TECHTARGET

Sicurezza e collaboration. Come funziona il framework STIX?

Si chiama STIX (Structured Threat Information eXpression) un framework intelligente che permette di migliorare la condivisione di tutte le informazioni relative alle minacce. Così la sicurezza riscopre il valore della collaboration

Pubblicato il 27 Ott 2017

ramework STIX per la threat intelligence

STIX è un framework il cui acronimo significa Structured Threat Information eXpression; si tratta di un linguaggio strutturato di cyber threat intelligence (CTI). Come funziona? Il framework descrive le informazioni relative ai cyberattacchi, consentendo di condividere, archiviare e analizzare tutte le informazioni più strategiche per definire una strategia di sicurezza più intelligente e più proattiva.

La sicurezza nell’era della sharing economy

Condividere le informazioni sulle minacce sta diventando una pratica sempre più strategica e diffusa all’estero. All’inizio, l’utilizzo di una nuova intelligenza gestionale basata sullo scambio di informazioni relative alle minacce era un’attività che le aziende portavano avanti in maniera informale: gli esperti di sicurezza aziendale si scambiavano questo tipo di informazioni tramite blog, forum, mail ecc. Il problema è che gli attaccanti hanno iniziato a monitorare questo tipo di scambi e così le organizzazioni hanno iniziato a capire l’importanza e il valore di uno scambio di informazioni ai tempi ancora molto destrutturato.

Il cambio di guardia è stato formalizzare questo genere di condivisioni per migliorare la sicurezza, introducendo un modello più strutturato. Ed è nato STIX (Structured Threat Information eXpression).

Il framework STIX per la cyber threat intelligence – Fonte: TechTarget

STIX: quali sono le 9 chiavi del framework

Quali sono le caratteristiche di STIX che negli ultimi due anni si sta affermando come framework di riferimento importante per la sicurezza?

Gli esperti evidenziano i 9 passaggi chiave del framework (figura 1):

  1. Observables: si tratta di una fase che descrive ciò che è stato visto o potrebbe essere visto come un’anomalia cyber;
  2. Indicators: è la fase in cui sono descritti i modelli che corrispondono a ciò che è stato rilevato e interpretato come attacco malevolo;
  3. Incidents: è la fase che descrive meglio le istanze relative ad attacchi specifici;
  4. Adversay Tatics, Techniques and Procedures: in questa fase sono raccolte tutte le informazioni relative alle tattiche, alle tecniche e alle procedure degli attaccanti, Sono descritti gli schemi d’attacco, i malware, gli exploit, le kill chain, gli strumenti, le infrastrutture e sono profilati i target delle vittime oltre a tutti i metodi utilizzati dall’attaccante;
  5. Exploit Targets: in questa fase sono descritte tutte le vulnerabilità, le debolezze o le configurazioni che potrebbero essere sfruttate dal cybercrime;
  6. Courses of Action: questa è la fase in cui sono illustrate tutte le azioni che possono essere intraprese per rispondere ad un attacco o, nel caso, come misura preventiva;
  7. Campaigns: le campagne descrivono set di incidenti e / o TTP mirate alla condivisione;
  8. Threat Actor: in questa fase viene raccontato il processo di identificazione e di caratterizzazione dell’attaccante;
  9. Reports: grazie a strumenti di tracciabilità integrati, i rapporti permettono di raccogliere i contenuti dello STIX, abilitando la condivisione delle informazioni.

Come e perché STIX sta diventando un fondamentale dei programmi di sicurezza

Migliorando l’intelligenza gestionale che porta a una maggiore comprensione delle minacce, STIX permette di normalizzare, formalizzare e strutturare i dati, rendendo così più facile condividere informazioni fondamentali per stabilire le necessarie contromisure a un attacco. Anche gli strumenti interni, come ad esempio firewall, informazioni sulla sicurezza, sistemi di gestione degli eventi nonché sistemi di rilevamento delle intrusioni, possono utilizzare STIX per lo scambio di dati e assicurare che i vari aggiornamenti entrino a far parte del framework.

Oggi, per altro, il framework è stato ulteriormente potenziato: sono stati introdotti ulteriori strumenti relativi a nuovi casi di utilizzo più recenti che introducono nuovi scenari in cui le aziende possono utilizzare il framework per la gestione delle minacce, nonché un nuovo strumento di visualizzazione integrato da ulteriori modelli di analisi. L’architettura aggiornata contiene miglioramenti che consentono anche di integrare STIX in altri strumenti e sistemi.

Chi usa STIX?

Molte regole di sistema di rilevamento delle intrusioni di Snort (software open source per l’analisi dei pacchetti all’interno di una rete) sono state condivise come punto di partenza dello scambio di informazioni relativo alle minacce. Gli Information Sharing and Analysis Center (ISAC – Centri di condivisione e analisi di informazioni) che oggi supportano diverse industry come, ad esempio, banche e assicurazioni ma anche la sicurezza marittima, utilizzano lo STIX per migliorare i livelli di protezione e di prevenzione.

Oggi esiste anche una vera e propria community che utilizza STIX ed è l’OASIS Cyber Threat Intelligence (CTI) Technical Committee (TC). Anche i provider come RSA Security o ThreatConnect usano il framework di sicurezza STIX per i loro rispettivi servizi di analisi delle minacce e di analisi della sicurezza. Il Dipartimento per la Sicurezza Nazionale USA utilizza STIX a supporto di un servizio gratuito, chiamato AIS (Automated Indicator Sharing), incentrato appunto sulla condivisione delle informazioni.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 3