Meer samenwerking tussen alle krachten die securityvoorvallen en cybercriminaliteit aanpakken, is een must, gezien de vooruitgang en successen die de criminelen zelf boeken. Maar hoe beschrijf je een securityvoorval, voor een vlotte communicatie hierover?

De tegenstanders zijn capabel en gemotiveerd”, vertelt John Wunder, lead cybersecurity engineer bij Mitre Corporation, “en hun aantal stijgt.” Zoals ook hun samenwerking en specialisatie toeneemt. “Security is daarentegen al te zeer naar binnen gericht [in het bedrijf], druk bezig met patching en dies meer. Maar gelukkig groeit het besef om de aanvallers beter te begrijpen, een holistische kennis van de dreiging te hebben!” Dat vereist meer samenwerking, want “security is geen sport die je op je eentje beoefent.”

Securityvoorvallen beschrijven zodat de communicatie erover, ook wereldwijd, vlot verloopt, vormt het doel van initiatieven als STIX en TAXII, die recent op een druk bijgewoonde Europese workshop (georganiseerd door FIRST en het Leuvense securityconsortium L-Sec) werden voorgesteld.

UITWISSELING

STIX staat voor Structured Threat Information eXpression en vormt een ‘gestructureerde’ taal en datamodel, met behulp waarvan alle aspecten van een securityvoorval kunnen worden beschreven. Een gelaagde taal, gaat STIX erg breed, met ruimte voor elementen als ‘observables’ (bijvoorbeeld een DNS query, netwerk pakket,…) evenals aspecten als (o.a.) ‘Incidents’, ‘Tactics, techniques and procedures’, ‘ThreatActors’, ‘CoursesOfAction’ en onderlinge verbanden. Met die elementen tekent STIX het profiel van een voorval uit (met hiervoor al tools als StixViz).

TAXII staat op zijn beurt voor Trusted Automated eXchange of Indicator Information, en vormt de basis voor een uitwisselingsprotocol. Met behulp hiervan kunnen verschillende ‘sharing’ modellen (peer-to-peer, hub & spoke, publish/subscribe, of mengvormen) worden uitgewerkt.

Het doel op termijn is om snel en (semi-) automatisch boodschappen over waargenomen voorvallen te versturen, zodat misdadigers minder lang van een aanvalswijze gebruik kunnen maken (wat hen dwingt tot meer investeringen in nieuwe methoden, wat het rendement vermindert). Daarbij kan zelfs worden gedacht aan (geauthenticeerde) boodschappen die rechtstreeks tot maatregelen bij derden leiden.

De voorstanders van STIX en TAXII benadrukken dat het open initiatieven betreft, en geen producten. Het is geen gebruiksklaar bestaand uitwisselingsprogramma met centrale database, maar het zijn middelen die “delen mogelijk maken, zonder verplichting tot het delen van informatie.”

NOG BIJSCHAVEN

STIX en TAXII zijn initiatieven die ongeveer tweeëneenhalf jaar geleden het daglicht zagen bij het Amerikaanse Department of Homeland Security (DHS), en werden in eerste instantie uitgewerkt door de Mitre Corporation. Vandaag staat de ontwikkeling voldoende ver, dat er ook al echt mee aan de slag wordt gegaan. Op termijn zullen STIX en TAXII wel worden ondergebracht bij een internationale standaardorganisatie.

Ondertussen is er wel nog werk aan de winkel, want een eerste korte oefening tijdens de workshop illustreerde hoe moeilijk het was om eenduidig een model te schetsen van een voorval. Om op brede schaal, ook door kleinere bedrijven zonder security-experten te worden aangewend, zal het allicht nodig zijn meer gebruiksklare modellen (van meer ‘populaire’ aanvalswijzen) ter beschikking te stellen. En ook wil STIX zich integreren in bestaande initiatieven, zoals het VERIS framewrok, zoals aangewend in de Verizon Data Breach Investigations Reports.

Guy Kindermans

Een holistische kijk op dreigingen