Biểu hiện thông tin mối đe dọa có cấu trúc (STIX) là gì?

Biểu hiện thông tin mối đe dọa có cấu trúc (STIX) là Ngôn ngữ đánh dấu mở rộng được tiêu chuẩn hóa (XML) ngôn ngữ lập trình để truyền tải dữ liệu về an ninh mạng các mối đe dọa theo cách mà cả con người và công nghệ bảo mật đều có thể dễ dàng hiểu được.

STIX là một cấu trúc, mã nguồn mở và ngôn ngữ miễn phí để chia sẻ thông tin về mối đe dọa mạng (CTI). Ngôn ngữ này nhằm mục đích thể hiện CTI ở dạng có cấu trúc để đảm bảo rằng nó có thể đọc được bằng con người và bằng máy, cũng như có tính biểu cảm, linh hoạt và mở rộng. Việc thể hiện CTI trong STIX đảm bảo rằng nó có thể được chia sẻ và phân tích một cách dễ dàng và nhất quán để hiểu các mối đe dọa và hành động chủ động hoặc phòng thủ.

Việc phát triển và bảo trì STIX chủ yếu là những nỗ lực hướng tới cộng đồng, điều đó có nghĩa là bất kỳ ai quan tâm hoặc làm việc trong lĩnh vực an ninh mạng đều có thể giúp phát triển ngôn ngữ thông qua trang web STIX, diễn đàn trực tuyến và các phương tiện truyền thông hợp tác khác. Cộng đồng STIX cũng hoan nghênh ý kiến ​​đóng góp từ ngành công nghiệp và học viện để hoàn thiện hơn nữa ngôn ngữ và khả năng của nó.

[Nhúng nội dung]

Mục đích của việc thể hiện thông tin về mối đe dọa có cấu trúc

CTI toàn diện và cập nhật là điều cần thiết để các tổ chức hiểu được các mối đe dọa do nhiều loại kẻ thù mạng và có hành động thích hợp để giảm thiểu tác động tiêu cực của những đối thủ này. Tuy nhiên, không dễ để nắm bắt được CTI vì hầu hết các tổ chức không có quyền truy cập vào thông tin đầy đủ hoặc liên quan. Việc thiếu thông tin ảnh hưởng đến khả năng xây dựng nhận thức chính xác về tình huống của họ. cảnh quan đe dọa. STIX được phát triển để giải quyết thách thức này.

STIX cho phép các chuyên gia bảo mật và cộng đồng nắm bắt và chia sẻ CTI theo cách chuẩn hóa, dễ hiểu. Do đó, tất cả họ đều có thể hiểu rõ hơn về bối cảnh mối đe dọa mạng và thực hiện các chiến lược để dự đoán và ứng phó một cách hiệu quả. Tấn công mạng. Với STIX, họ có thể cải thiện khả năng liên quan đến an ninh mạng của họ, đặc biệt là xung quanh những điều sau đây:

• Phân tích mối đe dọa.
• Trao đổi thông tin đe dọa.
• Tự động phát hiện và ứng phó với mối đe dọa.
• Phân tích mẫu chỉ báo mối đe dọa.
• Phòng ngừa mối đe dọa.

Bản chất cởi mở và hợp tác của STIX cho phép chia sẻ CTI có độ chính xác cao xuyên suốt các ranh giới tổ chức. Ngoài ra, CTI này không bị ràng buộc với các sản phẩm, dịch vụ hoặc giải pháp bảo mật cụ thể, cung cấp bộ CTI toàn diện hơn để phân tích và cải thiện các vấn đề liên quan đến bảo mật. ra quyết định.

Hơn nữa, vì STIX đại diện cho CTI dưới dạng có cấu trúc và tiêu chuẩn hóa nên nó hỗ trợ việc áp dụng tự động hóa các công cụ và công nghệ cho các quy trình an ninh mạng và Luồng công việc. Tự động hóa có thể hỗ trợ con người phân tích các mối đe dọa trên mạng và giúp các nhóm bảo mật thực hiện hành động phòng thủ hoặc tấn công để đối phó với các mối đe dọa đó.

