Em termos de colaboração, a informação de ameaça estruturada eXpression (STIX) e a Troca automatizada de informações de indicadores (TAXII) representam uma revolução no setor de segurança. Esses protocolos transformaram o campo da inteligência de ameaças de uma coleção fragmentada de informações para um padrão unificado para compartilhamento de informações. Neste post, vamos examinar esta transição e como isso ocorreu.
O Gartner define a inteligência de ameaças como “conhecimento baseado em evidências, incluindo contexto, mecanismos, indicadores, implicações e conselhos acionáveis, sobre uma ameaça existente ou emergente ou risco para ativos que podem ser usados para informar as decisões sobre a resposta do assunto a essa ameaça ou risco. “Em suma, a inteligência de ameaças combina todas as informações conhecidas sobre ameaças anteriormente encontradas para ajudar as organizações a identificar e responder a ameaças semelhantes no futuro.
Os velhos tempos de inteligência de ameaças
Como qualquer jogo de gato e rato, o setor de segurança perseguiu ameaças cibernéticas tanto quanto muitos profissionais de TI podem se lembrar. Os ataques cibernéticos mais sofisticados e organizados tornaram, os trabalhos dos fornecedores de segurança mais difíceis para criar soluções abrangentes. Essas soluções de segurança eventualmente encontraram todas as áreas de detecção e mitigação de ataques e poderiam produzir todos os componentes da inteligência de ameaças. Infelizmente, esses componentes foram altamente disjuntos devido a vários formatos e protocolos de compartilhamento.
Pense nisso em termos de um ataque ransomware. As organizações raramente usam apenas uma solução de segurança para lidar com o Ransomware. Muitos precisam de ferramentas separadas para identificar a atividade do ransomware em primeiro lugar, registrar informações sobre arquivos mal-intencionados e realmente responder à ameaça. Agora, imagine se todas essas ferramentas não puderem compartilhar informações de ameaças entre si.
Bem, esse foi um grande problema no passado; cada ferramenta usou seus próprios formatos e os administradores precisavam de protocolos de comunicação personalizados para compartilhar informações entre soluções de segurança. Como você pode imaginar, a consolidação de informações de ameaças de todas essas fontes levou muito tempo.
A revolução STIX e TAXII
Em resposta a esses problemas, a MITRE Corporation e o Departamento de Segurança Interna desenvolveram juntos os protocolos STIX e TAXII, baseados na comunidade, para o compartilhamento de informações que incluem detalhes sobre o que está acontecendo no cenário da segurança cibernética e como as organizações podem proteger sua rede e analisar ameaças. Desenvolver uma linguagem comum entre os limites de produtos e organizações abriu a porta para várias fontes para atualizar de forma colaborativa informações sobre uma única ameaça, dando às organizações uma inteligência de ameaças mais completa. Juntos, a STIX e a TAXII tornaram o compartilhamento de dados de ameaças mais conveniente e instantâneo, garantindo que as empresas possam rapidamente e efetivamente detectar e responder a incidentes.
Ainda não conhece as execelentes ferramentas da ManageEngine, aos quais incluem Analise de logs, conformidade entre outros. Conheça o catálogo de softwares ManageEngine e conte sempre com o apoio da equipe ACSoftware.
