Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Sicurezza e collaboration. Come funziona il framework STIX?

pittogramma Zerouno

TechTarget Tech InDepth

Sicurezza e collaboration. Come funziona il framework STIX?

Si chiama STIX (Structured Threat Information eXpression) un framework intelligente che permette di migliorare la condivisione di tutte le informazioni relative alle minacce. Così la sicurezza riscopre il valore della collaboration

27 Ott 2017

di Laura Zanotti - Fonte TechTarget

STIX è un framework il cui acronimo significa Structured Threat Information eXpression; si tratta di un linguaggio strutturato di cyber threat intelligence (CTI). Come funziona? Il framework descrive le informazioni relative ai cyberattacchi, consentendo di condividere, archiviare e analizzare tutte le informazioni più strategiche per definire una strategia di sicurezza più intelligente e più proattiva.

La sicurezza nell’era della sharing economy

Condividere le informazioni sulle minacce sta diventando una pratica sempre più strategica e diffusa all’estero. All’inizio, l’utilizzo di una nuova intelligenza gestionale basata sullo scambio di informazioni relative alle minacce era un’attività che le aziende portavano avanti in maniera informale: gli esperti di sicurezza aziendale si scambiavano questo tipo di informazioni tramite blog, forum, mail ecc. Il problema è che gli attaccanti hanno iniziato a monitorare questo tipo di scambi e così le organizzazioni hanno iniziato a capire l’importanza e il valore di uno scambio di informazioni ai tempi ancora molto destrutturato.

Il cambio di guardia è stato formalizzare questo genere di condivisioni per migliorare la sicurezza, introducendo un modello più strutturato. Ed è nato STIX (Structured Threat Information eXpression).

Il framework STIX per la cyber threat intelligence – Fonte: TechTarget

STIX: quali sono le 9 chiavi del framework

Quali sono le caratteristiche di STIX che negli ultimi due anni si sta affermando come framework di riferimento importante per la sicurezza?

Gli esperti evidenziano i 9 passaggi chiave del framework (figura 1):

  1. Observables: si tratta di una fase che descrive ciò che è stato visto o potrebbe essere visto come un’anomalia cyber;
  2. Indicators: è la fase in cui sono descritti i modelli che corrispondono a ciò che è stato rilevato e interpretato come attacco malevolo;
  3. Incidents: è la fase che descrive meglio le istanze relative ad attacchi specifici;
  4. Adversay Tatics, Techniques and Procedures: in questa fase sono raccolte tutte le informazioni relative alle tattiche, alle tecniche e alle procedure degli attaccanti, Sono descritti gli schemi d’attacco, i malware, gli exploit, le kill chain, gli strumenti, le infrastrutture e sono profilati i target delle vittime oltre a tutti i metodi utilizzati dall’attaccante;
  5. Exploit Targets: in questa fase sono descritte tutte le vulnerabilità, le debolezze o le configurazioni che potrebbero essere sfruttate dal cybercrime;
  6. Courses of Action: questa è la fase in cui sono illustrate tutte le azioni che possono essere intraprese per rispondere ad un attacco o, nel caso, come misura preventiva;
  7. Campaigns: le campagne descrivono set di incidenti e / o TTP mirate alla condivisione;
  8. Threat Actor: in questa fase viene raccontato il processo di identificazione e di caratterizzazione dell’attaccante;
  9. Reports: grazie a strumenti di tracciabilità integrati, i rapporti permettono di raccogliere i contenuti dello STIX, abilitando la condivisione delle informazioni.

Come e perché STIX sta diventando un fondamentale dei programmi di sicurezza

Migliorando l’intelligenza gestionale che porta a una maggiore comprensione delle minacce, STIX permette di normalizzare, formalizzare e strutturare i dati, rendendo così più facile condividere informazioni fondamentali per stabilire le necessarie contromisure a un attacco. Anche gli strumenti interni, come ad esempio firewall, informazioni sulla sicurezza, sistemi di gestione degli eventi nonché sistemi di rilevamento delle intrusioni, possono utilizzare STIX per lo scambio di dati e assicurare che i vari aggiornamenti entrino a far parte del framework.

Oggi, per altro, il framework è stato ulteriormente potenziato: sono stati introdotti ulteriori strumenti relativi a nuovi casi di utilizzo più recenti che introducono nuovi scenari in cui le aziende possono utilizzare il framework per la gestione delle minacce, nonché un nuovo strumento di visualizzazione integrato da ulteriori modelli di analisi. L’architettura aggiornata contiene miglioramenti che consentono anche di integrare STIX in altri strumenti e sistemi.

Chi usa STIX?

Molte regole di sistema di rilevamento delle intrusioni di Snort (software open source per l’analisi dei pacchetti all’interno di una rete) sono state condivise come punto di partenza dello scambio di informazioni relativo alle minacce. Gli Information Sharing and Analysis Center (ISAC – Centri di condivisione e analisi di informazioni) che oggi supportano diverse industry come, ad esempio, banche e assicurazioni ma anche la sicurezza marittima, utilizzano lo STIX per migliorare i livelli di protezione e di prevenzione.

Oggi esiste anche una vera e propria community che utilizza STIX ed è l’OASIS Cyber Threat Intelligence (CTI) Technical Committee (TC). Anche i provider come RSA Security o ThreatConnect usano il framework di sicurezza STIX per i loro rispettivi servizi di analisi delle minacce e di analisi della sicurezza. Il Dipartimento per la Sicurezza Nazionale USA utilizza STIX a supporto di un servizio gratuito, chiamato AIS (Automated Indicator Sharing), incentrato appunto sulla condivisione delle informazioni.

Z

Laura Zanotti - Fonte TechTarget

Giornalista

Ha iniziato a lavorare come technical writer e giornalista negli anni '80, collaborando con tutte le nascenti riviste di informatica e Telco. In oltre 30 anni di attività ha intervistato centinaia di Cio, Ceo e manager, raccontando le innovazioni, i problemi e le strategie vincenti delle imprese nazionali e multinazionali alle prese con la progressiva convergenza tra mondo analogico e digitale. E ancora oggi continua a farlo...

Argomenti trattati

Approfondimenti

Tech InDepth
Sicurezza e collaboration. Come funziona il framework STIX?

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 3