TAXII
TAXII (Trusted Automated Exchange of Intelligence Information) — это открытый протокол прикладного уровня, предназначенный для автоматизированного обмена данными о киберугрозах (киберразведки, CTI) между различными системами и организациями в машиночитаемом формате. Разработан и поддерживается консорциумом OASIS (Organization for the Advancement of Structured Information Standards). TAXII определяет стандартизированные способы передачи, запроса и получения информации о тактиках, техниках и процедурах (TTP) злоумышленников, индикаторах компрометации (IoC) и других сведениях, необходимых для защиты информационных систем.
История и развитие
Протокол TAXII был создан как часть более широкой инициативы по стандартизации обмена данными о киберугрозах. Первоначально он разрабатывался в рамках программы MITRE (некоммерческая организация, занимающаяся прикладными исследованиями) при поддержке Министерства внутренней безопасности США. В 2012 году была опубликована первая версия спецификации (TAXII 1.0), которая впоследствии была доработана до версии 1.1.
В 2015 году управление разработкой TAXII, а также связанного с ним стандарта STIX (Structured Threat Information Expression), было передано консорциуму OASIS. Это позволило привлечь к работе над протоколом широкий круг участников из государственных, коммерческих и академических организаций.
В 2017 году была выпущена версия TAXII 2.0, которая стала значительным шагом вперёд по сравнению с предшественницей. В отличие от TAXII 1.x, основанного на XML и SOAP, версия 2.0 была переработана для использования RESTful API (архитектурный стиль взаимодействия компонентов распределённого приложения в сети) и формата JSON. Это упростило реализацию, интеграцию с современными веб-технологиями и повысило производительность. В 2020 году вышла версия TAXII 2.1, которая уточнила ряд аспектов протокола и добавила поддержку новых возможностей, таких как потоковая передача данных (Streaming).
Архитектура и принцип работы
TAXII основан на клиент-серверной архитектуре, где данные передаются между двумя основными типами участников: поставщиками (providers) и потребителями (consumers). Протокол определяет три ключевых сервиса (или API-эндпоинта):
- Discovery (Обнаружение): Позволяет клиенту получить информацию о доступных серверах TAXII, поддерживаемых версиях протокола и списке доступных коллекций данных. Это аналог «корневого каталога» системы.
- Collection Management (Управление коллекциями): Позволяет клиенту запрашивать информацию о доступных коллекциях (наборах данных) и, в некоторых реализациях, управлять подписками на них. Коллекция — это логическая группа объектов данных (например, индикаторов компрометации), сгруппированных по определённому признаку (источник, тип угрозы, временной период).
- Poll (Опрос): Позволяет потребителю запрашивать данные из определённой коллекции. Это основной сервис для получения информации. Клиент может указать временные рамки, фильтры по типу объектов и другие параметры.
- Inbox (Входящие): Позволяет поставщику отправлять данные в коллекцию на сервере. Этот сервис используется для публикации новых индикаторов или обновлений.
Версии протокола
Существует две основные ветки TAXII:
- TAXII 1.x: Использует XML-схемы и SOAP-протокол. Требует более сложной настройки и интеграции. В настоящее время считается устаревшим, но всё ещё может использоваться в некоторых legacy-системах.
- TAXII 2.x: Использует RESTful API и JSON. Является современным стандартом. Обеспечивает более простую реализацию, лучшую масштабируемость и совместимость с современными веб-инструментами. Версия 2.1 является наиболее актуальной.
Связь со стандартом STIX
TAXII и STIX (Structured Threat Information Expression) тесно связаны, но выполняют разные функции. STIX — это язык разметки (формат данных), который определяет, как структурировать и представлять информацию о киберугрозах (например, описание вредоносного ПО, индикаторы, кампании). TAXII — это протокол, который определяет, как передавать эти данные, упакованные в формате STIX, между системами. Иными словами, STIX — это «содержимое», а TAXII — «конверт» для его доставки. В экосистеме OASIS эти два стандарта обычно используются совместно, образуя единую платформу для обмена данными о киберугрозах.
Применение
Протокол TAXII широко используется в сфере кибербезопасности для автоматизации обмена данными об угрозах. Основные сценарии применения включают:
- Корпоративная безопасность: Крупные компании и организации используют TAXII для получения данных о новых угрозах от коммерческих поставщиков CTI (например, Recorded Future, Anomali, ThreatConnect) или от отраслевых центров обмена информацией (ISAC — Information Sharing and Analysis Centers). Полученные индикаторы автоматически загружаются в системы обнаружения вторжений (IDS/IPS), межсетевые экраны (NGFW) и SIEM-системы.
- Государственные структуры: Национальные CERT (Computer Emergency Response Team) и другие правительственные агентства используют TAXII для оперативного распространения информации о критических уязвимостях и активных угрозах среди подведомственных организаций.
- Отраслевые сообщества: В рамках отраслевых ISAC (например, финансовый, энергетический, телекоммуникационный) участники обмениваются данными об угрозах, характерных для их сектора, используя TAXII.
- Интеграция с платформами SOAR: Системы оркестрации, автоматизации и реагирования (SOAR) могут использовать TAXII для автоматического получения данных об угрозах и запуска playbook-ов реагирования.
Преимущества и ограничения
Преимущества
- Автоматизация: Позволяет полностью автоматизировать процесс получения и обновления данных об угрозах, снижая нагрузку на аналитиков.
- Стандартизация: Использование открытого стандарта обеспечивает совместимость между различными продуктами и платформами.
- Масштабируемость: Архитектура TAXII 2.x позволяет легко масштабировать систему для обработки больших объёмов данных.
- Гибкость: Поддержка различных моделей обмена (push/pull, подписка) и фильтрации данных.
Ограничения
- Зависимость от STIX: Для полноценного использования TAXII требуется понимание и поддержка формата STIX, что может быть сложно для небольших организаций.
- Сложность настройки: Несмотря на упрощение в версии 2.x, развёртывание и настройка собственного сервера TAXII требуют определённых технических знаний.
- Качество данных: Эффективность обмена напрямую зависит от качества и актуальности данных, которые публикуются в коллекциях. Низкокачественные данные могут привести к ложным срабатываниям.
- Отсутствие встроенной аутентификации: Базовая спецификация TAXII не определяет механизмы аутентификации и авторизации, оставляя их на усмотрение реализации. На практике часто используются HTTPS, API-ключи или OAuth 2.0.
Примеры реализации
Существует несколько открытых и коммерческих реализаций серверов и клиентов TAXII. Среди открытых проектов можно выделить:
- MITRE TAXII Server: Эталонная реализация от MITRE.
- OpenTAXII: Одна из наиболее популярных открытых реализаций, написанная на Python.
- EclecticIQ TAXII Server: Коммерческая реализация с расширенными возможностями.
Интересные факты
- Название TAXII изначально было аббревиатурой, но впоследствии было решено, что оно не расшифровывается, а является самостоятельным именем.
- Разработка TAXII была мотивирована необходимостью преодолеть «информационные барьеры» между различными организациями, которые сталкиваются с одними и теми же киберугрозами, но не имеют эффективного способа обмена данными.
- В России использование TAXII и STIX регламентируется в рамках отраслевых стандартов, например, в банковском секторе (рекомендации Банка России по обмену данными об инцидентах).
Источники
- OASIS TAXII Technical Committee Specifications (v2.1)
- MITRE Corporation: TAXII Overview
- Документация к проекту OpenTAXII
- Стандарты и рекомендации Банка России по обмену данными об инцидентах информационной безопасности
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →