STIX et TAXII : vers une véritable révolution de la sécurité ?


En quoi les protocoles STIX et TAXII peuvent-ils jouer un rôle dans l’automatisation des écosystèmes de
sécurité ? Décryptage de Philippe Macia, chef de produit chez Orange Cyberdefense.

Partager l’article :

Selon le cabinet Gartner, l’automatisation serait la nouvelle frontière des technologies de l’information (IT). Et nous le savons, ce qui vaut pour l’IT vaut également pour la sécurité des SI ou « IT Security ». Mais comment automatiser des écosystèmes de sécurité très hétérogènes, composés de briques multiples ? Quels seraient les apports de STIX et TAXII en matière de sécurité des entreprises ? Mais aussi leurs limites ?

STIX & TAXII : comment et où les utiliser ?

Quels sont les cas d’usage de STIX et TAXII ? Parmi les plus souvent cités, on trouve le partage d’informations entre différentes solutions de type firewalls, proxies, relais SMTP sécurisés, solutions de détection d’intrusion, sandbox, etc. Les informations partagées peuvent être par exemple une adresse IP, une URL malveillante ou un fichier infecté, que l’on veut bloquer à toutes les étapes de la chaîne de protection de l’entreprise pour se prémunir d’une menace ou de sa propagation.

Imaginons, par exemple, que la sandbox de votre relais de messagerie sécurisé détecte un malware camouflé dans un fichier anodin. Si le relais supporte STIX et TAXII, vous allez pouvoir le configurer pour que le hash du fichier soit transmis ou récupéré par d’autres équipements de sécurité (proxies, firewalls, sondes, etc.) susceptibles de rencontrer ce même fichier. Sachant que le fichier a été identifié comme malveillant par une source de confiance, les autres équipements de la chaîne pourront également le considérer comme malveillant et le bloquer de manière proactive sans avoir à l’analyser.

Autre cas d’usage : la détection d’une URL malicieuse. Là encore, la diffusion de l’URL dans l’ensemble de la chaîne de sécurité fera gagner du temps et apportera de l’exhaustivité aux autres équipements en matière d’analyse des menaces. Ce partage d’informations vous assurera qu’une menace détectée à un endroit de la chaîne de sécurité le sera partout dans votre écosystème de sécurité. Et ce, si tous les éléments implémentent STIX et TAXII.  

Bien sûr, il est souvent possible de diffuser manuellement ces informations dans toute une chaine de sécurité. Mais STIX et TAXII présentent des opportunités réellement intéressantes dans l’automatisation des écosystèmes de sécurité et offrent un gain de temps et d’efficacité dans le partage des renseignements sur les cyber menaces. Les deux protocoles favorisent clairement une approche globalisée de la Threat Intelligence.

STIX et TAXII : les limites des protocoles

À ce jour, il existe déjà de nombreux produits utilisant les standards STIX et TAXII. En voici une liste indicative. Celle-ci n’étant pas exhaustive, il se peut que vous utilisiez des produits compatibles sans le savoir. Vérifiez bien cependant la version de STIX qui est supportée par vos outils. En effet, beaucoup de solutions disponibles sur le marché ne proposent encore qu’une compatibilité avec la version 1 (1.0 et 1.1) et pas encore avec la version 2, qui a pourtant été validée en 2017. Il en est de même pour certaines sources d’informations comme celle-ci par exemple.

Du coup, cette discontinuité entre les deux versions freine aujourd’hui l’adoption de STIX & TAXII. En effet, au-delà du fait que le concept soit encore mal connu des entreprises, il faut s’assurer de la compatibilité de l’intégralité de l’architecture de sécurité pour bénéficier pleinement de l’apport du partage des indicateurs de compromission. Si l’on ajoute à cela le fait que la création de ces indicateurs demeure encore très manuelle, aujourd’hui, l’utilisation de STIX & TAXII demeure encore une affaire de spécialistes.

STIX et TAXII : des protocoles à surveiller de près

STIX et TAXII se développent c’est certain, même si, à l’heure actuelle, les produits qui supportent pleinement ces protocoles sont encore peu utilisés et la programmation des indicateurs de compromission est encore très manuelle. Ces derniers mois, de nombreux éditeurs les ajoutent à leur roadmap de développement et en font la promotion, ce qui devraient amener des clients à s’y intéresser.

On peut donc espérer que durant l’année, de plus en plus de nouvelles versions de produits de sécurité implémenteront ces standards et que les exemples d’usage se diffuseront progressivement au sein des services sécurité des entreprises ou de leurs prestataires. Plus que jamais, STIX & TAXII sont à surveiller de près !

Analyse réalisée grâce à la collaboration et l’expertise de Vincent Hinderer.

A propos du blogueur

Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, Philipe Macia a rejoint les équipes d’Orange Cyberdefense en tant que chef de produit. Il est très attachée à l’expérience utilisateur et à la simplicité d’administration des solutions créées. Ses maîtres mots : partage du savoir, logique, pragmatisme et simplicité.

Philippe Macia, Chef de Produit chez Orange Cyberdefense