- 17 Nis 2015
- 1,644
- 6
- 1,605
|| İçindekiler ||
1 STIX Ve TAXII Nedir?
1.1 STIX ( Structured Threat Information Expression)
1.2 TAXII (Trusted Automated Exchange of Intelligence Information)
1 STIX Ve TAXII Nedir?
Teknoloji ile beraber meydana gelen gelişmeler hayatımızı kolaylaştırmaktadır. Ancak sanal alanda meydana gelen çalışmalar aynı zamanda bir güvenlik sorunu da oluşturmaktadır. Özellikle resmi ve özel kurumların birçok işlerini İnternet üzerinden yaptığını ve sanal sunucular kullandığını düşünürsek siber güvenlik önemli bir kavram olmaktadır.
Siber güvenliğin sağlanması amacıyla bir tehdit istihbaratı tespit etme ve engelleme sistemi kullanılmaktadır. STIX ve TAXII denen bu kavramlar ile siber saldırılar tespit edilebilmektedir. STIX ve TAXII' nin kurulması, sanal alanda siber tehdit bilgilerinin otomatik olarak ifade edilmesine yardımcı olmak için ücretsiz özellikler sağlamaktadır. Programlar açık kaynak kodlu topluluk odaklı bir çabadır. Her iki sistemde aktif bir geliştirici ve analist topluluğuna sahiptir.
1.1 STIX ( Structured Threat Information Expression)
STIX Structured Threat Information Expression kelimesinin kısaltmasıdır. Türkçe karşılığı ise Yapılandırılmış Tehdit Bilgi İfadesidir. STIX siber saldırılardaki tehdit bilgilerini açıklamak için çalışmaktadır. Bu anlamda MITRE ve OASIS siber tehdit istihbaratı tarafından geliştirilmiş bir programlama dilidir.
Aynı zamanda geliştirilen bu dil siber güvenlik alanında çeşitli istihbarat paylaşım toplulukları ve resmi kurumlar tarafından kullanılmaktadır. STIX ile elde edilen bilgiler TAXII aracılığıyla paylaşılmaktadır. Ancak yapılan gelişimler ile farklı yollar ile de paylaşım yapılabilmektedir. STIX kullanıcıların tehditleri tanımlayabilmesi için Motivations, Abilities, Capabilities, Response gibi terimleri kullanmaktadır. Türkçesi olarak ise motivasyon yetenek ve tepki şeklinde çalışmaktadır.
1.2 TAXII (Trusted Automated Exchange of Intelligence Information)
TAXII, Trusted Automated Exchange of Intelligence Information olarak tanımlanmaktadır. TAXII siber tehdit birimlerinin hizmetler kapsamında ve mesajlar yolu ile nasıl paylaşılması gerektiğini tanımlar. Ortak ağ paylaşım modelleriyle uyumlu bir şekilde özel bir API tanımlayarak topladığı STIX bilgilerini desteklemek ve paylaşmak için özel olarak tasarlanmıştır. TAXII çalışması sistemi olarak üç ana model içermektedir. Bunlar;
- Hub And Spoke -
Bir bilgi deposu.
- Source/Subscriber -
Tek bir bilgi kaynağı.
- Peer-To-Peer -
Birden fazla grup ile paylaşma
TAXII ile 4 hizmet tanımlanmaktadır. Program kullanıcıları bu programlar içinden istediğini seçip kullanabilmektedir. Bu hizmetler ;
TAXII ile 4 hizmet tanımlanmaktadır. Program kullanıcıları bu programlar içinden istediğini seçip kullanabilmektedir. Bu hizmetler ;
- Keşif -
Bir kuruluşun hangi hizmetleri desteklediğini ve bunların nasıl kullanılabileceğini öğrenmenin bir yoludur.
- Koleksiyon Yönetimi -
Oluşturulan veri koleksiyonları hakkında bilgi edinmenin ve abonelik talep etmenin bir yoludur.
- Gelen Kutusu -
STIX işlemleri ile ilgili içerik almanın bir yoludur. ( push mesajlaşma )
- Anket -
Bu yöntem ise içerik istemenin bir yoludur. ( mesaj çekme )
STIX ve TAXII Bilgi Paylaşım ve Analiz Merkezleri ( ISAC ) ile birlikte çalışmaktadır. Edinilen her bilgi ISAC sistemine kaydedilmektedir. STIX ve TAXII kullanımı ile kurum ve kuruluşlar bir merkezden siber tehdit aldığında elde ettikleri tüm bilgiler ISAC sistemine kaydedilmektedir. Bu sayede de diğer kurumlar kendi güvenliklerini ve önlemlerini almaktadır.
Kuruluşlar kategorize edilmiş bilgiler sayesinde kendi edindikleri bilgileri ilgili kategorilere eklemektedir. Aynı zamanda kuruluşlar bu sisteme bilgi ekleyebildiği gibi bilgide alabilmektedir. Örnek vermek gerekirse bir kuruluş hedefi tespit edilen bir merkezden tehdit alırsa, tehdit olayı ile ilgili tüm bilgileri ISAC sistemine girmektedir. Sistemde bulunan diğer gruplar ise bu istihbaratı anında değerlendirip kendi güvenliklerini sağlayabilmektedir.
TAXII ile edinilen bir bilgi direkt olarak paylaşıldığı gibi ayrı ayrı gruplara da paylaşıla bilmektedir. Bu kapsamda ISAC sisteminde istenildiği kadar grup oluşturabilmektedir. Bu sayede gruplarda sadece o grubu ilgilendiren paylaşımlar yapılmaktadır. Aynı zamanda TAXII istemcisi olan kuruluşlara iletmek üzere sistemi ISAC sistemine yüklemektedir. ISAC ise önemli bilgilerin daha rahat öğrenilmesi sağlanmaktadır.
STIX ve TAXII ana besleyicisine abone olmak ve sistemi kullanmak oldukça kolaydır. Bunları kullanarak siber güvenliğinizi sağlamak için Staxx adında yardımcı bir program bulunmaktadır. Sistemi başlatmak için öncelikle Staxx programının indirilmesi gerekmektedir, sonrasında veri kaynaklarının yapılandırılması ve programın ayarlanması gerekmektedir.
Staxx programının kurulması ile kullanıcılar sisteme kaydolmak, tehdit aktörleri ve kampanyalar gibi alanlarda bilgi almaya yardımcı olmaktadır. Staxx ile ISAC ağları ve paylaşımları haricinde bulunan istihbarat merkezlerden gelen bilgilerde anlık sisteme eklenmektedir.
Bir program olarak kullanılabilen ISAC kaynakları olduğu gibi çevrim içi STIX ve TAXII kaynakları bulunmaktadır. STIX ve TAXII ye kayıt olmak ve destek olmak için bir çok yol bulunmaktadır. Aynı zamanda topluluk tarafından geliştirilen bu sisteme katkıda bulunmak için Oasıs ve Github gibi platformlardan destekler sağlanabilmektedir.
Bireyler, kuruluşlar, ürünler ve platformlar arasında hızlı ve derinlemesine bilgi aktarımı, siber saldırıların daha iyi önlenmesine ve azaltılmasına yol açabilir. Bu alanda yapılan çalışmalar için diğer ülke topluluklarından da destek alınabilmektedir.
STIX ve TAXII ana görevi olarak bilgi paylaşımı işlemi görmektedir. Bu nedenle bilgi paylaşımı oldukça önemlidir. Siber tehditler ile ilgili bilgilere ulaşmak için bir çok farklı bilgi kaynağı kullanılmaktadır. Bu sistem ile ise öncelikle elde edilen bu bilgiler nasıl paylaşılmalıdır olmaktadır. Sonrasında ise toplanan verilerin hızlı ve verimli aktarılması gerekmektedir. Ayrıca paylaşılan bilgilerin detaylı ve doğru olduğunun tespit edilmesi gerekmektedir.
İşte tüm bu sorunlar nedeniyle STIX ( Structured Threat Information Expression ), TAXII ( Trusted Automated Exchange of Intelligence Information ) sistemleri geliştirilmiştir. Github sisteminde inşası devam etmektedir. Bu sayede kullanıcılar en güvenli bilgilere ulaşabilmektedir. STIX ve TAXII ile kurumunuzu olası siber saldırılardan ve saldırganlardan kolayca koruyabilirsiniz. Aynı zamanda olası tehditleri paylaşarak da diğer kuruluşların korunması sağlanmaktadır.
STIX ve TAXII Bilgi Paylaşım ve Analiz Merkezleri ( ISAC ) ile birlikte çalışmaktadır. Edinilen her bilgi ISAC sistemine kaydedilmektedir. STIX ve TAXII kullanımı ile kurum ve kuruluşlar bir merkezden siber tehdit aldığında elde ettikleri tüm bilgiler ISAC sistemine kaydedilmektedir. Bu sayede de diğer kurumlar kendi güvenliklerini ve önlemlerini almaktadır.
Kuruluşlar kategorize edilmiş bilgiler sayesinde kendi edindikleri bilgileri ilgili kategorilere eklemektedir. Aynı zamanda kuruluşlar bu sisteme bilgi ekleyebildiği gibi bilgide alabilmektedir. Örnek vermek gerekirse bir kuruluş hedefi tespit edilen bir merkezden tehdit alırsa, tehdit olayı ile ilgili tüm bilgileri ISAC sistemine girmektedir. Sistemde bulunan diğer gruplar ise bu istihbaratı anında değerlendirip kendi güvenliklerini sağlayabilmektedir.
TAXII ile edinilen bir bilgi direkt olarak paylaşıldığı gibi ayrı ayrı gruplara da paylaşıla bilmektedir. Bu kapsamda ISAC sisteminde istenildiği kadar grup oluşturabilmektedir. Bu sayede gruplarda sadece o grubu ilgilendiren paylaşımlar yapılmaktadır. Aynı zamanda TAXII istemcisi olan kuruluşlara iletmek üzere sistemi ISAC sistemine yüklemektedir. ISAC ise önemli bilgilerin daha rahat öğrenilmesi sağlanmaktadır.
STIX ve TAXII ana besleyicisine abone olmak ve sistemi kullanmak oldukça kolaydır. Bunları kullanarak siber güvenliğinizi sağlamak için Staxx adında yardımcı bir program bulunmaktadır. Sistemi başlatmak için öncelikle Staxx programının indirilmesi gerekmektedir, sonrasında veri kaynaklarının yapılandırılması ve programın ayarlanması gerekmektedir.
Staxx programının kurulması ile kullanıcılar sisteme kaydolmak, tehdit aktörleri ve kampanyalar gibi alanlarda bilgi almaya yardımcı olmaktadır. Staxx ile ISAC ağları ve paylaşımları haricinde bulunan istihbarat merkezlerden gelen bilgilerde anlık sisteme eklenmektedir.
Bir program olarak kullanılabilen ISAC kaynakları olduğu gibi çevrim içi STIX ve TAXII kaynakları bulunmaktadır. STIX ve TAXII ye kayıt olmak ve destek olmak için bir çok yol bulunmaktadır. Aynı zamanda topluluk tarafından geliştirilen bu sisteme katkıda bulunmak için Oasıs ve Github gibi platformlardan destekler sağlanabilmektedir.
Bireyler, kuruluşlar, ürünler ve platformlar arasında hızlı ve derinlemesine bilgi aktarımı, siber saldırıların daha iyi önlenmesine ve azaltılmasına yol açabilir. Bu alanda yapılan çalışmalar için diğer ülke topluluklarından da destek alınabilmektedir.
STIX ve TAXII ana görevi olarak bilgi paylaşımı işlemi görmektedir. Bu nedenle bilgi paylaşımı oldukça önemlidir. Siber tehditler ile ilgili bilgilere ulaşmak için bir çok farklı bilgi kaynağı kullanılmaktadır. Bu sistem ile ise öncelikle elde edilen bu bilgiler nasıl paylaşılmalıdır olmaktadır. Sonrasında ise toplanan verilerin hızlı ve verimli aktarılması gerekmektedir. Ayrıca paylaşılan bilgilerin detaylı ve doğru olduğunun tespit edilmesi gerekmektedir.
İşte tüm bu sorunlar nedeniyle STIX ( Structured Threat Information Expression ), TAXII ( Trusted Automated Exchange of Intelligence Information ) sistemleri geliştirilmiştir. Github sisteminde inşası devam etmektedir. Bu sayede kullanıcılar en güvenli bilgilere ulaşabilmektedir. STIX ve TAXII ile kurumunuzu olası siber saldırılardan ve saldırganlardan kolayca koruyabilirsiniz. Aynı zamanda olası tehditleri paylaşarak da diğer kuruluşların korunması sağlanmaktadır.
