STIX e TAXII: il linguaggio e il trasporto della threat intelligence
STIX e TAXII sono i due standard che permettono alla threat intelligence di circolare tra organizzazioni, strumenti e team senza perdersi nella traduzione. Il primo è un linguaggio per descrivere le minacce in modo strutturato e leggibile dalle macchine; il secondo è un protocollo per farle viaggiare da un sistema all’altro. Presi separatamente servono a poco, insieme risolvono un problema concreto: senza un formato comune, le informazioni su un attacco restano prigioniere del documento in cui sono nate, illeggibili per gli strumenti di chi le riceve.
Non sono nati ieri. STIX (Structured Threat Information eXpression) e TAXII (Trusted Automated Exchange of Intelligence Information) furono sviluppati a partire dal 2012 dalla MITRE per conto del Dipartimento della Sicurezza Interna statunitense, e nel 2015, in un’iniziativa guidata dal DHS, la loro proprietà intellettuale fu trasferita a OASIS, il consorzio che ne cura da allora l’evoluzione aperta. Le versioni attuali, STIX 2.1 e TAXII 2.1, sono standard OASIS dal giugno 2021.
STIX: un linguaggio per descrivere le minacce
STIX è, in sostanza, un vocabolario condiviso. Invece di raccontare un attacco a parole, lo si rappresenta come un insieme di oggetti tipizzati e collegati tra loro. La specifica STIX 2.1 definisce diciotto oggetti di dominio, gli STIX Domain Object, tra cui indicatori, campagne, malware, vulnerabilità, attori delle minacce e schemi d’attacco; a questi si aggiungono gli oggetti osservabili, come indirizzi IP, file e domini, e gli oggetti relazione, che legano il tutto in un grafo. Il risultato è che la descrizione di una campagna, comprese le tattiche, tecniche e procedure di certi gruppi APT, diventa un dato preciso e non ambiguo, che una macchina può leggere, correlare e azionare senza bisogno di interpretazione umana. STIX è inoltre indipendente dal trasporto: i suoi oggetti possono essere impacchettati e spostati anche al di fuori di TAXII.
Un esempio chiarisce la differenza rispetto a un elenco piatto di indicatori. In STIX un singolo dominio malevolo non è una riga isolata, ma un oggetto osservabile collegato a un indicatore, che a sua volta è messo in relazione con un malware, attribuito a un attore delle minacce e inserito in una campagna. Chi riceve quel grafo non ottiene soltanto un dato da bloccare, ma il contesto che lo rende comprensibile: a quale avversario appartiene, in quale operazione, con quale obiettivo. È la stessa differenza che separa un dato dall’intelligence vera e propria, e STIX la codifica in modo che a coglierla sia anche una macchina, non solo un analista.
TAXII: il protocollo che fa viaggiare l’intelligence
Se STIX è la lingua, TAXII è il servizio postale. È un protocollo di livello applicativo, costruito su HTTPS, pensato per scambiare contenuti STIX in modo automatico e scalabile, pur non essendo vincolato a STIX. TAXII organizza lo scambio principalmente attorno alle Collection, repository da cui un client preleva informazioni o a cui le invia in logica di richiesta e risposta, e prevede, riservandolo a un’evoluzione futura della specifica, un modello a canali per la distribuzione in pubblicazione e sottoscrizione. Definisce ruoli chiari di produttore e consumatore, così che chi pubblica intelligence e chi la consuma possano dialogare in modo prevedibile, senza dover costruire un’integrazione su misura per ogni coppia di interlocutori.
Vale la pena distinguere i due paradigmi, tenendo presente che nella versione 2.1 solo uno è davvero operativo. Le Collection, basate sull’interrogazione, sono il meccanismo effettivamente disponibile e si prestano a chi vuole controllare quando e cosa prelevare, ad esempio una piattaforma che aggiorna periodicamente i propri indicatori attingendo a un repository fidato. Il modello in pubblicazione e sottoscrizione, che privilegerebbe la tempestività recapitando le novità via via che si rendono disponibili, resta invece una previsione della specifica, non ancora implementabile come servizio. In entrambi i casi il principio di fondo è lo stesso: ridurre al minimo l’intervento manuale, perché un’informazione su una minaccia perde valore con ogni ora che passa prima di raggiungere chi può agire.
Perché servono entrambi, e perché insieme
La forza della coppia sta nella divisione dei compiti. Un linguaggio comune senza un canale per trasmetterlo resta un esercizio di catalogazione; un canale senza una lingua condivisa trasporta dati che il destinatario non sa interpretare. Insieme, STIX e TAXII rendono possibile l’automazione vera: feed di indicatori che entrano direttamente negli strumenti difensivi, piattaforme di threat intelligence che si parlano, scambi tra organizzazioni che avvengono da macchina a macchina senza copiare e incollare. STIX prevede anche la marcatura dei dati, che consente di applicare etichette di riservatezza come quelle del Traffic Light Protocol, in modo che chi condivide stabilisca fin dove l’informazione può spingersi. È proprio questo controllo a rendere praticabile la condivisione di indicatori sensibili, per esempio quelli emersi da attacchi alla supply chain che colpiscono più vittime insieme.
STIX e TAXII nel ciclo della threat intelligence
Collocati nel processo più ampio, STIX e TAXII servono soprattutto la fase di disseminazione e condivisione: sono il modo in cui l’intelligence prodotta da un’organizzazione raggiunge le altre in forma utilizzabile. Non a caso vi si appoggiano le comunità di condivisione settoriali e i grandi programmi pubblici di scambio automatico degli indicatori promossi dalle agenzie governative. L’interoperabilità che ne deriva è il punto: uno stesso oggetto STIX prodotto da un fornitore può essere consumato dallo strumento di un altro, e un’unica infrastruttura TAXII può servire decine di partner senza accordi tecnici bilaterali. È la differenza tra condividere intelligence e limitarsi a pubblicarla, e spiega perché questi standard sono diventati la lingua franca dello scambio automatico tra CSIRT, agenzie e settori regolati, là dove la velocità e la coerenza del formato contano quanto il contenuto.
Standard, non prodotti
Vale la pena ribadire una distinzione che spesso sfugge: STIX e TAXII sono standard aperti, non prodotti da acquistare. Definiscono un formato e un protocollo, non lo strumento che li implementa. Le piattaforme di threat intelligence, i SIEM e gli aggregatori di feed li supportano come modalità di scambio, ma il valore non sta nell’adozione formale dello standard, bensì in ciò che vi si fa transitare. Uno scambio STIX privo di contesto, fatto di soli indicatori grezzi e senza relazioni, riproduce in formato moderno lo stesso rumore che la threat intelligence dovrebbe ridurre. Lo standard abilita l’interoperabilità, ma la qualità resta responsabilità di chi produce l’intelligence.
STIX e TAXII non sono, da soli, una strategia di sicurezza, ma sono l’infrastruttura che permette a una strategia di sfruttare l’intelligence prodotta da altri. In un panorama in cui nessuna organizzazione vede tutto, la capacità di scambiare ciò che si è osservato, in un formato che gli altri possono leggere e attraverso un canale che lo recapita in automatico, vale quanto la qualità dell’analisi che lo precede. Adottarli significa smettere di trattare la condivisione come uno scambio di documenti e cominciare a viverla come ciò che dovrebbe essere: un flusso continuo, automatico e interpretabile.

