STIX et TAXII : vers une véritable révolution de la sécurité ?

Selon le cabinet Gartner, l’automatisation serait la nouvelle frontière des technologies de l’information (IT). Et nous le savons, ce qui vaut pour l’IT vaut également pour la sécurité des SI ou « IT Security ». Mais comment automatiser des écosystèmes de sécurité très hétérogènes, composés de briques multiples ?

Il existe déjà pour cela des approches et des outils comme le « zero trust » et la « cyber– hygiène ». Nous examinerons ici les apports, mais aussi les limites actuelles, des protocoles STIX et TAXII en matière d’automatisation pour la sécurité des entreprises.

Quels sont les cas d’usage de STIX et TAXII ? Parmi les plus souvent cités, on trouve le partage d’informations entre différentes solutions de type firewalls, proxies, relais SMTP sécurisés, solutions de détection d’intrusion, sandbox, etc. Les informations partagées peuvent être par exemple une adresse IP, une URL malveillante ou un fichier infecté, que l’on veut bloquer à toutes les étapes de la chaîne de protection de l’entreprise pour se prémunir d’une menace ou de sa propagation.

Imaginons, par exemple, que la sandbox de votre relais de messagerie sécurisé détecte un malware camouflé dans un fichier anodin. Si le relais supporte STIX et TAXII, vous allez pouvoir le configurer pour que le hash du fichier soit transmis ou récupéré par d’autres équipements de sécurité (proxies, firewalls, sondes, etc.) susceptibles de rencontrer ce même fichier. Sachant que le fichier a été identifié comme malveillant par une source de confiance, les autres équipements de la chaîne pourront également le considérer comme malveillant et le bloquer de manière proactive sans avoir à l’analyser.

Autre cas d’usage : la détection d’une URL malicieuse. Là encore, la diffusion de l’URL dans l’ensemble de la chaîne de sécurité fera gagner du temps et apportera de l’exhaustivité aux autres équipements en matière d’analyse des menaces. Ce partage d’informations vous assurera qu’une menace détectée à un endroit de la chaîne de sécurité le sera partout dans votre écosystème de sécurité. Et ce, si tous les éléments implémentent STIX et TAXII.

Bien sûr, il est souvent possible de diffuser manuellement ces informations dans toute une chaine de sécurité. Mais STIX et TAXII présentent des opportunités réellement intéressantes dans l’automatisation des écosystèmes de sécurité et offrent un gain de temps et d’efficacité dans le partage des renseignements sur les cyber menaces. Les deux protocoles favorisent clairement une approche globalisée de la Threat Intelligence.

À ce jour, il existe déjà de nombreux produits utilisant les standards STIX et TAXII. En voici une liste indicative. Celle-ci n’étant pas exhaustive, il se peut que vous utilisiez des produits compatibles sans le savoir. Vérifiez bien cependant la version de STIX qui est supportée par vos outils. En effet, beaucoup de solutions disponibles sur le marché ne proposent encore qu’une compatibilité avec la version 1 (1.0 et 1.1) et pas encore avec la version 2, qui a pourtant été validée en 2017  ou 2.1 approuvée en janvier 2020. Il en est de même pour certaines sources d’informations comme celle-ci par exemple même si quelques menaces font déjà l’objet de rapports au format 2.1.

Du coup, cette discontinuité entre les deux versions freine aujourd’hui l’adoption de STIX & TAXII. En effet, au-delà du fait que le concept soit encore mal connu des entreprises, il faut s’assurer de la compatibilité de l’intégralité de l’architecture de sécurité pour bénéficier pleinement de l’apport du partage des indicateurs de compromission. Si l’on ajoute à cela le fait que la création de ces indicateurs demeure encore très manuelle, aujourd’hui, l’utilisation de STIX & TAXII demeure encore une affaire de spécialistes.

STIX et TAXII se développent c’est certain, même si, à l’heure actuelle, les produits qui supportent pleinement ces protocoles sont encore peu utilisés et la programmation des indicateurs de compromission est encore très manuelle. Ces derniers mois, de nombreux éditeurs les ajoutent à leur roadmap de développement et en font la promotion, ce qui devraient amener des clients à s’y intéresser.

On peut donc espérer que durant l’année, de plus en plus de nouvelles versions de produits de sécurité implémenteront ces standards et que les exemples d’usage se diffuseront progressivement au sein des services sécurité des entreprises ou de leurs prestataires. Plus que jamais, STIX & TAXII sont à surveiller de près !

Analyse réalisée grâce à la collaboration et l’expertise de Vincent Hinderer.