Giải thích các tiêu chuẩn STIX và TAXII
Vòng mới nhất của cả hai tiêu chuẩn đã được thực hiện bởi nhiều nhà cung cấp, bao gồm cả Avast
Trong nhiều năm, các công ty an ninh mạng đã đầu tư vào việc xây dựng mạng lưới cảm biến và khả năng phát hiện để hiểu rõ hơn về các chiến thuật của kẻ thù, các kỹ thuật luôn thay đổi và các mối đe dọa gây ra cho cộng đồng web trên thế giới.
Cho dù đó là người tiêu dùng sử dụng điện thoại của họ ở sân bay, nhân viên từ xa đang ngồi ở nhà kết nối với doanh nghiệp của họ hay các tổ chức lớn hơn đang bảo vệ hàng nghìn tài sản, các công ty bảo mật đều yêu cầu dữ liệu về các hoạt động đó.
Một trong những nền tảng quan trọng của việc bảo vệ mọi hoạt động sử dụng Web là để các nhà bảo vệ hiểu rõ hơn về các hoạt động độc hại trông như thế nào và cách ngăn chặn chúng. Với nền tảng của việc có được cái nhìn sâu sắc hơn, nhiều công ty bảo mật không chỉ phải hiểu dữ liệu của chính họ mà còn phải học hỏi và chia sẻ với những người khác làm điều tương tự. Bằng cách xây dựng một hệ sinh thái chia sẻ dữ liệu và thông minh trong toàn ngành bảo mật, tất cả những người tham gia có thể giúp đỡ nhau hiệu quả hơn. Nhưng để làm được như vậy, các tiêu chuẩn trong cả việc chia sẻ dữ liệu và cách dữ liệu đó được chia sẻ là những nền tảng cơ bản để đạt được mục tiêu đó. hãy cùng gialaipc xem xét kỹ hơn các cơ sở dưới đây và nó mang lại lợi ích như thế nào cho tất cả chúng ta.
Giới thiệu về STIX và TAXII
Tự động hóa việc chia sẻ thông tin về mối đe dọa sẽ không thể thực hiện được nếu không có một API được xác định rõ có thể thiết lập truyền dữ liệu có cấu trúc. Đó là lý do tại sao Biểu thức thông tin về mối đe dọa có cấu trúc (STIX) ngôn ngữ và giao diện đã được tạo từ năm 2010 và hiện ở phiên bản v2.1. STIX có thể mô tả các động cơ và khả năng được ngụ ý bởi một mối đe dọa cụ thể, cùng với các phản hồi được đề xuất. Ý tưởng là việc trao đổi dữ liệu có cấu trúc tốt này có thể thúc đẩy một số hoạt động xác định, xử lý và khắc phục sự kiện bảo mật giữa máy và máy. Nó xác định một loạt các sự kiện, sự cố và các mẫu chỉ báo có thể quan sát được, cùng với những gì đã khai thác đã xảy ra và các hướng hành động được khuyến nghị. STIX cho phép các tổ chức và công cụ chia sẻ thông tin về mối đe dọa với nhau theo cách cải thiện nhiều khả năng khác nhau, chẳng hạn như hợp tác phân tích mối đe dọa, trao đổi, phát hiện và ứng phó mối đe dọa tự động.
Trên thực tế, STIX hoạt động cùng với một tiêu chuẩn mở khác được gọi là Trao đổi thông tin chỉ số tự động đáng tin cậy (TAXII). Nó xác định cơ chế vận chuyển để di chuyển thông tin STIX từ công cụ này sang công cụ khác. Hãy nghĩ về chúng theo cách này: STIX xác định “cái gì” của một mối đe dọa tiềm ẩn trong khi TAXII xác định “cách thức” mối đe dọa đã xảy ra. Hai tiêu chuẩn này được duy trì bởi Tổ chức vì sự tiến bộ của tiêu chuẩn thông tin có cấu trúc (OASIS) và có nhiều kỹ sư chung. Thông tin thêm về các chi tiết kỹ thuật về cả hai tiêu chuẩn và sự phát triển của chúng có thể được tìm thấy trong bài đăng trên weblog này.
Cả hai tiêu chuẩn đều có nguồn gốc từ nhà thầu chính phủ MITER và chương trình phân loại các mối đe dọa trong Dự án ATT & CK. Một trong những cơ quan chính phủ đã tiếp nhận các nỗ lực STIX và TAXII là Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) thuộc Bộ An ninh Nội địa. CISA sử dụng các tiêu chuẩn này trong một chương trình mà nó gọi là Chia sẻ thông tin tự động. Chương trình ẩn danh người gửi theo mặc định khi truyền chúng, có nghĩa là danh tính của người gửi sẽ không được tiết lộ nếu không có sự đồng ý rõ ràng trước của người gửi. CISA theo dõi các mối đe dọa chính và cảnh báo cho các doanh nghiệp và công chúng một cách phù hợp.
Giống như bất kỳ nỗ lực tiêu chuẩn đa nhà cung cấp nào, quá trình phát triển này kéo dài. Các phiên bản cuối cùng do OASIS xuất bản mất vài năm để sản xuất, nhưng chúng cho thấy rằng cả hai tiêu chuẩn này vẫn tiếp tục hữu ích và nhận được sự hỗ trợ rộng rãi của các nhà cung cấp. Vòng mới nhất của cả hai tiêu chuẩn đã được thực hiện bởi nhiều nhà cung cấp, bao gồm Accenture Safety, Anomali, Avast Software program, Celerium, Cyware Labs, DarkLight, EclecticIQ, FreeTAXII, Fujitsu, IBM, New Context, SEKOIA và Development Micro.
Kiến trúc sư trưởng của Avast về Công nghệ Phòng thủ Đe dọa, Allan Thomson đã tham gia vào các cơ quan tiêu chuẩn STIX và TAXII trong vài năm và là đồng chủ tịch của một trong những ủy ban khả năng tương tác. “Trong sáu tháng qua, chúng tôi đã hướng tới việc sử dụng STIX2 như một cơ chế tiêu chuẩn để sử dụng nguồn cấp dữ liệu bên ngoài từ các đối tác khác nhằm giúp chúng tôi tích hợp dữ liệu của họ nhanh hơn và nhất quán trên các tập dữ liệu khác nhau. Điều này cũng sẽ giúp chúng tôi ứng phó với các mối đe dọa hiệu quả hơn ”.
Đọc thêm:
Từ máy bay đến AI, Allan Thomson đã chơi trò chơi chiến tranh trong nhiều thập kỷ
