Phishing et gestion des emails, nos conseils.
26 mars 2021
STIX & TAXII : au cœur de la Threat Intelligence
On entend de plus en plus parler de STIX & TAXII dans le discours des éditeurs de sécurité. Mais que désignent ces deux sigles? Explications.
STIX & TAXII : focus sur les deux standards
STIX (Structured Threat Information Expression) & TAXII (Trusted Automated eXchange of Indicator Information), et auparavant CybOX (Cyber Observable eXpression), ont été développés dès 2012 aux États-Unis par le CERT-US (United States Computer Emergency Readiness Team) du Department of Homeland Security puis repris par les organisations MITRE et OASIS.
STIX est un langage normalisé et structuré pour représenter les informations sur les cyber menaces, et en particulier des indicateurs de compromission (IOC), souvent obtenus grâce à la fameuse Cyber Threat Intelligence (CTI).
De son côté, TAXII est un protocole conçu pour favoriser l’échange des informations de type CTI, formatées en STIX.
Leur objectif ? Permettre aux équipes de sécurité des entreprises d’être informées des attaques qu’elles sont les plus susceptibles de subir afin de les anticiper et d’y répondre le plus rapidement et le plus efficacement possible.
Validée en 2017, la version 2 de STIX & TAXII intègre dorénavant CybOX (Cyber Observable eXpression), qui était auparavant un standard séparé, et marque l’abandon progressif du XML au profit de JSON (JavaScript Object Notation). La version 2.1 de STIX & TAXII a été récemment validée et apporte des améliorations à la version précédente.
STIX plus en détails
STIX permet aux organisations de partager entre elles les renseignements de sécurité de manière cohérente et dans un format directement interprétable par des machines.
Vulnérabilités, campagnes, indicateurs, kit d’intrusion, schéma d’attaque, malware… STIX définit 12 objets – les « STIX Domain Objects (ou SDOs) ». Chaque objet catégorise un élément d’information ainsi que des attributs spécifiques. La combinaison d’objets multiples par le biais d’un système de relations permet des représentations simples ou complexes de CTI.
STIX définit également 2 objets relationnels ou SROs (STIX Relationship Objects) :
- L’observation : qui indique qu’un élément de Cyber Threat Analysis (CTA) a été détecté (par exemple un indicateur de compromission ou logiciel malveillant),
- La relation : qui décrit comment deux objets ou SDOs sont reliés les uns aux autres.
Dans le schéma ci-dessous, l’observation d’un indicateur a permis de détecter une campagne cherchant à exploiter une vulnérabilité connue pour le compte d’un attaquant connu.
Il existe bien entendu des modélisations bien plus complexes.
TAXII, un nouveau mode de transport
Au sein d’une API Restful, TAXII définit deux services principaux permettant le partage des informations sur les cybermenaces (CTI) au-delà des frontières d’une organisation, d’une gamme de produits ou de services.
Les deux services sont les suivants :
- Collection : le serveur TAXII d’un producteur de CTI héberge une interface et un référentiel d’objets CTI accessibles aux consommateurs du service. Les clients et les serveurs TAXII échangent des informations dans un modèle « demande – réponse ».
- Channels : Maintenu par un serveur TAXII, un canal (« channel ») permet aux producteurs de données CTI de les transmettre à de nombreux consommateurs. Ce canal offre également aux consommateurs la possibilité de recevoir des données de nombreux producteurs. Les clients de TAXII peuvent ainsi échanger des informations avec d’autres clients de TAXII dans un modèle type « publication – abonnement ».
Les deux services sont représentés ci-dessous.
TAXII permet donc avant tout aux organisations de partager des informations sélectionnées en interne ou avec les partenaires qu’elles choisissent via un mécanisme de transport reconnu. TAXII ne définit pas les accords de confiance, la gouvernance ou d’autres aspects non techniques de la collaboration.
