Bo „sharing is caring” czyli STIX/TAXII – standard komunikacji i sposób jego współdzielenia

Home / Aktualności / Bo „sharing is caring” czyli STIX/TAXII – standard komunikacji i sposób jego współdzielenia

Gdyby nieogólnie przyjęty standard używania języka angielskiego przy współpracy międzynarodowej, byłaby ona znacznie utrudniona. Analogicznie rzecz ma się w cyberbezpieczeństwie – organizacje zrzeszające specjalistów z tej dziedziny dawno zauważyły brak ogólnie przyjętego standardu komunikacji. Jako odpowiedź powstał STIX.

STIX to skrót od Structured Threat Information eXpression, to ustandaryzowany język opracowany przez MITRE i OASIS (Organization for the Advancement of Structured Information Standards) Cyber ​​Threat Intelligence (CTI) do opisywania informacji o cyberzagrożeniach. Został przyjęty jako międzynarodowy standard przez różne społeczności i organizacje zajmujące się wymianą danych z zakresu bezpieczeństwa IT.


STIX jest skonstruowany w taki sposób, że użytkownicy mogą opisywać zagrożenie poprzez:

  • Motywacje atakującego.
  • Zdolności, które posiada zagrożenie.
  • Jego możliwości.
  • Reakcje na incydent wywołany przez to zagrożenie.


STIX to sposób wyrażania informacji o zagrożeniach komputerowych w sposób ustrukturyzowany i jednoznaczny. Oparty na JSON, ma potencjał, aby umożliwić automatyczną wymianę informacji między wieloma narzędziami używanymi do zapewnienia bezpieczeństwa organizacji.

STIX definiuje dwie kategorie obiektów

STIX Domain Objects (SDO):
  • Attack pattern: Podejście podjęte przez jednego (lub więcej) złośliwego aktora w celu złamania zabezpieczeń celu.
  • Campaign: zbiór wrogich zachowań opisujących zestaw złośliwych działań lub ataków wymierzonych w określoną grupę ofiar w określonym czasie.
  • Course-of-Action: działanie podjęte w celu uniknięcia ataku lub odpowiedzi na niego.
  • Identity: osoby, organizacje lub grupy, a także klasy osób, organizacje lub grupy.
  • Indicator: zawiera wzorzec STIX stworzony do wykrycia złośliwej lub podejrzanej aktywności.
  • Intrusion – set: zestaw zasobów i wrogich zachowań, co do których istnieje podejrzenie, że są charakterystyczne dla konkretnego aktora będącego zagrożeniem. W przeciwieństwie do kampanii nie jest specyficzna dla zestawu celów ani okresu.
  • Malware: złośliwe oprogramowanie, znane również jako złośliwy kod lub złośliwe oprogramowanie, którego celem jest naruszenie poufności, integralności i/lub dostępności danych/systemów ofiary.
  • Observed – data: Reprezentuje informacje obserwowane w systemie lub sieci (np. adres IP, plik,) jako zestaw STIX Cyber Observables.
  • Report: zbieranie informacji o zagrożeniach w postaci obiektów STIX, SDO i SRO, które dotyczą jednego lub więcej tematów, takich jak opis złośliwego aktora, złośliwe oprogramowanie lub technika włamań, w tym informacje kontekstowe. Może odwoływać się do raportu w klasycznym znaczeniu tego terminu poprzez właściwość external_references, ale nie jest to zobowiązanie.
  • Threat Actor: osoby, grupy lub organizacje podejrzane o złośliwe działanie. W przeciwieństwie do tożsamości, która określa wyraźnie zidentyfikowanych aktorów, aktor – zagrożenie zwykle odnosi się do złośliwych aktorów pod pseudonimem. Jeśli zostanie zidentyfikowany, podmiot zagrażający SDO zostanie powiązany z tożsamością SDO za pomocą relacji SRO z typem_relacji: przypisany do. Przede wszystkim pozwala na określenie pewnych elementów, takich jak poziom zasobów (poziom_zasobów), kompetencje (wyrafinowanie) czy motywacje (motywacja podstawowa, motywacje wtórne i motywacje_osobiste).
  • Tool: legalne oprogramowanie, które może mieć złośliwe użycie (np. RDP, Nmap…).
  • Vulnerability: błąd w oprogramowaniu, którego wykorzystanie może umożliwić nielegalny dostęp do systemu lub sieci.


W drodze są jeszcze 3 kolejne SDO: opinion, note, location.

STIX Relationship Objects (SRO):
  • Relationship relacjaSRO służy do łączenia dwóch SDO i opisywania ich relacji.
  • Sighting wyraża podejrzenie, że zauważono element CTI (Cyber Threat Intelligence) (np. indicator, malware). W przeciwieństwie do powiązanego SRO może być powiązany z jednym lub większą liczbą SDO.


Dla uproszczenia SDO można postrzegać jako węzły grafu połączone ze sobą przez SRO.




Figura 1: Powiązanie relacja SDO – SRO – SRO to strzałki, wiążące Domain Object: Adversary Bravo z trzema pozostałymi.


Opracowanie wspólnego sposobu przedstawiania danych to nie koniec. Potrzebny był jeszcze sposób ich współdzielenia. I tak STIX uzupełniono o TAXII.

TAXII – Trusted Automated eXchange of Intelligence Information, określa, w jaki sposób informacje o cyberzagrożeniach mogą być udostępniane za pośrednictwem usług i wymiany komunikatów.


TAXII jest protokołem wymiany danych przez HTTPS, który został zaprojektowany specjalnie do obsługi informacji STIX. Robi to poprzez – definiowanie zestawu wymagań dla klientów/serwerów oraz wykorzystanie REST API do interakcji z dwoma typami usług:

  • Collection: interfejs do repozytorium obiektów udostępnianego przez serwer, który umożliwia producentowi obsługę konsumentów w szablonie Request-response.
  • Channel: umożliwia wymianę informacji zgodnie z modelem publish-subscribe.


Użytkownicy mogą wybierać i wdrażać tyle, ile potrzebują, i łączyć je dla różnych modeli udostępniania.


Trzy główne modele TAXII obejmują:
  • Hub and spoke – jedno repozytorium informacji.
  • Source/subscriber – jedno źródło informacji.
  • Peer-to-peer – wiele grup udostępnia informacje.


STIX / TAXII obsługuje różnorodne przypadki użycia dotyczące zarządzania cyberzagrożeniami. Został powszechnie wdrożony przez rządy i centra wymiany informacji i analiz (ISAC – Information Sharing and Analysis Center), które koncentrują się na różnych gałęziach przemysłu i działają w różnych płaszczyznach geograficznych.


Dwa główne z nich to:
  • Udostępnianie skategoryzowanych informacji

Organizacje mogą przekazywać i wyciągać informacje w kategorie. Na przykład, jeśli jedna branża doświadczy ukierunkowanego ataku phishingowego, może udostępniać te informacje w ramach kategorii phishingu do ISAC. Inne organizacje mogą automatycznie przyswajać te informacje i wzmacniać własną obronę.

  • Udostępnianie grupom

Organizacje z klientem TAXII mogą wypychać i pobierać informacje na serwery TAXII zaufanych grup udostępniania. Niektóre organizacje mogą mieć dostęp do prywatnych grup w ramach tych ISAC, które dostarczają bardziej szczegółowych informacji.


W obu przypadkach centralne repozytorium hostowane w danej agencji analitycznej ISAC to TAXII Server, a każda z organizacji klienckich posiada TAXII Client.


Korzystanie z STIX/TAXII umożliwia użytkownikom określanie Indicators-of-Compromise (IOC) i łączenie ich ze zidentyfikowanymi w ramach działań MITRE aktorami, taktykami, technikami i procedurami. Aby utrudnić działania atakującym, wymiana informacji na temat zagrożeń cybernetycznych musi odbywać się w dużej społeczności zgodnie z jasnymi standardami ułatwiającymi automatyzację przesyłu danych. STIX/TAXII przyjmuje to jako punkt wyjścia i dlatego jego adopcja może znacznie poprawiać poziom bezpieczeństwa organizacji.



Powiązane posty

Czym jest MITRE ATT&CK
Jak ważne jest bezpieczeństwo urządzeń mobilnych i dlaczego warto w nie inwestować
STINET 2021. Jakie będą trendy bezpieczeństwa IT
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji