أصبح الفضاء الإلكتروني الحديث، بسيناريوهات الهجوم المتزايدة التعقيد وطريقة العمل المعقدة، أكثر صعوبة في الدفاع عنه وتأمينه. ونظرًا للتعقيدات المتطورة لمشهد التهديدات، والسرعة التي تحدث بها الأحداث، والكميات الهائلة من البيانات المعنية، فإن الحاجة الحالية هي نظام يمكن قراءته آليًا ويمكن تشغيله آليًا بسهولة لمشاركة بيانات استخبارات التهديدات الإلكترونية (CTI).

هذا هو المكان الذي تظهر فيه STIX و TAXII في الصورة.

STIX عبارة عن تمثيل منظم لمعلومات التهديد التي تتسم بالتعبير والمرونة والقابلية للتوسعة والتشغيل الآلي والقراءة. إن استخدام خلاصات STIX مع TAXII يمكّن المؤسسات من تبادل معلومات التهديدات الإلكترونية بطريقة أكثر تنظيمًا وتوحيدًا، مما يسمح بتعاون أعمق ضد التهديدات.

في هذه المقالة، سوف نستكشف أساسيات STIX و TAXII وبعض تطبيقاتهما في مجال الأمن السيبراني.

ما هي STIX؟

STIX، وفقًا لدليل الواحة، هو «التعبير المنظم لمعلومات التهديد (STIX™) هو لغة وتنسيق تسلسلي يستخدم لتبادل معلومات التهديدات الإلكترونية (CTI)».

إنه ليس سوى معيار يحدده المجتمع لمشاركة معلومات التهديدات عبر المنظمات المختلفة. باستخدام STIX، يمكن تمثيل جميع جوانب التهديد المحتمل مثل الشك والتسوية وإسناد الهجوم بوضوح مع الأشياء والعلاقات الوصفية. STIX سهل القراءة والاستهلاك لأنه بصيغة JSON ويمكن أيضًا دمجه مع منصات إنتل الشائعة الأخرى مثل QRADAR و ThreatConnect وما إلى ذلك.

تطبيقات STIX

(UC1) تحليل التهديدات السيبرانية

يقوم محلل الأمن بتحليل مجموعة متنوعة من التهديدات الإلكترونية من مصادر مختلفة كل يوم. من المهم خلالها تحليل العوامل المختلفة للتهديد مثل السلوك وأنماط التشغيل والقدرات والجهات الفاعلة في التهديد وما إلى ذلك، تسهل كائنات STIX تمثيل جميع البيانات المطلوبة للتحليل بسهولة.

(UC2) تحديد أنماط المؤشرات للتهديدات السيبرانية

غالبًا ما يبحث المحلل عن أنماط الهجوم الإلكتروني أو موجز التهديدات. يتضمن ذلك تقييم خصائص التهديد ومجموعة الملاحظات ذات الصلة (مؤشرات التسوية (IOCs) والمرفقات والملفات وعناوين IP وما إلى ذلك) ومسار العمل المقترح. يمكن أيضًا تمثيل هذه البيانات جيدًا من خلال تعيين كائنات STIX المطلوبة للتهديد.

(UC3) إدارة أنشطة الاستجابة للتهديدات السيبرانية

يعد علاج الهجوم السيبراني أو منعه أهم دور لمحترف الأمن. بعد تحليل بيانات التهديد، من المتوقع التخطيط لخطة عمل علاجية مناسبة لحماية الشخص من الهجمات المستقبلية. تمكن STIX المحللين من التخطيط للإجراءات العلاجية.

ما هي تاكسي؟

TAXII، وفقًا لدليل الواحة، هو «التبادل الآلي الموثوق للمعلومات الاستخبارية (TAXII™) وهو بروتوكول تطبيقي لتبادل CTI عبر HTTPS.»

TAXII هو معيار يحدد مجموعة من البروتوكولات للعميل والخوادم لتبادل CTI جنبًا إلى جنب مع RESTful API (مجموعة من الخدمات وتبادل الرسائل).

تحدد TAXII خدمتين أساسيتين لدعم مجموعة متنوعة من نماذج المشاركة الشائعة

مجموعة: مستودع للكائنات يوفره الخادم حيث يتبادل عملاء وخوادم TAXII المعلومات في نموذج استجابة الطلب.

قناة: عندما يكون هناك أكثر من منتج واحد، ويقوم جميع المنتجين بتغذية الأشياء على القنوات التي يستهلكها عملاء TAXII بعد ذلك، يتبادل عملاء TAXII المعلومات ضمن نموذج النشر والاشتراك.

The TAXII 2.1 specification reserves the keywords required for Channels but does not specify Channel services. Channels and their services will be defined in a later version of TAXII.

ملاحظة: تحتفظ مواصفات TAXII 2.1 بالكلمات الرئيسية المطلوبة للقنوات ولكنها لا تحدد خدمات القناة. سيتم تحديد القنوات وخدماتها في إصدار لاحق من TAXII.

تم تصميم TAXII خصيصًا لدعم تبادل CTI الممثلة في STIX، ودعم تبادل محتوى STIX 2.1. من المهم ملاحظة أن STIX و TAXII هما معياران مستقلان ويمكن استخدام TAXII لنقل البيانات غير STIX.

النماذج الثلاثة الرئيسية لـ TAXII

1. Hub and Spoke - مستودع واحد للمعلومات

Hub and spoke – one repository of information
2. المصدر/المشترك - مصدر واحد للمعلومات

Source/subscriber – one single source of information

3. نظير إلى نظير - تشارك مجموعات متعددة المعلومات

Peer-to-peer – multiple groups share information القادمة...

في الجزء الثاني، سوف نتعمق في بنية STIX وتنفيذها واستخدامها، ونقوم بتحليلها للحصول على فهم أعمق للإصدارات المختلفة من TAXII وتطبيقات العميل والخادم الخاصة بها.

المراجع: