Quando uma ameaça cibernética surge, que tipo de informações são importantes termos a respeito? Como gostaríamos que nos comunicassem? Respondendo à estas perguntas seria possível chegar a um padrão para denúncias de ameaças. Este padrão não só existe, como está sendo preparado para ser comunicado diretamente entre sistemas computacionais. Trata-se do Structured Threat Information Expression (STIX).
Com o STIX é possível denunciar ameaças e ajudar os interessados a se protegerem informando sobre ataques persistentes (campanhas) e indicações de ameaças. Por exemplo, pode-se avisar sobre um hacker ou grupo de hackers com motivação ideológica que usa dispositivos IoT para atacar empresas do setor energético, identificando origens e/ou destinos. Dessa forma, quando detectadas ameaças, podemos anunciá-las e/ou recebê-las entre sistemas de forma estruturada para tomada de ações. Mas como isso se traduz computacionalmente? A seguir, explicarei um pouco como esta comunicação foi padronizada.
Serialização
O formato de transmissão digital (serialização) é JSON por padrão, ou seja, é obrigatória sua implementação. Além deste formato pode-se dar opção de XML.
Objetos
Os objetos de domínio do STIX (STIX Domain Objects, ou ainda SDO) são:
- Attack Pattern
- Campaign
- Course of Action
- Identity
- Indicator
- Intrusion Set
- Malware
- Observed Data
- Report
- Threat Actor
- Tool
- Vulnerability
Existem também os objetos de relacionamento (SRO) que mostram como um SDO está ligado a outro. Por exemplo, um objeto do tipo Indicator pode definir um relacionamento dele mesmo com o tipo Malware, ou seja, seria um indicador de origem/destino de algum codigo malicioso.
Observables
Representações de objetos observáveis e suas propriedades para serem usados em um SDO. Um endereço IP é um exemplo de objeto observável.
Vocabulário
É um catálogo fixo e definido de termos (strings) para usar como valores possíveis em propriedades de objetos no STIX. Por exemplo, para descrever motivações de um ator para ataque cibernético (Atack Motivation) à uma empresa podemos usar os termos accidental, coercion ou ideology (acidente, coerção ou ideologia), dentre outros.
O vocabulário padrão evita que um anunciante escreva o valor "Energy" e outro "Energy Sector" para referenciar a mesma coisa. Embora deva-se seguir o vocabulário definido sempre que possível, o padrão permite que se criem novos termos em casos especiais.
Conclusão
No mundo cibernético, a comunicação é uma ótima aliada para minimizar os riscos de uma ameaça cibernética se propagar. Vemos isso se concretizar a cada dia com Threat Intelligence e a adoção da linguagem STIX. Quanto mais esta se proliferar, mais segura a internet será.
André Duarte, coordenador de Operações do Arcon Labs.