STIX

Le renseignement sur les menaces cyber, ou Cyber Threat Intelligence, est la meilleure assurance contre les attaques informatiques car il permet de les neutraliser avant impact. Mais face à la quantité, à la versatilité, à la créativité des attaquants, produire un renseignement opérationnel et de qualité passe par une collaboration intensive entre de multiples équipes d’experts à travers le monde.

Ce vaste réseau virtuel de surveillance et d’alerte ne peut exister que parce qu’il peut échanger des informations, des données, du renseignement. STIX est la langue parlée par ces analystes pour modéliser et échanger leurs données en toute transparence et permettre leur utilisation dans les systèmes de sécurité.

Qu’est-ce que STIX?

STIX (acronyme de Structured Threat Information eXpression) est un standard ouvert décrivant les objets d’intérêt du domaine de la lutte informatique défensive. Et les liens qu’ils peuvent entretenir entre eux. Il est édité et maintenu par un groupe de travail de l’association OASIS.

OASIS (Organization for the Advancement of Structured Information Standards) est une association professionnelle à but non lucratif. Sa mission est de développer, soutenir et promouvoir des projets de standardisation. C’est l’une des rares structures de normalisation reconnue par l’ISO (International Standards Organisation) pour développer des standards de type Publicly Available Specification.

La version actuelle du standard est la 2.1, publiée en 2021. Mi-2022, seuls quatre Français sont des contributeurs actifs et membres du comité technique, dont David Bizeul, Chief Science Officer de SEKOIA.IO, et Georges Bossert, Chief Technical Officer de SEKOIA.IO.

Les objets STIX: SDO (Stix Domain Objects)

Le standard décrit 18 types d’objets d’intérêt cyber, y compris leurs propriétés et les relations qu’ils peuvent entretenir. Parmi ces SDO, on pourra retenir en particulier: les acteurs malveillants, les campagnes, les malware, les Tools, Tactics and Procedures (TTPs) ou encore les vulnérabilités.

Exemples de types d’objets SDO

Cette taxonomie permet de lever les ambigüités. Ainsi un analyste français peut publier des données qui seront exploitées par un analyste allemand, parfois d’une entreprise concurrente. Cela permet également de filtrer les données de renseignement en fonction de centres d’intérêt. En effet, un pare-feu ne saurait que faire d’un rapport. Et un agent EDR a peu d’intérêt à devoir compulser toutes les données de campagne.

En particulier, STIX fait très clairement la distinction entre les objets de renseignement (SDO) et les données techniques sur lesquelles ils peuvent reposer, appelés les SCO (STIX Cyber Observable objects) ou observables.

exemple types d'objets observables SCO

Les relations: la contextualisation indispensable

Cependant, les objets (SDO ou SCO) seuls ne permettent pas la contextualisation, vitale pour éviter les faux positifs ou la surconsommation de ressources, humaines ou machine. Pour cela, il faut les relier entre eux, c’est le rôle des STIX Relationship Objects (SRO). Une CTI de qualité modélisée conformément à STIX devrait toujours comprendre ces relations, qui seules permettent à l’analyste opérationnel de mener des investigations et de mettre en perspective des informations de terrain.

Exemple des relations possibles avec un objet de type Malware

Comment STIX aide les organisations à mieux répondre aux menaces cyber ?

En fournissant un langage unifié de description des menaces, STIX permet de tirer profit facilement et rapidement des renseignements propriétaires comme en source ouverte (OSINT). Il permet aux organisations d’exiger cette compatibilité pour assurer la circulation efficace du renseignement au sein de leur système de sécurité. 

Largement adopté par l’industrie, STIX est devenu le standard de facto et de plus en plus de jure. Il permet aux décideurs de spécifier des exigences de compatibilité et d’interopérabilité en matière de renseignement cyber.

Standard ouvert, toute sa spécification et sa documentation sont disponibles gratuitement sur la page Github dédiée. C’est une garantie de transparence permettant à tous les décideurs de résister à l’emprise potentielle d’un éditeur logiciel, comme ce peut être le cas avec des standards propriétaires.

Enfin, STIX permet la collaboration entre les divers contributeurs de l’écosystème, depuis les équipes commerciales telles que l’équipe Threat & Detection Research qui produit le flux SEKOIA.IO CTI, jusqu’aux structures publiques ou sectorielles telles que des CERT ou des ISAC. Ainsi, toute Threat Intelligence Platform digne de ce nom doit manipuler nativement STIX 2.1 en entrée comme en sortie; c’est bien entendu le cas de SEKOIA.IO TIP.

Découvrez d’autres glossaires tels que :