Что такое структурированное выражение информации об угрозах (STIX)?

Структурированное выражение информации об угрозах (STIX) — это стандартизированный расширяемый язык разметки (XML) язык программирования для передачи данных о информационной безопасности угрозы таким образом, чтобы их могли легко понять как люди, так и технологии безопасности.

STIX представляет собой структурированный, с открытым исходным кодом и свободный язык для обмена информацией о киберугрозах (CTI). Язык призван представлять CTI в структурированной форме, чтобы гарантировать, что он удобен для чтения человеком и машиной, а также является выразительным, гибким и растяжимый. Представление CTI в STIX гарантирует, что его можно будет легко и последовательно передавать и анализировать, чтобы понимать угрозы и действовать упреждающе или оборонительно.

Разработка и обслуживание STIX — это, прежде всего, усилия сообщества, а это означает, что любой, кто интересуется или работает в области кибербезопасности, может помочь в разработке языка через сайт СТИКС, онлайн-форумы и другие средства массовой информации для совместной работы. Сообщество STIX также приветствует вклад представителей промышленности и научных кругов в дальнейшее совершенствование языка и его возможностей.

[Встраиваемое содержимое]

Цель структурированного выражения информации об угрозах

Комплексная и актуальная CTI необходима организациям для понимания угроз, создаваемых различными киберпротивники и принять соответствующие меры, чтобы минимизировать негативное воздействие этих противников. Однако уловить CTI непросто, поскольку большинство организаций не имеют доступа к адекватной и актуальной информации. Недостаток информации влияет на их способность формировать точную ситуационную осведомленность о своих действиях. ландшафт угроз. STIX был разработан для решения этой проблемы.

STIX позволяет специалистам по безопасности и сообществам собирать и обмениваться CTI стандартизированным и понятным способом. Следовательно, все они могут получить лучшее представление о ландшафте киберугроз и реализовать стратегии для эффективного прогнозирования и реагирования на них. кибератаки. С помощью STIX они могут улучшить свои возможности, связанные с кибербезопасностью, особенно вокруг следующего:

• Анализ угроз.
• Обмен информацией об угрозах.
• Автоматизированное обнаружение угроз и реагирование на них.
• Анализ шаблоны индикаторов угроз.
• Предотвращение угроз.

Открытый и совместный характер STIX позволяет обмениваться высокоточными CTI за пределами организации. Кроме того, этот CTI не привязан к конкретным продуктам, услугам или решениям безопасности, что обеспечивает более полный набор CTI для анализа и улучшает безопасность. принятие решения.

Кроме того, поскольку STIX представляет CTI в структурированной и стандартизированной форме, он поддерживает применение автоматизация инструменты и технологии для процессов кибербезопасности и Рабочие процессы. Автоматизация может помочь человеческому анализу киберугроз и помочь командам безопасности выполнять защитные или наступательные действия в ответ на эти угрозы.

Варианты использования выражения структурированной информации об угрозах

STIX, предназначенный для широкого использования в сфере кибербезопасности, имеет несколько основных вариантов использования. Во-первых, он используется аналитики угроз для анализа киберугроз и деятельности, связанной с угрозами. Они также могут использовать STIX для выявления закономерностей, которые могут указывать на киберугрозы, и для понимания тактика, приемы и процедуры (TTP), используемые злоумышленниками для инициирования кибератак.

Любое лицо, принимающее решения в области кибербезопасности, или оперативный персонал может также использовать данные STIX для облегчения и управления действиями по борьбе с киберугрозами, включая предотвращение, обнаружение и ответ. Еще одним основным применением STIX является обмен CTI внутри организации, а также с внешними партнерами или сообществами, которые могут извлечь выгоду из этой информации. Обмен и сотрудничество позволяют группам безопасности сотрудничать с другими внутренними и внешними сторонами, чтобы учиться друг у друга и улучшать свою собственную и чужую ситуационную осведомленность о ландшафте угроз.

Архитектура STIX и основные конструкции

Язык STIX предоставляет объединяющую архитектуру, сочетающую в себе множество типов CTI. Всего существует восемь основных концепций, каждая из которых является независимой, многократно используемой и взаимосвязанной:

1. Наблюдаемые описать то, что наблюдалось или могло наблюдаться с точки зрения кибербезопасности, например, создание нового ключа реестра, трафик, идущий к определенному IP-адрес, электронные письма, поступающие с определенного адреса электронной почты и т. д.
2. индикаторы описывать потенциальные наблюдаемые значения и контекст.
3. Происшествия опишите события, в которых противники предприняли определенные действия.
4. ТТП противника описать шаблоны атак, использует, цепи убийств, используемые инструменты, целевые жертвы и т. д., используемые противником.
5. Цели эксплойта описывать уязвимости, слабости или конфигурации, которыми может воспользоваться злоумышленник.
6. Курсы действий описать рекомендуемые реакция на инцидент действия или средства устранения выявленной уязвимости, которые могут быть использованы злоумышленником.
7. Кампании описывать наборы инцидентов и/или ДТС — все с общим намерением.
8. Злоумышленники опишите противников и их характеристики.

Взаимосвязь между различными конструкциями обозначена на схеме архитектуры стрелками. Каждая стрелка содержит звездочку в квадратных скобках ([*]), что означает, что каждая связь может существовать от нуля до множества раз. Язык реализован в виде XML-файла. схема, который конкретизирует структурированное содержимое каждой конструкции.

[Встраиваемое содержимое]

Эволюция и будущее направление STIX

В 2010 году члены США Команда компьютерной готовности к чрезвычайным ситуациям и CERT.org — все эксперты в области безопасности и CTI — создали список адресов электронной почты, чтобы обсудить необходимость стандартизированного представления показателей CTI. В результате этих дискуссий появился STIX, и в 2012 году он был публично определен в версии 0.3.

Когда язык был впервые разработан, была создана приблизительная архитектурная схема для определения информации, которая должна быть включена в структурированный индикатор киберугроз. Со временем структурированная архитектура CTI была усовершенствована, что привело к реализации ее схемы XML. Схема до сих пор используется сообществом для разработки и усовершенствования STIX.

STIX спонсируется Управлением кибербезопасности и коммуникаций США. Департамент внутренней безопасности (ДХС). Авторские права на него также принадлежат Mitre Corp., что гарантирует, что он остается открытым, бесплатным и расширяемым стандартом. Этот стандарт может использоваться всеми, кто занимается или интересуется кибербезопасностью, включая организации, ученых, правительственные учреждения и поставщиков продуктов/услуг безопасности.

STIX можно использовать вручную или программно. Для ручного использования требуется редактор XML, но не требуются дополнительные инструменты. Программное использование требует Питон и Java привязки, Питон интерфейсы прикладного программирования и коммунальные услуги. Привязки и соответствующие инструменты, помогающие аналитикам безопасности обрабатывать и работать с STIX, имеют открытый исходный код на GitHub.

По состоянию на 2023 год STIX находится в версии 2.1. По сравнению с версией 2.0, версия 2.1 включает несколько новых объектов и концепций. Некоторые объекты, в том числе вредоносных программ, претерпели существенные изменения. Кроме того, некоторые конфликтующие свойства были переименованы, к некоторым объектам добавлены описания и имена, а некоторые связи между объектами STIX Cyber-observable были сделаны внешними.

СТИКС и ТАКСИ

Доверенный автоматизированный обмен индикаторной информацией (TAXII) – это метод для обмена CTI, представленного в STIX. Другими словами, TAXII — это транспортный механизм STIX. Это позволяет организациям и специалистам по безопасности обмениваться структурированными CTI открытым, стандартизированным, безопасным и автоматизированным способом.

Как и STIX, TAXII — это общественный проект, спонсируемый Министерством внутренней безопасности США. DHS использует STIX и TAXII, чтобы его партнеры — частные и государственные — могли обмениваться CTI, используя безопасные автоматизированные механизмы для обнаружения, предотвращения и смягчения киберугроз. Многие организации частного сектора также используют STIX и TAXII для обмена информацией об угрозах с другими. Примеры включают Microsoft, Hewlett Packard Enterprise и многочисленные поставщики кибербезопасности.

Узнайте все о будущее кибербезопасностии исследовать 10 лучших практик и советов по кибербезопасности для бизнеса. Посмотреть, как исправить пять основных уязвимостей кибербезопасности, и читайте о Кибергигиена и почему это важно.