Logo PG Software
lundi, 26 février 2018 15:27

Parlons de STIX, TAXII et de threat intelligence

Évaluer cet élément
(0 Votes)

STIX et TAXII : Les outils pour détecter les intrusions dans votre réseauEn termes de collaboration,Structured Threat Information eXpression (STIX) et Trusted Automated eXchange of Indicator Information (TAXII) représentent une révolution dans l'industrie de la sécurité.

Ces protocoles ont transformé le domaine du renseignement sur les menaces, qui est passé d'une collecte fragmentée d'informations à une norme unifiée pour le partage de l'information. Dans ce blogue, nous allons examiner cette transition et comment elle s'est produite.

Gartner définit la 'Threat Intelligence' comme "une connaissance fondée sur des données probantes, y compris le contexte, les mécanismes, les indicateurs, les implications et les conseils pratiques, d'une menace ou d'un danger existant ou naissant pour des biens qui peuvent être utilisés pour éclairer les décisions concernant la réponse du sujet à cette menace ou à ce danger". En bref, la 'Threat Intelligence' regroupe toutes les informations connues sur les menaces que l'on a déjà rencontrées pour aider les organisations à identifier et à répondre à des menaces similaires dans le futur.

 

Le bon vieux temps du renseignement de menace

Comme tout jeu du chat et de la souris, l'industrie de la sécurité a poursuivi les cyber-menaces depuis aussi longtemps que de nombreux professionnels de l'informatique peuvent s'en souvenir. Plus les cyberattaques sont devenues sophistiquées et organisées, plus les fournisseurs de services de sécurité se sont démenés pour créer des solutions complètes. Ces solutions de sécurité ont fini par répondre à toutes les exigences en matière de détection et d'atténuation des attaques et pouvaient produire tous les composants de la 'Threat Intelligence'. Malheureusement, ces composantes étaient très désordonnées en raison des multiples formats et protocoles de partage.

Réfléchissez à cela en termes d'attaque de rançongiciels. Les entreprises utilisent rarement une seule solution de sécurité pour traiter les rançongiciels. Beaucoup ont besoin d'outils distincts pour identifier les activités de rançongiciels en premier lieu, enregistrer des informations sur les fichiers malveillants et répondre à la menace. Maintenant, imaginez si tous ces outils ne pouvaient pas partager des informations de menaces entre eux.

Et bien, cela était un gros problème dans le passé, chaque outil utilisait ses propres formats, et les administrateurs avaient besoin de protocoles de communication personnalisés pour partager l'information entre les solutions de sécurité. Comme vous pouvez l'imaginer, la consolidation des informations sur les menaces provenant de toutes ces sources prennait beaucoup de temps. Et avec les cyberattaques modernes qui exigent une réactivé immédiate, sans informations temps réel sur les menances, cela n'était plus suffisant.

La révolution STIX et TAXII

En réponse à ces problèmes, MITRE Corporation et le ministère de la Sécurité intérieure ont élaboré conjointement STIX et TAXII, des protocoles communautaires de partage d'information qui comprennent des détails sur ce qui se passe dans le milieu de la cybersécurité et sur la façon dont les organisations peuvent protéger leur réseau et analyser les menaces.

L'élaboration d'un langage commun dépassant les frontières des produits et des organisations a ouvert la porte à de multiples sources pour mettre à jour en collaboration l'information sur une seule menace, donnant ainsi aux organisations des renseignements plus complets sur les menaces. Ensemble, STIX et TAXII ont rendu le partage des données de menaces plus aisé et instantané, permettant ainsi aux entreprises de détecter rapidement et efficacement les incidents et d' y réagir.

Les flux de menaces basés sur STIX et TAXII fournissent des informations à jour et fiables sur les menaces. C'est pourquoi de nombreux fournisseurs ont intégré ces protocoles dans leurs solutions de sécurité. En fait, notre propre solution de gestion des logs, EventLog Analyzer, intègre un processeur de flux STIX/TAXII , qui utilise les dernières informations de menace pour surveiller les logs réseau afin de détecter les menaces. Vous pouvez en apprendre plus à ce sujet avec ce document technique gratuit.

Niyathi Bhat, Marketing Analyst - ManageEngine 

 

 

Lu 2570 fois

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.