Các trường hợp sử dụng biểu thức thông tin mối đe dọa có cấu trúc

Được thiết kế để sử dụng rộng rãi trong an ninh mạng, STIX có một số trường hợp sử dụng cốt lõi. Một, nó được sử dụng bởi nhà phân tích mối đe dọa để xem xét các mối đe dọa mạng và hoạt động liên quan đến mối đe dọa. Họ cũng có thể sử dụng STIX để xác định các mẫu có thể chỉ ra các mối đe dọa mạng và hiểu được chiến thuật, kỹ thuật và thủ tục (TTP) được kẻ thù sử dụng để bắt đầu các cuộc tấn công mạng.

Bất kỳ người ra quyết định hoặc nhân viên vận hành an ninh mạng nào cũng có thể sử dụng dữ liệu STIX để tạo điều kiện và quản lý các hoạt động đe dọa mạng, bao gồm phòng ngừa, nhận diện và phản hồi. Một cách sử dụng cốt lõi khác của STIX là chia sẻ CTI trong một tổ chức và với các đối tác hoặc cộng đồng bên ngoài có thể hưởng lợi từ thông tin. Chia sẻ và hợp tác cho phép các nhóm bảo mật cộng tác với các bên nội bộ và bên ngoài khác để học hỏi lẫn nhau và cải thiện nhận thức tình huống của chính họ và của những người khác về bối cảnh mối đe dọa.

Kiến trúc STIX và cấu trúc cốt lõi

Ngôn ngữ STIX cung cấp một kiến ​​trúc thống nhất kết hợp nhiều loại CTI. Có tổng cộng tám khái niệm cốt lõi, tất cả đều độc lập, có thể tái sử dụng và liên quan đến nhau:

1. Có thể quan sát mô tả những gì đã quan sát được hoặc có thể được quan sát từ góc độ an ninh mạng, chẳng hạn như tạo khóa đăng ký mới, lưu lượng truy cập đến một địa chỉ cụ thể Địa chỉ IP, email đến từ một địa chỉ email cụ thể, v.v.
2. Các chỉ số mô tả các vật thể có thể quan sát được với ý nghĩa và bối cảnh.
3. Sự cố mô tả các sự kiện trong đó đối thủ thực hiện các hành động cụ thể.
4. TTP đối thủ mô tả các kiểu tấn công, khai thác, giết dây chuyền, công cụ được sử dụng, nạn nhân mục tiêu, v.v. được kẻ thù sử dụng.
5. Khai thác mục tiêu mô tả các lỗ hổng, điểm yếu hoặc cấu hình mà đối thủ có thể khai thác.
6. Các khóa học thực hành mô tả đề nghị ứng phó sự cố hành động hoặc biện pháp khắc phục một lỗ hổng đã được xác định có thể bị kẻ thù khai thác.
7. Chiến dịch mô tả các tập hợp sự cố và/hoặc TTP - tất cả đều có mục đích chung.
8. Các diễn viên đe dọa mô tả đối thủ và đặc điểm của họ.

Mối quan hệ giữa các cấu trúc khác nhau được biểu thị trên sơ đồ kiến ​​trúc bằng các mũi tên. Mỗi nhãn mũi tên bao gồm một dấu hoa thị trong ngoặc ([*]) để ngụ ý rằng mỗi mối quan hệ có thể tồn tại từ XNUMX đến nhiều lần. Ngôn ngữ được triển khai dưới dạng hoặc XML kế hoạch, giúp bổ sung thêm nội dung có cấu trúc của từng cấu trúc.

[Nhúng nội dung]

Sự phát triển và định hướng tương lai của STIX

Năm 2010, các thành viên của Mỹ Đội Sẵn sàng Khẩn cấp Máy tính và CERT.org - tất cả các chuyên gia về hoạt động bảo mật và CTI - đã thiết lập một danh sách email để thảo luận về nhu cầu trình bày tiêu chuẩn hóa các chỉ số CTI. STIX xuất hiện từ những cuộc thảo luận đó và vào năm 2012, nó đã được xác định công khai với Phiên bản 0.3.

Khi ngôn ngữ này được phát triển lần đầu tiên, một sơ đồ kiến ​​trúc thô đã được tạo ra để xác định thông tin cần đưa vào chỉ báo mối đe dọa mạng có cấu trúc. Theo thời gian, kiến ​​trúc CTI có cấu trúc đã được cải tiến, dẫn đến việc triển khai lược đồ XML của nó. Lược đồ này vẫn được cộng đồng của nó sử dụng để phát triển và hoàn thiện STIX.

STIX được tài trợ bởi Văn phòng An ninh mạng và Truyền thông Hoa Kỳ Bộ An ninh Nội địa (DHS). Nó cũng được Mitre Corp. giữ bản quyền, đảm bảo rằng nó vẫn là một tiêu chuẩn nguồn mở, miễn phí và có thể mở rộng. Tiêu chuẩn này có thể được sử dụng bởi bất kỳ ai quan tâm hoặc quan tâm đến an ninh mạng, bao gồm các tổ chức, học giả, cơ quan chính phủ và nhà cung cấp sản phẩm/dịch vụ bảo mật.

STIX có thể được sử dụng theo cách thủ công hoặc theo chương trình. Việc sử dụng thủ công yêu cầu trình soạn thảo XML nhưng không có công cụ bổ sung. Việc sử dụng có lập trình yêu cầu Python và Java ràng buộc, Python giao diện lập trình ứng dụng và các tiện ích. Các ràng buộc và các công cụ liên quan để giúp các nhà phân tích bảo mật xử lý và làm việc với STIX là nguồn mở trên GitHub.

Kể từ năm 2023, STIX có phiên bản 2.1. So với v2.0, v2.1 bao gồm một số đối tượng và khái niệm mới. Một số đối tượng, trong đó có phần mềm độc hại, đã trải qua những thay đổi đáng kể. Ngoài ra, một số thuộc tính xung đột đã được đổi tên, mô tả và tên đã được thêm vào một số đối tượng và một số mối quan hệ Đối tượng có thể quan sát được qua mạng STIX đã được tạo ra bên ngoài.

STIX và TAXII

Trao đổi thông tin chỉ báo tự động đáng tin cậy (TAXII) là một phương pháp để trao đổi CTI được thể hiện trong STIX. Nói cách khác, TAXII là cơ chế vận chuyển STIX. Nó cho phép các tổ chức và chuyên gia bảo mật chia sẻ CTI có cấu trúc theo cách mở, tiêu chuẩn hóa, an toàn và tự động.

Giống như STIX, TAXII là một dự án hướng tới cộng đồng được DHS Hoa Kỳ tài trợ. DHS sử dụng STIX và TAXII để các đối tác — tư nhân và công cộng — có thể trao đổi CTI bằng cách sử dụng các cơ chế tự động an toàn để phát hiện, ngăn chặn và giảm thiểu các mối đe dọa mạng. Nhiều tổ chức trong khu vực tư nhân cũng sử dụng STIX và TAXII để chia sẻ thông tin về mối đe dọa với những người khác. Ví dụ bao gồm Microsoft, Hewlett Packard Enterprise và nhiều nhà cung cấp an ninh mạng.

Tìm hiểu tất cả về tương lai của an ninh mạngvà khám phá 10 lời khuyên và thực tiễn tốt nhất về an ninh mạng dành cho doanh nghiệp. Xem cách khắc phục năm lỗ hổng an ninh mạng hàng đầu, và đọc về vệ sinh mạng và tại sao nó quan trọng.