Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



29.10.2021

Veritas po raz 16. liderem...

Firma Veritas Technologies, producent uznanych rozwiązań backup klasy enterprise,...
21.10.2021

Zarządzanie IT

We wrześniu BTC Sp. z o.o. zaprezentowała premierową wersję systemu eAuditor V8 AI.
21.10.2021

Konferencja VMworld

Imagine That. Pod takim hasłem w dniach 5–7 października 2021 r. odbyła się jedna z...
21.10.2021

Darmowy deszyfrator

Bitdefender wspólnie z organami ścigania opracował i wydał narzędzie, które pozwala...
21.10.2021

Dell C1422H

Dell Technologies wprowadza do oferty przenośny monitor do zwiększenia wydajności pracy w...
21.10.2021

Dysk dla cyfrowych twórców

Western Digital zaprezentowało nowy dysk – WD Blue SN750 NVMe SSD.
21.10.2021

Projektory laserowe

Optoma wprowadza serię projektorów laserowych Ultra Bright ZU1700, ZU1900, ZU2200 z...
21.10.2021

Orzeł wśród routerów

D-Link wprowadza na rynek smart router EAGLE PRO AI AX1500 R15.
21.10.2021

Nowe generacje Ryzen i Epyc

AMD 3D V-Cache. AMD zapowiada procesory Ryzen i Epyc z nowym rozwiązaniem.

TAXII – wymiana informacji o cyberzagrożeniach

Data publikacji: 26-08-2021 Autor: Piotr Michałkiewicz

Wiele organizacji samodzielnie analizuje zagrożenia w cyberprzestrzeni. Niestety, biorąc pod uwagę ogromny wzrost liczby różnego rodzaju cyberataków, samodzielna walka z tym problemem nie wróży sukcesu. Niezmiernie istotna staje się więc wymiana informacji o zagrożeniach z innymi podmiotami na rynku, zwłaszcza specjalizującymi się w tym zakresie.

 

W poprzednim numerze „IT Professional” przedstawiona została specyfikacja STIX (Structured Threat Information eXpression) służąca do opisu informacji o cyberzagrożeniach w sposób znormalizowany i usystematyzowany. W tym artykule omówiona zostanie specyfikacja TAXII (Trusted Automated eXchange of Intelligence Information), która pozwala na wymianę tych informacji między organizacjami. Pełna dokumentacja dostępna jest pod adresem bit.ly/3dtw4ZQ.

Specyfikacja TAXII definiuje protokół warstwy aplikacji służący do wymiany informacji o cyberzagrożeniach. Protokół ten jest przeznaczony do wymiany danych w formacie STIX, jednak jest on na tyle otwarty, że pozwala na wymianę danych także w innych formatach. Specyfikacja TAXII definiuje REST API oraz wymagania dotyczące implementacji klienta i serwera TAXII. Od wersji TAXII 2.0 wymiana informacji odbywa się z wykorzystaniem protokołu HTTPS.

TAXII zakłada dwa modele udostępniania danych: z użyciem kolekcji (collection) oraz kanałów (channel). Kolekcje umożliwiają klientom TAXII dostęp do danych zgromadzonych na serwerze TAXII w trybie żądanie-odpowiedź. Na ciekawą koncepcję zapowiadają się kanały. Będą one mogły oferować wymianę danych w modelu publikuj-subskrybuj. Pozwoli to na jednoczesne przekazywanie danych do wielu konsumentów. Obecnie specyfikacja TAXII 2.1 nie definiuje jednak tego typu usług, rezerwując ten zakres działania na przyszłość.

 

> POBIERANIE DANYCH

Serwery TAXII mogą obsługiwać wiele kolekcji obiektów. Aby łatwiej zarządzać kolekcjami, łączy się je w tzw. API Root. Każdy serwer TAXII może obsługiwać wiele API Root, dzięki czemu możliwe jest organizowanie danych oraz nadawanie do nich dostępu różnym odbiorcom. Każdy API Root dostępny jest pod własnym adresem URL.

Dostęp do serwera i zgromadzonych danych (obiektów STIX) odbywa się poprzez tzw. endpointy. Każdy endpoint składa się z adresu URL oraz metody HTTP (np. GET). W zależności od użytego endpointa możemy uzyskać dostęp do różnych typów zasobów, np. do listy API Root udostępnianej przez dany serwer, listy kolekcji dostępnych w ramach określonego API Root czy też obiektów należących do określonej kolekcji. Możemy także filtrować pobierane dane, np. ze względu na liczbę pobieranych obiektów, czy też ich typ, a także pobierać w określonych grupach, np. po 50 obiektów. Należy pamiętać, że każdy endpoint kończy się znakiem / (lewy ukośnik). Opis endpointów zawiera tabela. Podczas użycia endpointów należy pamiętać o nagłówkach HTTP. Istotny jest zwłaszcza nagłówek Accept wysyłany do serwera. W przypadku serwerów TAXII 2.1 powinien mieć wartość application/taxii+json;version=2.1, jednak użycie nagłówka application/taxii+json oznacza, że serwer użyje najnowszej wersji.

 

> UŻYCIE REST API

W celu zobrazowania działania REST API możemy sprawdzić jego działanie na przykładach, używając w tym celu publicznie dostępnego serwera firmy MITRE oraz serwera Limo firmy Anomali.

Firma MITRE umieściła na swoim serwerze TAXII (cti-taxii.mitre.org/taxii) znane wśród specjalistów ds. cyberbezpieczeństwa macierze ATT&CK zawierające bazę wiedzy o taktykach i technikach atakujących. Baza ta jest dostępna dla wszystkich do bezpłatnego użytku. Zgodnie z informacją na stronie tej firmy format STIX stanowi najbardziej szczegółową reprezentację danych ATT&CK, a wszystkie inne reprezentacje budowane są na jego podstawie. Należy także zaznaczyć, że kolekcje obiektów MITRE stanowią przykład zastosowania możliwości budowania nowych obiektów, które nie występują w specyfikacji STIX.

 

W poniższych przykładach użyty został program curl jako klient HTTP, zaś uzyskane wyniki zostały przeformatowane dla lepszej czytelności. Znając adres serwera TAXII, możemy uzyskać listę dostępnych na nim API Root, wysyłając następujące żądanie:

curl -H “Accept: application/vnd.oasis.taxii+json” /
https://cti-taxii.mitre.org/taxii/


Odpowiedź na nie będzie prezentować się następująco:

“title”:”CTI TAXII server”,
“description”:”This TAXII server contains a listing
of ATT&CK domain collections expressed as STIX,
including PRE-ATT&CK, ATT&CK for Enterprise, and
ATT&CK Mobile.”,
           “contact”:”attack@mitre.org”,
“default”:”https://cti-taxii.mitre.org/stix/”,
“api_roots”: [“https://cti-taxii.mitre.org/stix/”]

 

[...]

 

Autor jest audytorem wiodącym normy ISO/IEC 27001, specjalizuje się w audycie bezpieczeństwa informacji danych osobowych. Ekspert w zakresie zarządzania obszarami technologii informacyjnej i cyberbezpieczeństwa. Członek ISSA Polska.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"