать и обмениваться CTI стандартизированным и понятным способом. Следовательно, все они могут получить лучшее представление о ландшафте киберугроз и реализовать стратегии для эффективного прогнозирования и реагирования на них. кибератаки. С помощью STIX они могут улучшить свои возможности, связанные с кибербезопасностью, особенно вокруг следующего:
- Анализ угроз.
- Обмен информацией об угрозах.
- Автоматизированное обнаружение угроз и реагирование на них.
- Анализ шаблоны индикаторов угроз.
- Предотвращение угроз.
Открытый и совместный характер STIX позволяет обмениваться высокоточными CTI за пределами организации. Кроме того, этот CTI не привязан к конкретным продуктам, услугам или решениям безопасности, что обеспечивает более полный набор CTI для анализа и улучшает безопасность. принятие решения.
Кроме того, поскольку STIX представляет CTI в структурированной и стандартизированной форме, он поддерживает применение автоматизация инструменты и технологии для процессов кибербезопасности и Рабочие процессы. Автоматизация может помочь человеческому анализу киберугроз и помочь командам безопасности выполнять защитные или наступательные действия в ответ на эти угрозы.
Варианты использования выражения структурированной информации об угрозах
STIX, предназначенный для широкого использования в сфере кибербезопасности, имеет несколько основных вариантов использования. Во-первых, он используется аналитики угроз для анализа киберугроз и деятельности, связанной с угрозами. Они также могут использовать STIX для выявления закономерностей, которые могут указывать на киберугрозы, и для понимания тактика, приемы и процедуры (TTP), используемые злоумышленниками для инициирования кибератак.
Любое лицо, принимающее решения в области кибербезопасности, или оперативный персонал может также использовать данные STIX для облегчения и управления действиями по борьбе с киберугрозами, включая предотвращение, обнаружение и ответ. Еще одним основным применением STIX является обмен CTI внутри организации, а также с внешними партнерами или сообществами, которые могут извлечь выгоду из этой информации. Обмен и сотрудничество позволяют группам безопасности сотрудничать с другими внутренними и внешними сторонами, чтобы учиться друг у друга и улучшать свою собственную и чужую ситуационную осведомленность о ландшафте угроз.
Архитектура STIX и основные конструкции
Язык STIX предоставляет объединяющую архитектуру, сочетающую в себе множество типов CTI. Всего существует восемь основных концепций, каждая из которых является независимой, многократно используемой и взаимосвязанной:
- Наблюдаемые описать то, что наблюдалось или могло наблюдаться с точки зрения кибербезопасности, например, создание нового ключа реестра, трафик, идущий к определенному IP-адрес, электронные письма, поступающие с определенного адреса электронной почты и т. д.
- индикаторы описывать потенциальные наблюдаемые значения и контекст.
- Происшествия опишите события, в которых противники предприняли определенные действия.
- ТТП противника описать шаблоны атак, использует, цепи убийств, используемые инструменты, целевые жертвы и т. д., используемые противником.
- Цели эксплойта описывать уязвимости, слабости или конфигурации, которыми может воспользоваться злоумышленник.
- Курсы действий описать рекомендуемые реакция на инцидент действия или средства устранения выявленной уязвимости, которые могут быть использованы злоумышленником.
- Кампании описывать наборы инцидентов и/или ДТС — все с общим намерением.
- Злоумышленники опишите противников и их характеристики.
Взаимосвязь между различными конструкциями обозначена на схеме архитектуры стрелками. Каждая стрелка содержит звездочку в квадратных скобках ([*]), что означает, что каждая связь может существовать от нуля до множества раз. Язык реализован в виде XML-файла. схема, который конкретизирует структурированное содержимое каждой конструкции.
[Встраиваемое содержимое]
Эволюция и будущее направление STIX
В 2010 году члены США Команда компьютерной готовности к чрезвычайным ситуациям и CERT.org — все эксперты в области безопасности и CTI — создали список адресов электронной почты, чтобы обсудить необходимость стандартизированного представления показателей CTI. В результате этих дискуссий появился STIX, и в 2012 году он был публично определен в версии 0.3.
Когда язык был впервые разработан, была создана приблизительная архитектурная схема для определения информации, которая должна быть включена в структурированный индикатор киберугроз. Со временем структурированная архитектура CTI была усовершенствована, что привело к реализации ее схемы XML. Схема до сих пор используется сообществом для разработки и усовершенствования STIX.
STIX спонсируется Управлением кибербезопасности и коммуникаций США. Департамент внутренней безопасности (ДХС). Авторские права на него также принадлежат Mitre Corp., что гарантирует, что он остается открытым, бесплатным и расширяемым стандартом. Этот стандарт может использоваться всеми, кто занимается или интересуется кибербезопасностью, включая организации, ученых, правительственные учреждения и поставщиков продуктов/услуг безопасности.
STIX можно использовать вручную или программно. Для ручного использования требуется редактор XML, но не требуются дополнительные инструменты. Программное использование требует Питон и Java привязки, Питон интерфейсы прикладного программирования и коммунальные услуги. Привязки и соответствующие инструменты, помогающие аналитикам безопасности обрабатывать и работать с STIX, имеют открытый исходный код на GitHub.
По состоянию на 2023 год STIX находится в версии 2.1. По сравнению с версией 2.0, версия 2.1 включает несколько новых объектов и концепций. Некоторые объекты, в том числе вредоносных программ, претерпели существенные изменения. Кроме того, некоторые конфликтующие свойства были переименованы, к некоторым объектам добавлены описания и имена, а некоторые связи между объектами STIX Cyber-observable были сделаны внешними.
СТИКС и ТАКСИ
Доверенный автоматизированный обмен индикаторной информацией (TAXII) – это метод для обмена CTI, представленного в STIX. Другими словами, TAXII — это транспортный механизм STIX. Это позволяет организациям и специалистам по безопасности обмениваться структурированными CTI открытым, стандартизированным, безопасным и автоматизированным способом.
Как и STIX, TAXII — это общественный проект, спонсируемый Министерством внутренней безопасности США. DHS использует STIX и TAXII, чтобы его партнеры — частные и государственные — могли обмениваться CTI, используя безопасные автоматизированные механизмы для обнаружения, предотвращения и смягчения киберугроз. Многие организации частного сектора также используют STIX и TAXII для обмена информацией об угрозах с другими. Примеры включают Microsoft, Hewlett Packard Enterprise и многочисленные поставщики кибербезопасности.
Узнайте все о будущее кибербезопасностии исследовать 10 лучших практик и советов по кибербезопасности для бизнеса. Посмотреть, как исправить пять основных уязвимостей кибербезопасности, и читайте о Кибергигиена и почему это важно.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.techtarget.com/searchsecurity/definition/STIX-Structured-Threat-Information-eXpression