Bo „sharing is caring” czyli STIX/TAXII – standard komunikacji i sposób jego współdzielenia
Gdyby nieogólnie przyjęty standard używania języka angielskiego przy współpracy międzynarodowej, byłaby ona znacznie utrudniona. Analogicznie rzecz ma się w cyberbezpieczeństwie – organizacje zrzeszające specjalistów z tej dziedziny dawno zauważyły brak ogólnie przyjętego standardu komunikacji. Jako odpowiedź powstał STIX.
STIX to skrót od Structured Threat Information eXpression, to ustandaryzowany język opracowany przez MITRE i OASIS (Organization for the Advancement of Structured Information Standards) Cyber Threat Intelligence (CTI) do opisywania informacji o cyberzagrożeniach. Został przyjęty jako międzynarodowy standard przez różne społeczności i organizacje zajmujące się wymianą danych z zakresu bezpieczeństwa IT.
STIX jest skonstruowany w taki sposób, że użytkownicy mogą opisywać zagrożenie poprzez:
- Motywacje atakującego.
- Zdolności, które posiada zagrożenie.
- Jego możliwości.
- Reakcje na incydent wywołany przez to zagrożenie.
STIX to sposób wyrażania informacji o zagrożeniach komputerowych w sposób ustrukturyzowany i jednoznaczny. Oparty na JSON, ma potencjał, aby umożliwić automatyczną wymianę informacji między wieloma narzędziami używanymi do zapewnienia bezpieczeństwa organizacji.
STIX definiuje dwie kategorie obiektów
STIX Domain Objects (SDO):
- Attack pattern: Podejście podjęte przez jednego (lub więcej) złośliwego aktora w celu złamania zabezpieczeń celu.
- Campaign: zbiór wrogich zachowań opisujących zestaw złośliwych działań lub ataków wymierzonych w określoną grupę ofiar w określonym czasie.
- Course-of-Action: działanie podjęte w celu uniknięcia ataku lub odpowiedzi na niego.
- Identity: osoby, organizacje lub grupy, a także klasy osób, organizacje lub grupy.
- Indicator: zawiera wzorzec STIX stworzony do wykrycia złośliwej lub podejrzanej aktywności.
- Intrusion – set: zestaw zasobów i wrogich zachowań, co do których istnieje podejrzenie, że są charakterystyczne dla konkretnego aktora będącego zagrożeniem. W przeciwieństwie do kampanii nie jest specyficzna dla zestawu celów ani okresu.
- Malware: złośliwe oprogramowanie, znane również jako złośliwy kod lub złośliwe oprogramowanie, którego celem jest naruszenie poufności, integralności i/lub dostępności danych/systemów ofiary.
- Observed – data: Reprezentuje informacje obserwowane w systemie lub sieci (np. adres IP, plik,) jako zestaw STIX Cyber Observables.
- Report: zbieranie informacji o zagrożeniach w postaci obiektów STIX, SDO i SRO, które dotyczą jednego lub więcej tematów, takich jak opis złośliwego aktora, złośliwe oprogramowanie lub technika włamań, w tym informacje kontekstowe. Może odwoływać się do raportu w klasycznym znaczeniu tego terminu poprzez właściwość external_references, ale nie jest to zobowiązanie.
- Threat Actor: osoby, grupy lub organizacje podejrzane o złośliwe działanie. W przeciwieństwie do tożsamości, która określa wyraźnie zidentyfikowanych aktorów, aktor – zagrożenie zwykle odnosi się do złośliwych aktorów pod pseudonimem. Jeśli zostanie zidentyfikowany, podmiot zagrażający SDO zostanie powiązany z tożsamością SDO za pomocą relacji SRO z typem_relacji: przypisany do. Przede wszystkim pozwala na określenie pewnych elementów, takich jak poziom zasobów (poziom_zasobów), kompetencje (wyrafinowanie) czy motywacje (motywacja podstawowa, motywacje wtórne i motywacje_osobiste).
- Tool: legalne oprogramowanie, które może mieć złośliwe użycie (np. RDP, Nmap…).
- Vulnerability: błąd w oprogramowaniu, którego wykorzystanie może umożliwić nielegalny dostęp do systemu lub sieci.
W drodze są jeszcze 3 kolejne SDO: opinion, note, location.
STIX Relationship Objects (SRO):
- Relationship – relacjaSRO służy do łączenia dwóch SDO i opisywania ich relacji.
- Sighting – wyraża podejrzenie, że zauważono element CTI (Cyber Threat Intelligence) (np. indicator, malware). W przeciwieństwie do powiązanego SRO może być powiązany z jednym lub większą liczbą SDO.
Dla uproszczenia SDO można postrzegać jako węzły grafu połączone ze sobą przez SRO.
Opracowanie wspólnego sposobu przedstawiania danych to nie koniec. Potrzebny był jeszcze sposób ich współdzielenia. I tak STIX uzupełniono o TAXII.
TAXII – Trusted Automated eXchange of Intelligence Information, określa, w jaki sposób informacje o cyberzagrożeniach mogą być udostępniane za pośrednictwem usług i wymiany komunikatów.
TAXII jest protokołem wymiany danych przez HTTPS, który został zaprojektowany specjalnie do obsługi informacji STIX. Robi to poprzez – definiowanie zestawu wymagań dla klientów/serwerów oraz wykorzystanie REST API do interakcji z dwoma typami usług:
- Collection: interfejs do repozytorium obiektów udostępnianego przez serwer, który umożliwia producentowi obsługę konsumentów w szablonie Request-response.
- Channel: umożliwia wymianę informacji zgodnie z modelem publish-subscribe.
Użytkownicy mogą wybierać i wdrażać tyle, ile potrzebują, i łączyć je dla różnych modeli udostępniania.
Trzy główne modele TAXII obejmują:
- Hub and spoke – jedno repozytorium informacji.
- Source/subscriber – jedno źródło informacji.
- Peer-to-peer – wiele grup udostępnia informacje.
STIX / TAXII obsługuje różnorodne przypadki użycia dotyczące zarządzania cyberzagrożeniami. Został powszechnie wdrożony przez rządy i centra wymiany informacji i analiz (ISAC – Information Sharing and Analysis Center), które koncentrują się na różnych gałęziach przemysłu i działają w różnych płaszczyznach geograficznych.
Dwa główne z nich to:
- Udostępnianie skategoryzowanych informacji
Organizacje mogą przekazywać i wyciągać informacje w kategorie. Na przykład, jeśli jedna branża doświadczy ukierunkowanego ataku phishingowego, może udostępniać te informacje w ramach kategorii phishingu do ISAC. Inne organizacje mogą automatycznie przyswajać te informacje i wzmacniać własną obronę.
- Udostępnianie grupom
Organizacje z klientem TAXII mogą wypychać i pobierać informacje na serwery TAXII zaufanych grup udostępniania. Niektóre organizacje mogą mieć dostęp do prywatnych grup w ramach tych ISAC, które dostarczają bardziej szczegółowych informacji.
W obu przypadkach centralne repozytorium hostowane w danej agencji analitycznej ISAC to TAXII Server, a każda z organizacji klienckich posiada TAXII Client.
Korzystanie z STIX/TAXII umożliwia użytkownikom określanie Indicators-of-Compromise (IOC) i łączenie ich ze zidentyfikowanymi w ramach działań MITRE aktorami, taktykami, technikami i procedurami. Aby utrudnić działania atakującym, wymiana informacji na temat zagrożeń cybernetycznych musi odbywać się w dużej społeczności zgodnie z jasnymi standardami ułatwiającymi automatyzację przesyłu danych. STIX/TAXII przyjmuje to jako punkt wyjścia i dlatego jego adopcja może znacznie poprawiać poziom bezpieczeństwa organizacji.