Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


23.09.2021

5 edycja konferencji Test...

21 października startuje kolejna, piąta już edycja największej w Polsce konferencji...
23.09.2021

Zero Trust Firewall

FortiGate 3500F
23.09.2021

Ochrona IoT

Kaspersky SHS
23.09.2021

Wydatki lobbingowe

Cyfrowy monopol
23.09.2021

Współdziałanie klastrów

SUSE Rancher 2.6
23.09.2021

Panasonic TOUGHBOOK 55

Najnowsza wersja wszechstronnego Panasonic TOUGHBOOK 55 to wytrzymały notebook typu...
23.09.2021

Elastyczna dystrybucja...

Liebert RXA i MBX
23.09.2021

Zdalny podgląd w 360°

D-Link DCS-8635LH
23.09.2021

Sejf na dane

Szyfrowany pendrive

TAXII – wymiana informacji o cyberzagrożeniach

Data publikacji: 26-08-2021 Autor: Piotr Michałkiewicz

Wiele organizacji samodzielnie analizuje zagrożenia w cyberprzestrzeni. Niestety, biorąc pod uwagę ogromny wzrost liczby różnego rodzaju cyberataków, samodzielna walka z tym problemem nie wróży sukcesu. Niezmiernie istotna staje się więc wymiana informacji o zagrożeniach z innymi podmiotami na rynku, zwłaszcza specjalizującymi się w tym zakresie.

 

W poprzednim numerze „IT Professional” przedstawiona została specyfikacja STIX (Structured Threat Information eXpression) służąca do opisu informacji o cyberzagrożeniach w sposób znormalizowany i usystematyzowany. W tym artykule omówiona zostanie specyfikacja TAXII (Trusted Automated eXchange of Intelligence Information), która pozwala na wymianę tych informacji między organizacjami. Pełna dokumentacja dostępna jest pod adresem bit.ly/3dtw4ZQ.

Specyfikacja TAXII definiuje protokół warstwy aplikacji służący do wymiany informacji o cyberzagrożeniach. Protokół ten jest przeznaczony do wymiany danych w formacie STIX, jednak jest on na tyle otwarty, że pozwala na wymianę danych także w innych formatach. Specyfikacja TAXII definiuje REST API oraz wymagania dotyczące implementacji klienta i serwera TAXII. Od wersji TAXII 2.0 wymiana informacji odbywa się z wykorzystaniem protokołu HTTPS.

TAXII zakłada dwa modele udostępniania danych: z użyciem kolekcji (collection) oraz kanałów (channel). Kolekcje umożliwiają klientom TAXII dostęp do danych zgromadzonych na serwerze TAXII w trybie żądanie-odpowiedź. Na ciekawą koncepcję zapowiadają się kanały. Będą one mogły oferować wymianę danych w modelu publikuj-subskrybuj. Pozwoli to na jednoczesne przekazywanie danych do wielu konsumentów. Obecnie specyfikacja TAXII 2.1 nie definiuje jednak tego typu usług, rezerwując ten zakres działania na przyszłość.

 

> POBIERANIE DANYCH

Serwery TAXII mogą obsługiwać wiele kolekcji obiektów. Aby łatwiej zarządzać kolekcjami, łączy się je w tzw. API Root. Każdy serwer TAXII może obsługiwać wiele API Root, dzięki czemu możliwe jest organizowanie danych oraz nadawanie do nich dostępu różnym odbiorcom. Każdy API Root dostępny jest pod własnym adresem URL.

Dostęp do serwera i zgromadzonych danych (obiektów STIX) odbywa się poprzez tzw. endpointy. Każdy endpoint składa się z adresu URL oraz metody HTTP (np. GET). W zależności od użytego endpointa możemy uzyskać dostęp do różnych typów zasobów, np. do listy API Root udostępnianej przez dany serwer, listy kolekcji dostępnych w ramach określonego API Root czy też obiektów należących do określonej kolekcji. Możemy także filtrować pobierane dane, np. ze względu na liczbę pobieranych obiektów, czy też ich typ, a także pobierać w określonych grupach, np. po 50 obiektów. Należy pamiętać, że każdy endpoint kończy się znakiem / (lewy ukośnik). Opis endpointów zawiera tabela. Podczas użycia endpointów należy pamiętać o nagłówkach HTTP. Istotny jest zwłaszcza nagłówek Accept wysyłany do serwera. W przypadku serwerów TAXII 2.1 powinien mieć wartość application/taxii+json;version=2.1, jednak użycie nagłówka application/taxii+json oznacza, że serwer użyje najnowszej wersji.

 

> UŻYCIE REST API

W celu zobrazowania działania REST API możemy sprawdzić jego działanie na przykładach, używając w tym celu publicznie dostępnego serwera firmy MITRE oraz serwera Limo firmy Anomali.

Firma MITRE umieściła na swoim serwerze TAXII (cti-taxii.mitre.org/taxii) znane wśród specjalistów ds. cyberbezpieczeństwa macierze ATT&CK zawierające bazę wiedzy o taktykach i technikach atakujących. Baza ta jest dostępna dla wszystkich do bezpłatnego użytku. Zgodnie z informacją na stronie tej firmy format STIX stanowi najbardziej szczegółową reprezentację danych ATT&CK, a wszystkie inne reprezentacje budowane są na jego podstawie. Należy także zaznaczyć, że kolekcje obiektów MITRE stanowią przykład zastosowania możliwości budowania nowych obiektów, które nie występują w specyfikacji STIX.

 

W poniższych przykładach użyty został program curl jako klient HTTP, zaś uzyskane wyniki zostały przeformatowane dla lepszej czytelności. Znając adres serwera TAXII, możemy uzyskać listę dostępnych na nim API Root, wysyłając następujące żądanie:

curl -H “Accept: application/vnd.oasis.taxii+json” /
https://cti-taxii.mitre.org/taxii/


Odpowiedź na nie będzie prezentować się następująco:

“title”:”CTI TAXII server”,
“description”:”This TAXII server contains a listing
of ATT&CK domain collections expressed as STIX,
including PRE-ATT&CK, ATT&CK for Enterprise, and
ATT&CK Mobile.”,
           “contact”:”attack@mitre.org”,
“default”:”https://cti-taxii.mitre.org/stix/”,
“api_roots”: [“https://cti-taxii.mitre.org/stix/”]

 

[...]

 

Autor jest audytorem wiodącym normy ISO/IEC 27001, specjalizuje się w audycie bezpieczeństwa informacji danych osobowych. Ekspert w zakresie zarządzania obszarami technologii informacyjnej i cyberbezpieczeństwa. Członek ISSA Polska.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"