Home » STIX

STIX

Le renseignement sur les menaces cyber, ou Cyber Threat Intelligence, est la meilleure assurance contre les attaques informatiques car il permet de les neutraliser avant impact. Mais face à la quantité, à la versatilité, à la créativité des attaquants, produire un renseignement opérationnel et de qualité passe par une collaboration intensive entre de multiples équipes d’experts à travers le monde.

Ce vaste réseau virtuel de surveillance et d’alerte ne peut exister que parce qu’il peut échanger des informations, des données, du renseignement. STIX est la langue parlée par ces analystes pour modéliser et échanger leurs données en toute transparence et permettre leur utilisation dans les systèmes de sécurité.

Qu’est-ce que STIX?

STIX (acronyme de Structured Threat Information eXpression) est un standard ouvert décrivant les objets d’intérêt du domaine de la lutte informatique défensive. Et les liens qu’ils peuvent entretenir entre eux. Il est édité et maintenu par un groupe de travail de l’association OASIS.

OASIS (Organization for the Advancement of Structured Information Standards) est une association professionnelle à but non lucratif. Sa mission est de développer, soutenir et promouvoir des projets de standardisation. C’est l’une des rares structures de normalisation reconnue par l’ISO (International Standards Organisation) pour développer des standards de type Publicly Available Specification.

La version actuelle du standard est la 2.1, publiée en 2021. Mi-2022, seuls quatre Français sont des contributeurs actifs et membres du comité technique, dont David Bizeul, Chief Science Officer de SEKOIA.IO, et Georges Bossert, Chief Technical Officer de SEKOIA.IO.

Découvrez l'agilité de SEKOIA.IO pour mener investigations et réponses, à travers une démo live simulant deux attaques types en conditions réelles.

Les objets STIX: SDO (Stix Domain Objects)

Le standard décrit 18 types d’objets d’intérêt cyber, y compris leurs propriétés et les relations qu’ils peuvent entretenir. Parmi ces SDO, on pourra retenir en particulier: les acteurs malveillants, les campagnes, les malware, les Tools, Tactics and Procedures (TTPs) ou encore les vulnérabilités.

Exemples de types d’objets SDO

Cette taxonomie permet de lever les ambigüités. Ainsi un analyste français peut publier des données qui seront exploitées par un analyste allemand, parfois d’une entreprise concurrente. Cela permet également de filtrer les données de renseignement en fonction de centres d’intérêt. En effet, un pare-feu ne saurait que faire d’un rapport. Et un agent EDR a peu d’intérêt à devoir compulser toutes les données de campagne.

Découvrez l'agilité de SEKOIA.IO pour mener investigations et réponses, à travers une démo live simulant deux attaques types en conditions réelles.

En particulier, STIX fait très clairement la distinction entre les objets de renseignement (SDO) et les données techniques sur lesquelles ils peuvent reposer, appelés les SCO (STIX Cyber Observable objects) ou observables.

exemple types d'objets observables SCO

Les relations: la contextualisation indispensable

Cependant, les objets (SDO ou SCO) seuls ne permettent pas la contextualisation, vitale pour éviter les faux positifs ou la surconsommation de ressources, humaines ou machine. Pour cela, il faut les relier entre eux, c’est le rôle des STIX Relationship Objects (SRO). Une CTI de qualité modélisée conformément à STIX devrait toujours comprendre ces relations, qui seules permettent à l’analyste opérationnel de mener des investigations et de mettre en perspective des informations de terrain.

Exemple des relations possibles avec un objet de type Malware

Comment STIX aide les organisations à mieux répondre aux menaces cyber ?

En fournissant un langage unifié de description des menaces, STIX permet de tirer profit facilement et rapidement des renseignements propriétaires comme en source ouverte (OSINT). Il permet aux organisations d’exiger cette compatibilité pour assurer la circulation efficace du renseignement au sein de leur système de sécurité. 

Largement adopté par l’industrie, STIX est devenu le standard de facto et de plus en plus de jure. Il permet aux décideurs de spécifier des exigences de compatibilité et d’interopérabilité en matière de renseignement cyber.

Supervision cybersécurité, vers une défense active

Standard ouvert, toute sa spécification et sa documentation sont disponibles gratuitement sur la page Github dédiée. C’est une garantie de transparence permettant à tous les décideurs de résister à l’emprise potentielle d’un éditeur logiciel, comme ce peut être le cas avec des standards propriétaires.

Enfin, STIX permet la collaboration entre les divers contributeurs de l’écosystème, depuis les équipes commerciales telles que l’équipe Threat & Detection Research qui produit le flux SEKOIA.IO CTI, jusqu’aux structures publiques ou sectorielles telles que des CERT ou des ISAC. Ainsi, toute Threat Intelligence Platform digne de ce nom doit manipuler nativement STIX 2.1 en entrée comme en sortie; c’est bien entendu le cas de SEKOIA.IO TIP.

Découvrez d’autres glossaires tels que : SOAR, CTI.

Si vous consultez pour la première fois notre site web, sachez que nous sommes un éditeur de logiciels de cybersécurité. Nous fournissons aux équipes cyber et MSSP une plateforme de sécurité opérationnelle clé en main. À travers notre plateforme XDR, notre outil CTI et notre plateforme de Threat Intelligence, nous permettons à nos usagers de neutraliser les menaces informatiques, quelle que soit la surface d’attaque.

Autres termes

IoC(Indicateur de compromission)

Un IoC (Indicateur de compromission) est une donnée technique qualifiée qui permet de détecter des activités malveillantes sur un système d’information. Ces indicateurs peuvent s’appuyer sur des données de types variés, par exemple: un hash de fichiers, une signature, une adresse IP, une URL, un nom de domaine… mais dans tous les cas, la donnée technique seule (observable, voir ce mot) ne suffit pas pour parler d’IoC.

Firewall(Pare-feu)

Un firewall ou pare-feu est un système de sécurité réseau qui aide à protéger votre ordinateur contre tout accès non autorisé. Il bloque les requêtes entrantes et sortantes vers votre ordinateur, en fonction des règles que l’administrateur réseau a prédéfinies.

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ?
Vous voulez découvrir nos produits de XDR et de CTI ?
Vous avez un projet de cybersécurité dans votre organisation ?
Prenez rendez-vous et rencontrons-nous !

Chat with our team !

Would you like to know more about our solutions ?
Do you want to discover our XDR and CTI products ?
Do you have a cyber security project in your organization ?
Make an appointment and meet us !