zurück zur Übersicht

STIX – mit TAXII zum Threat Intelligence Austausch

stix_bDerzeit herrscht ein großer Konsens in der Branche, dass „Threat Intelligence“ in Form von Feeds ein wesentlicher Bestandteil einer jeden IT Sicherheitslandschaft ist. Diese Feeds sind allerdings nur dann sinnvoll und effektiv wenn sie regelmäßig aktualisiert werden. Um eine Möglichkeit zum freien Austausch dieser Informationen zu etablieren wird ein entsprechender Standard dringend notwendig.
Bereits im Jahr 2012 initiierte das „U.S. Department of Homeland Security” (DHS) in Zusammenarbeit mit der MITRE Corporation (bekannt für das Vulnerability Verzeichnis CVE – Common Vulnerabilities and Exposures) die Open Source Projekte STIX (Structured Threat Information eXpression) und TAXII (Trusted Automated eXchange of Indicator Information). STIX und TAXII sind die ersten Projekte ihrer Art, die auch von den Parteien mitentwickelt wurden die selbst am gegenseitigen Austausch dieser Informationen interessiert sind. Als Open Source Projekt sind STIX und TAXII damit auf dem besten Weg DER Standard für Cyber Threat Intelligence Austausch zu werden. STIX umfasst weit mehr als nur eine IP Adressen Blacklist. Die Grundinformationen für jeden Threat sind IP Adressen und File-Hashes. Darauf aufbauend gibt es zahlreiche Kontextinformationen in Form von Taktik, Technik und Verfahren, potentiellen Zielgruppen, bekannte Vorfälle sowie Handlungsabläufe. Es sollen neben reiner Information über mögliche Angriffe auch die Motivation, Möglichkeiten und Aktivitäten der Verursacher beschrieben werden um eine erweiterte Mitigation zu ermöglichen.

TAXII ist der gleichzeitig entwickelte Verteilmechanismus für STIX  Datensätze. Dieser unterstützt das schnelle, vertrauenswürdige und automatisierte Verteilen und Abonnieren von STIX Datensätzen. Dabei ist TAXII nicht an ein spezielles Protokoll gebunden, sondern kann modular erweitert werden.

Zahlreiche Hersteller in der Security Branche haben bereits eine Schnittstelle für STIX und TAXII in ihre Produkte integriert. Die Projekte STIX und TAXII laufen mittlerweile weitestgehend stabil und wurden von der MITRE Corporation an das Nonprofit Konsortium OASIS übergeben, welches eine treibende Kraft hinter offenen Standards in der IT Branche ist. Produkte von Tanium, Splunk, Palo Alto Networks und HP ArcSight haben bereits integrierte Schnittstellen zu STIX/TAXII. iT-CUBE Systems bietet Ihnen umfangreiche professionelle Beratung und Unterstützung zu Produkten dieser Hersteller. Security Intelligence schützt nur dann effektiv, wenn diese Informationen auch in funktionierende Prozesse integriert sind. Wir helfen Ihnen, dies bei Ihnen einzuführen. Mehr Informationen dazu finden Sie unter https://www.it-cube.net/de/it-security-portfolio/security-intelligence/.


Links:

https://www.oasis-open.org/news/pr/oasis-advances-automated-cyber-threat-intelligence-sharing-with-stix-taxii-cybox
http://makingsecuritymeasurable.mitre.org/docs/stix-intro-handout.pdf
http://makingsecuritymeasurable.mitre.org/docs/taxii-intro-handout.pdf

Bild: ©iT-CUBE SYSTEMS AG 2015

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer