STIX (Structured Threat Information eXchange, Структурированный обмен информацией об угрозах) — это открытый язык и формат сериализации данных (на основе JSON), предназначенный для стандартизированного, структурированного и детального описания информации о киберугрозах. STIX позволяет представлять угрозы в виде связанных объектов (SDOs и SCOs), что обеспечивает полное описание тактик, техник, процедур (TTPs) злоумышленников, индикаторов компрометации (IoC), кампаний, уязвимостей и самих угрожающих субъектов.
Возможности STIX (версии 2.x):
- Структурированное представление угроз: Описание инцидентов через 18 типов объектов STIX Domain Objects (SDO):
- Ключевые объекты: Угроза (Threat Actor), Кампания (Campaign), Намерение (Intrusion Set), Тактика/Техника/Процедура (Attack Pattern, Course of Action), Инструмент (Tool), Маловер (Malware).
- Контекстные объекты: Инцидент (Incident), Наблюдаемые данные (Observed Data), Индикатор (Indicator), Отчет (Report), Уязвимость (Vulnerability).
- Объекты взаимоотношений (Relationship): Явное установление связей между объектами (например, «злоумышленник использует малвер», «малвер использует уязвимость»).
- Графовые взаимосвязи: Возможность визуализировать и анализировать сложные связи между различными аспектами угрозы.
- Описание наблюдаемых данных (SCOs): Представление конкретных артефактов: файл (File), IP-адрес (IPv4-Addr), доменное имя (Domain-Name), email-адрес (Email-Addr) и др.
- Выражение тактик по MITRE ATT&CK: Прямая привязка объектов Attack Pattern к тактикам и техникам из матрицы MITRE ATT&CK.
- Пакетирование информации: Объединение множества связанных объектов STIX в один логический пакет (STIX Bundle) для удобства обмена.
STIX является де-факто мировым стандартом для формализованного описания киберугроз. Его использование позволяет автоматизировать импорт, анализ, корреляцию и применение разведданных в системах безопасности (SIEM, SOAR, TIP). Совместное использование STIX (язык данных) и TAXII (протокол передачи) создает полный стек для эффективного и автоматизированного обмена разведывательной информацией, что критически важно для современного проактивного противодействия сложным угрозам (APT).
Упоминания
-
24 марта 2026
Данные CyberThreatTech об угрозах будут использоваться в системах R-Vision
Разработчик систем кибербезопасности R-Vision и технологическая компания CyberThreatTech заключили соглашение о технологическом партнёрстве. Как сообщили SecPost в компаниях, сотрудничество предполагает... -
18 марта 2026
Positive Technologies расширила функционал портала PT Fusion
Компания Positive Technologies представила версию 1.5 портала для работы с данными о киберугрозах PT Fusion. Как сообщили SecPost в компании,... -
6 февраля 2026
Открытая публикация индикаторов компрометации несёт операционные риски
Публичное размещение деталей уязвимостей и индикаторов компрометации (IoC) может предоставлять злоумышленникам возможность анализировать эффективность своих инструментов и оперативно адаптировать методы...
