zurück zur Übersicht

STIX – mit TAXII zum Threat Intelligence Austausch

stix_bDerzeit herrscht ein großer Konsens in der Branche, dass „Threat Intelligence“ in Form von Feeds ein wesentlicher Bestandteil einer jeden IT Sicherheitslandschaft ist. Diese Feeds sind allerdings nur dann sinnvoll und effektiv wenn sie regelmäßig aktualisiert werden. Um eine Möglichkeit zum freien Austausch dieser Informationen zu etablieren wird ein entsprechender Standard dringend notwendig.
Bereits im Jahr 2012 initiierte das „U.S. Department of Homeland Security” (DHS) in Zusammenarbeit mit der MITRE Corporation (bekannt für das Vulnerability Verzeichnis CVE – Common Vulnerabilities and Exposures) die Open Source Projekte STIX (Structured Threat Information eXpression) und TAXII (Trusted Automated eXchange of Indicator Information). STIX und TAXII sind die ersten Projekte ihrer Art, die auch von den Parteien mitentwickelt wurden die selbst am gegenseitigen Austausch dieser Informationen interessiert sind. Als Open Source Projekt sind STIX und TAXII damit auf dem besten Weg DER Standard für Cyber Threat Intelligence Austausch zu werden. STIX umfasst weit mehr als nur eine IP Adressen Blacklist. Die Grundinformationen für jeden Threat sind IP Adressen und File-Hashes. Darauf aufbauend gibt es zahlreiche Kontextinformationen in Form von Taktik, Technik und Verfahren, potentiellen Zielgruppen, bekannte Vorfälle sowie Handlungsabläufe. Es sollen neben reiner Information über mögliche Angriffe auch die Motivation, Möglichkeiten und Aktivitäten der Verursacher beschrieben werden um eine erweiterte Mitigation zu ermöglichen.

TAXII ist der gleichzeitig entwickelte Verteilmechanismus für STIX  Datensätze. Dieser unterstützt das schnelle, vertrauenswürdige und automatisierte Verteilen und Abonnieren von STIX Datensätzen. Dabei ist TAXII nicht an ein spezielles Protokoll gebunden, sondern kann modular erweitert werden.

Zahlreiche Hersteller in der Security Branche haben bereits eine Schnittstelle für STIX und TAXII in ihre Produkte integriert. Die Projekte STIX und TAXII laufen mittlerweile weitestgehend stabil und wurden von der MITRE Corporation an das Nonprofit Konsortium OASIS übergeben, welches eine treibende Kraft hinter offenen Standards in der IT Branche ist. Produkte von Tanium, Splunk, Palo Alto Networks und HP ArcSight haben bereits integrierte Schnittstellen zu STIX/TAXII. iT-CUBE Systems bietet Ihnen umfangreiche professionelle Beratung und Unterstützung zu Produkten dieser Hersteller. Security Intelligence schützt nur dann effektiv, wenn diese Informationen auch in funktionierende Prozesse integriert sind. Wir helfen Ihnen, dies bei Ihnen einzuführen. Mehr Informationen dazu finden Sie unter https://www.it-cube.net/de/it-security-portfolio/security-intelligence/.


Links:

https://www.oasis-open.org/news/pr/oasis-advances-automated-cyber-threat-intelligence-sharing-with-stix-taxii-cybox
http://makingsecuritymeasurable.mitre.org/docs/stix-intro-handout.pdf
http://makingsecuritymeasurable.mitre.org/docs/taxii-intro-handout.pdf

Bild: ©iT-CUBE SYSTEMS AG 2015

Schreibe einen Kommentar