Logotipo de Zephyrnet

Inteligencia de datos generativa

IOT

¿Qué es la expresión estructurada de información sobre amenazas (STIX)?

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 208

¿Qué es la expresión estructurada de información sobre amenazas (STIX)?

Structured Threat Information eXpression (STIX) es un lenguaje de marcado extensible estandarizado (XML) lenguaje de programación para transmitir datos sobre la seguridad cibernética amenazas de una manera que puedan ser fácilmente entendidas tanto por los humanos como por las tecnologías de seguridad.

STIX es un sistema estructurado, de código abierto y lenguaje gratuito para compartir inteligencia sobre ciberamenazas (CTI). El lenguaje tiene como objetivo representar CTI en una forma estructurada para garantizar que sea legible por humanos y máquinas, así como expresivo, flexible y extensible. Representar CTI en STIX garantiza que se pueda compartir y analizar de manera fácil y consistente para comprender las amenazas y actuar de manera proactiva o defensiva.

El desarrollo y mantenimiento de STIX son principalmente esfuerzos impulsados ​​por la comunidad, lo que significa que cualquier persona que esté interesada o trabaje en ciberseguridad puede ayudar a desarrollar el lenguaje a través de Sitio web de STIX, foros en línea y otros medios colaborativos. La comunidad STIX también agradece las aportaciones de la industria y el mundo académico para perfeccionar aún más el lenguaje y sus capacidades.

[Contenido incrustado]

Propósito de la expresión estructurada de información sobre amenazas

Una CTI completa y actualizada es esencial para que las organizaciones comprendan las amenazas que plantean diversos ciber-adversarios y tomar las medidas apropiadas para minimizar el impacto negativo de estos adversarios. Sin embargo, no es fácil capturar CTI ya que la mayoría de las organizaciones no tienen acceso a información adecuada o relevante. La falta de información afecta su capacidad para desarrollar una conciencia situacional precisa de sus panorama de amenazas. STIX fue desarrollado para abordar este desafío.

STIX permite a los profesionales y comunidades de seguridad capturar y compartir CTI de una manera estandarizada y comprensible. En consecuencia, todos pueden obtener una mejor visión del panorama de las ciberamenazas e implementar estrategias para anticipar y responder eficazmente a ellas. Ataques ciberneticos. Con STIX, pueden mejorar sus capacidades relacionadas con la ciberseguridad, particularmente en torno a lo siguiente:

  • Análisis de amenazas.
  • Intercambio de información sobre amenazas.
  • Detección y respuesta automatizadas a amenazas.
  • Análisis de patrones de indicadores de amenaza.
  • Prevención de amenazas.

La naturaleza abierta y colaborativa de STIX permite compartir CTI de alta fidelidad a través de los límites organizacionales. Además, este CTI no está vinculado a productos, servicios o soluciones de seguridad específicos, lo que proporciona un conjunto más completo de CTI para análisis y mejora los aspectos relacionados con la seguridad. la toma de decisiones.

Además, dado que STIX representa CTI en una forma estructurada y estandarizada, admite la aplicación de la automatización herramientas y tecnologías para los procesos de ciberseguridad y flujos de trabajo. La automatización puede ayudar al análisis humano de las ciberamenazas y ayudar a los equipos de seguridad a ejecutar acciones defensivas u ofensivas en respuesta a esas amenazas.

diagram illustrating 5 cybersecurity trends
STIX es un lenguaje de programación XML estandarizado para transmitir datos sobre amenazas a la ciberseguridad de formas fácilmente comprensibles.

Casos de uso de eXpression de información estructurada sobre amenazas

Diseñado para un uso amplio en ciberseguridad, existen varios casos de uso principales para STIX. Uno, es utilizado por analistas de amenazas para revisar las ciberamenazas y la actividad relacionada con ellas. También pueden utilizar STIX para identificar patrones que podrían indicar ciberamenazas y comprender el tácticas, técnicas y procedimientos (TTP) utilizados por los adversarios para iniciar ciberataques.

Cualquier responsable de la toma de decisiones en materia de ciberseguridad o personal de operaciones también puede utilizar los datos de STIX para facilitar y gestionar las actividades de ciberamenazas, incluida la prevención, detección y respuesta. Otro uso principal de STIX es compartir CTI dentro de una organización y con socios o comunidades externos que pueden beneficiarse de la información. Compartir y colaboración Permitir a los equipos de seguridad colaborar con otras partes internas y externas para aprender unos de otros y mejorar su conocimiento situacional y el de los demás sobre el panorama de amenazas.

Arquitectura STIX y construcciones centrales

El lenguaje STIX proporciona una arquitectura unificadora que combina muchos tipos de CTI. Hay un total de ocho conceptos centrales, todos ellos independientes, reutilizables e interrelacionados:

  1. observables Describir lo que se ha observado o podría observarse desde una perspectiva de ciberseguridad, como la creación de una nueva clave de registro, el tráfico que va a un punto específico. Dirección IP, correos electrónicos provenientes de una dirección de correo electrónico particular, etc.
  2. indicadores describir observables potenciales con significado y contexto.
  3. incidentes describir eventos donde los adversarios tomaron acciones específicas.
  4. TTP del adversario describir patrones de ataque, exploits, matar cadenas, herramientas utilizadas, víctimas objetivo, etc. utilizadas por el adversario.
  5. Explotar objetivos describir vulnerabilidades, debilidades o configuraciones que un adversario podría explotar.
  6. Vías de acción describir recomendado respuesta al incidente acciones o remedios para una vulnerabilidad identificada que puede ser explotada por un adversario.
  7. Campañas Describe conjuntos de incidentes y/o TTP, todos con una intención compartida.
  8. Actores de amenazas Describir a los adversarios y sus características.

Las relaciones entre las distintas construcciones se indican en el diagrama de arquitectura con flechas. Cada etiqueta de flecha incluye un asterisco entre corchetes ([*]) para implicar que cada relación puede existir desde cero hasta muchas veces. El lenguaje se implementa en forma de XML. Esquema, que desarrolla el contenido estructurado de cada constructo.

[Contenido incrustado]

Evolución y dirección futura de STIX

En 2010, los miembros de EE.UU. Equipo de preparación para emergencias informáticas y CERT.org, todos expertos en operaciones de seguridad y CTI, establecieron una lista de correo electrónico para discutir la necesidad de una representación estandarizada de los indicadores de CTI. STIX surgió de esas discusiones y, en 2012, se definió públicamente con la Versión 0.3.

Cuando se desarrolló el lenguaje por primera vez, se creó un diagrama de arquitectura aproximado para definir la información que debería incluirse en un indicador estructurado de ciberamenazas. Con el tiempo, la arquitectura estructurada de CTI se perfeccionó, lo que dio como resultado la implementación del esquema XML. La comunidad todavía utiliza el esquema para desarrollar y perfeccionar STIX.

STIX está patrocinado por la Oficina de Ciberseguridad y Comunicaciones de los Estados Unidos. Departamento de Seguridad Nacional (DHS). También tiene derechos de autor de Mitre Corp., lo que garantiza que siga siendo un estándar de código abierto, gratuito y extensible. Este estándar puede ser utilizado por cualquier persona preocupada o interesada en la ciberseguridad, incluidas organizaciones, académicos, agencias gubernamentales y proveedores de productos/servicios de seguridad.

STIX se puede utilizar de forma manual o mediante programación. El uso manual requiere un editor XML pero no herramientas adicionales. El uso programático requiere Python y Java ataduras, Python interfaces de programación de aplicaciones y servicios públicos. Los enlaces y herramientas relacionadas para ayudar a los analistas de seguridad a procesar y trabajar con STIX son de código abierto en GitHub.

A partir de 2023, STIX se encuentra en la versión 2.1. En comparación con la versión 2.0, la versión 2.1 incluye varios objetos y conceptos nuevos. Algunos objetos, incluidos el malware, han sufrido cambios importantes. Además, se cambió el nombre de algunas propiedades conflictivas, se agregaron descripciones y nombres a algunos objetos y algunas relaciones de objetos ciberobservables STIX se hicieron externas.

diagram of the various types of malware
Objetos como el malware han sufrido cambios significativos en la última versión de STIX.

STIX y TAXII

El intercambio automatizado confiable de información de indicadores (TAXII) es un Método para intercambiar CTI que está representado en STIX. En otras palabras, TAXII es el mecanismo de transporte de STIX. Permite a las organizaciones y a los profesionales de la seguridad compartir CTI estructurado de forma abierta, estandarizada, segura y automatizada.

Al igual que STIX, TAXII es un proyecto impulsado por la comunidad y patrocinado por el DHS de EE. UU. El DHS utiliza STIX y TAXII para que sus socios (públicos y privados) puedan intercambiar CTI utilizando mecanismos automatizados seguros para detectar, prevenir y mitigar las ciberamenazas. Muchas organizaciones del sector privado también utilizan STIX y TAXII para compartir información sobre amenazas con otros. Los ejemplos incluyen Microsoft, Hewlett Packard Enterprise y numerosos proveedores de ciberseguridad.

Aprende todo sobre los futuro de la ciberseguridady explorar Diez mejores prácticas y consejos de ciberseguridad para empresas. Ver como solucionar las cinco principales vulnerabilidades de ciberseguridady leer sobre ciberhigiene y por qué es importante.

punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.