STIX & TAXII : au cœur de la Threat Intelligence


On entend de plus en plus parler de STIX & TAXII dans le discours des éditeurs de sécurité. Mais que désignent ces deux sigles? Explications.

Partager l’article :

STIX & TAXII : focus sur les deux standards

STIX (Structured Threat Information Expression) & TAXII (Trusted Automated eXchange of Indicator Information), et auparavant CybOX (Cyber Observable eXpression), ont été développés dès 2012 aux États-Unis par le CERT-US (United States Computer Emergency Readiness Team) du Department of Homeland Security  puis repris par les organisations MITRE et OASIS.

STIX est un langage normalisé et structuré pour représenter les informations sur les cyber menaces, et en particulier des indicateurs de compromission (IOC), souvent obtenus grâce à la fameuse Cyber Threat Intelligence (CTI).

De son côté, TAXII est un protocole conçu pour favoriser l’échange des informations de type CTI, formatées en STIX.

Leur objectif ? Permettre aux équipes de sécurité des entreprises d’être informées des attaques qu’elles sont les plus susceptibles de subir afin de les anticiper et d’y répondre le plus rapidement et le plus efficacement possible.

Validée en 2017, la version 2 de STIX & TAXII intègre dorénavant CybOX (Cyber Observable eXpression), qui était auparavant un standard séparé, et marque l’abandon progressif du XML au profit de JSON (JavaScript Object Notation).

STIX plus en détails

STIX permet aux organisations de partager entre elles les renseignements de sécurité de manière cohérente et dans un format directement interprétable par des machines.

Vulnérabilités, campagnes, indicateurs, kit d’intrusion, schéma d’attaque, malware… STIX définit 12 objets – les « STIX Domain Objects (ou SDOs) ». Chaque objet catégorise un élément d’information ainsi que des attributs spécifiques. La combinaison d’objets multiples par le biais d’un système de relations permet des représentations simples ou complexes de CTI.

STIX définit également 2 objets relationnels ou SROs (STIX Relationship Objects) :

  • L’observation : qui indique qu’un élément de Cyber Threat Analysis (CTA) a été détecté (par exemple un indicateur de compromission ou logiciel malveillant),
  • La relation : qui décrit comment deux objets ou SDOs sont reliés les uns aux autres.

Dans le schéma ci-dessous, l’observation d’un indicateur a permis de détecter une campagne cherchant à exploiter une vulnérabilité connue pour le compte d’un attaquant connu.

modélisation stix & taxii | Orange Cyberdefense

Il existe bien entendu des modélisations bien plus complexes.

TAXII, un nouveau mode de transport

Au sein d’une API Restful, TAXII définit deux services principaux permettant le partage des informations sur les cybermenaces (CTI) au-delà des frontières d’une organisation, d’une gamme de produits ou de services. Les deux services sont les suivants :
  • Collection : le serveur TAXII d’un producteur de CTI héberge une interface et un référentiel d’objets CTI accessibles aux consommateurs du service. Les clients et les serveurs TAXII échangent des informations dans un modèle « demande – réponse ».
  • Channels : Maintenu par un serveur TAXII, un canal (« channel ») permet aux producteurs de données CTI de les transmettre à de nombreux consommateurs. Ce canal offre également aux consommateurs la possibilité de recevoir des données de nombreux producteurs. Les clients de TAXII peuvent ainsi échanger des informations avec d’autres clients de TAXII dans un modèle type « publication – abonnement ».
Les deux services sont représentés ci-dessous.
Schéma explicatif Stix & Taxii © Oasis

TAXII permet donc avant tout aux organisations de partager des informations sélectionnées en interne ou avec les partenaires qu’elles choisissent via un mécanisme de transport reconnu. TAXII ne définit pas les accords de confiance, la gouvernance ou d’autres aspects non techniques de la collaboration.

Nous verrons dans un prochain billet de blog des cas d’usage de STIX & TAXII.

Philippe Macia, Chef de Produit chez Orange Cyberdefense

A propos du blogueur

Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, Philipe Macia a rejoint les équipes d’Orange Cyberdefense en tant que chef de produit. Il est très attachée à l’expérience utilisateur et à la simplicité d’administration des solutions créées. Ses maîtres mots : partage du savoir, logique, pragmatisme et simplicité.

Conseil & Audit

Nos experts accompagnent les entreprises dans leur stratégie de cybersécurité