STIX è un framework il cui acronimo significa Structured Threat Information eXpression; si tratta di un linguaggio strutturato di cyber threat intelligence (CTI). Come funziona? Il framework descrive le informazioni relative ai cyberattacchi, consentendo di condividere, archiviare e analizzare tutte le informazioni più strategiche per definire una strategia di sicurezza più intelligente e più proattiva.
La sicurezza nell’era della sharing economy
Condividere le informazioni sulle minacce sta diventando una pratica sempre più strategica e diffusa all’estero. All’inizio, l’utilizzo di una nuova intelligenza gestionale basata sullo scambio di informazioni relative alle minacce era un’attività che le aziende portavano avanti in maniera informale: gli esperti di sicurezza aziendale si scambiavano questo tipo di informazioni tramite blog, forum, mail ecc. Il problema è che gli attaccanti hanno iniziato a monitorare questo tipo di scambi e così le organizzazioni hanno iniziato a capire l’importanza e il valore di uno scambio di informazioni ai tempi ancora molto destrutturato.
Il cambio di guardia è stato formalizzare questo genere di condivisioni per migliorare la sicurezza, introducendo un modello più strutturato. Ed è nato STIX (Structured Threat Information eXpression).
STIX: quali sono le 9 chiavi del framework
Quali sono le caratteristiche di STIX che negli ultimi due anni si sta affermando come framework di riferimento importante per la sicurezza?
Gli esperti evidenziano i 9 passaggi chiave del framework (figura 1):
- Observables: si tratta di una fase che descrive ciò che è stato visto o potrebbe essere visto come un’anomalia cyber;
- Indicators: è la fase in cui sono descritti i modelli che corrispondono a ciò che è stato rilevato e interpretato come attacco malevolo;
- Incidents: è la fase che descrive meglio le istanze relative ad attacchi specifici;
- Adversay Tatics, Techniques and Procedures: in questa fase sono raccolte tutte le informazioni relative alle tattiche, alle tecniche e alle procedure degli attaccanti, Sono descritti gli schemi d’attacco, i malware, gli exploit, le kill chain, gli strumenti, le infrastrutture e sono profilati i target delle vittime oltre a tutti i metodi utilizzati dall’attaccante;
- Exploit Targets: in questa fase sono descritte tutte le vulnerabilità, le debolezze o le configurazioni che potrebbero essere sfruttate dal cybercrime;
- Courses of Action: questa è la fase in cui sono illustrate tutte le azioni che possono essere intraprese per rispondere ad un attacco o, nel caso, come misura preventiva;
- Campaigns: le campagne descrivono set di incidenti e / o TTP mirate alla condivisione;
- Threat Actor: in questa fase viene raccontato il processo di identificazione e di caratterizzazione dell’attaccante;
- Reports: grazie a strumenti di tracciabilità integrati, i rapporti permettono di raccogliere i contenuti dello STIX, abilitando la condivisione delle informazioni.
Come e perché STIX sta diventando un fondamentale dei programmi di sicurezza
Migliorando l’intelligenza gestionale che porta a una maggiore comprensione delle minacce, STIX permette di normalizzare, formalizzare e strutturare i dati, rendendo così più facile condividere informazioni fondamentali per stabilire le necessarie contromisure a un attacco. Anche gli strumenti interni, come ad esempio firewall, informazioni sulla sicurezza, sistemi di gestione degli eventi nonché sistemi di rilevamento delle intrusioni, possono utilizzare STIX per lo scambio di dati e assicurare che i vari aggiornamenti entrino a far parte del framework.
Oggi, per altro, il framework è stato ulteriormente potenziato: sono stati introdotti ulteriori strumenti relativi a nuovi casi di utilizzo più recenti che introducono nuovi scenari in cui le aziende possono utilizzare il framework per la gestione delle minacce, nonché un nuovo strumento di visualizzazione integrato da ulteriori modelli di analisi. L’architettura aggiornata contiene miglioramenti che consentono anche di integrare STIX in altri strumenti e sistemi.
Chi usa STIX?
Molte regole di sistema di rilevamento delle intrusioni di Snort (software open source per l’analisi dei pacchetti all’interno di una rete) sono state condivise come punto di partenza dello scambio di informazioni relativo alle minacce. Gli Information Sharing and Analysis Center (ISAC – Centri di condivisione e analisi di informazioni) che oggi supportano diverse industry come, ad esempio, banche e assicurazioni ma anche la sicurezza marittima, utilizzano lo STIX per migliorare i livelli di protezione e di prevenzione.
Oggi esiste anche una vera e propria community che utilizza STIX ed è l’OASIS Cyber Threat Intelligence (CTI) Technical Committee (TC). Anche i provider come RSA Security o ThreatConnect usano il framework di sicurezza STIX per i loro rispettivi servizi di analisi delle minacce e di analisi della sicurezza. Il Dipartimento per la Sicurezza Nazionale USA utilizza STIX a supporto di un servizio gratuito, chiamato AIS (Automated Indicator Sharing), incentrato appunto sulla condivisione delle informazioni.
