CIBERSEGURIDAD

STIX, CybOX y TAXII

0 132 3 minutos de lectura


Un amigo mío dirige un pequeño bufete de abogados y fue víctima de un ataque de rescate. Decidió no pagar y tardó dos días en volver a poner en funcionamiento su servidor, y la mayor parte de una semana en recrear los documentos de los que no se había hecho una copia de seguridad. Le causó mucha preocupación y vergüenza con sus clientes, y le costó dinero pagar al personal a lo largo del tiempo.
No sabe con certeza cómo sucedió, sospecha de un ataque de phishing en una cuenta de usuario con acceso a nivel de sistema. No, no debería ser tan fácil para los piratas informáticos, pero desafortunadamente lo es, en millones de pequeñas empresas en todo el mundo. Le recomendé que comience una auditoría periódica para asegurarse de que no vuelva a suceder y le sugerí una herramienta que puede usar para facilitar la tarea.
Hace unas semanas tuve el privilegio de poder hacer un premio de la industria en la conferencia EIC 2016 en Munich. Me gustan los premios de la industria porque me ayudan a estar al tanto de los desarrollos en el sector de la seguridad de TI, algo que es invaluable para mi trabajo de consultoría. El premio a la mejor innovación lo ganó la iniciativa STIX, TAXII y CybOX.

  • STIX define una estructura para describir una amenaza. Permite definir una amenaza, un actor de amenaza, un tipo de incidente y un curso de acción, entre otros atributos. También se definen tácticas, técnicas y procedimientos (TTP).
  • TAXII define cómo se debe intercambiar la información sobre amenazas y los servidores disponibles públicamente que comparten información sobre amenazas y que ahora se están probando.
  • CybOX proporciona una estructura para medir e informar sobre eventos relacionados con la seguridad cibernética, como la generación de una clave de registro o la actividad en un puerto IP específico.

Juntos ofrecen mucha esperanza en la lucha contra la infestación de malware y potencialmente contra los ataques de phishing. La idea es que STIX define un formato estándar de una firma de malware y TAXII nos ayuda a comunicar notificaciones. Si las organizaciones, cuando identifican un ataque de malware, hacen que la información esté disponible públicamente en un formato utilizable, se podrían evitar otras víctimas, y si el ataque se pudiera asignar a un intento de phishing, el ataque podría detenerse en unos minutos, los servidores de correo podrían caer. los mensajes ahorran espacio de almacenamiento y un ancho de banda significativo.
Ahora, esto no tiene nada que ver con la confusión que sucedió en los EE. UU. El año pasado con respecto a la Ley de intercambio de información de seguridad cibernética (CISA), que se empantanó y se diluyó por las preocupaciones de que el gobierno estaba extendiendo la regulación de la divulgación y que las organizaciones se verían obligadas a realizar acciones potencialmente embarazosas. divulgación sobre ataques exitosos contra su infraestructura. CISA asume un rico entorno de intercambio con los participantes que eligen una metodología para el intercambio de documentos con respecto a los ataques y un marco de confianza que identifica explícitamente a las partes confiables. No existe una definición sobre cómo debe ocurrir el intercambio automatizado de datos y no hay una definición de los mecanismos de comunicación que permitan una respuesta automatizada o incluso rápida a las amenazas identificadas.
Por el contrario, STIX y TAXII proporcionan los medios mediante los cuales una organización puede hacer coincidir la actividad en sus redes con firmas de ataques conocidas y poner automáticamente en cuarentena las amenazas para detener la propagación de la amenaza. En el caso de que se identifique un ataque de malware, se generaría un registro STIX. Esto requiere que un administrador del sistema complete los elementos pertinentes en el registro y luego se enviará a un servidor TAXII para que esté disponible públicamente. Otras organizaciones que monitorean o se suscriben al servicio usarían el registro STIX para comparar la actividad en sus redes y evitar convertirse en víctimas.
La colaboración entre gobiernos, empresas y organizaciones es un requisito previo; Los CIO y CISO deben estar dispuestos a contribuir y a utilizar definiciones de amenazas. Pero no hay problemas de «divulgación» ni riesgo de vergüenza empresarial que impida la implementación de dicho modelo.
Como dijo una vez Benjamín Franklin, mucho antes del surgimiento de la generación del milenio, “Más vale prevenir que cuidar”. Trabajando juntos podemos acabar con esta actividad insidiosa y ahorrar millones de dólares.
Y mi amigo puede volver a la abogacía.

Graham Williamson es analista senior en KuppingerCole y cubre las áreas de identidad como servicio, control dinámico de autorización y privacidad. Ha sido consultor en el sector de Identity Management durante 15 años y es autor del libro “Identity Management: A Primer”. Graham tiene una licenciatura en Ciencias Aplicadas de la Universidad de Toronto y un MBA de la Universidad de Bond. Tiene experiencia práctica en la industria de control de acceso y administración de identidades, habiendo completado asignaciones en los sectores académico, gubernamental y de la industria corporativa grande en tres continentes.

Publicaciones relacionadas

Los investigadores descubren una nueva familia de malware

Los enjuiciamientos por piratería caen un año más a pesar de la amenaza del ciberdelito

Nozomi Networks se asocia con IBM para responder a la demanda de ciberseguridad integrada de TI / OT

Jonathan French sobre la violación de OPM

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar