“Año del Bicentenario del 

Perú: 200 años de Independencia”

UNIVERSIDAD NACIONAL AGRARIA

DE LA SELVA

FACULTAD DE INGENIERÍA
EN
INFORMÁTICA Y SISTEMAS

STIX

CURSO:
Seguridad Informática II

DOCENTE:
Mg. William Rogelio, Marchand Niño

ESTUDIANTE:
Jean Fernando, Unzueta Diego

CICLO:
2021-I

TINGO MARÍA, 19-08-2021

 INDICE

I. INTRODUCCIÓN.................................................................................................3

II. OBJETIVOS.........................................................................................................4

III. IMPORTANCIA....................................................................................................5

IV. STIX.....................................................................................................................5

V. DETALLE TÉCNICO...........................................................................................8

VI. VENTAJAS Y DESVENTAJAS FRENTE A OTROS ESTÁNDARES..............10

VII. HERRAMIENTAS..............................................................................................11

7.1. Validador STIX:........................................................................................11

7.2. Validador de patrones:...........................................................................11

7.3. Visualización STIX:..................................................................................11

7.4. Coincididor de patrones STIX:...............................................................12

7.5. API de Python STIX 2:.............................................................................12

VIII. CONCLUSIÓN...................................................................................................12

IX. BIBLIOGRAFÍA.................................................................................................13

X. ANEXO...............................................................................................................13
I. INTRODUCCIÓN

En el siguiente trabajo se describe la investigación acerca de la expresión

estructurada de información sobre amenazas “STIX”, el trabajo lleva como
título “STIX”.
El siguiente trabajo está dividido en:

Los objetivos el cual se planteó para el presente trabajo de investigación

para su mejor desarrollo.

La importancia que tiene STIX frente a las cyber amenazas que se

puedan suscitar en una empresa, afectando los activos de ésta.

El desarrollo del tema, encontrando con un concepto más a detalle, el

proceso que se realiza, ventajas y desventajas frente a otros estándares
que realizan acciones similares a STIX.
II. OBJETIVOS
- Entender que es STIX.
- Conocer los objetos de dominio que comprende STIX (SDO y SRO).
- Identificar las ventajas y desventajas de STIX, frente a otros
estándares.
- Conocer las herramientas que contiene STIX.
III. IMPORTANCIA
La importancia de STIX, es que, mediante esta expresión estructurada de
información sobre amenazas, cuya información STIX puede representarse
visualmente para un analista o almacenarse como JSON para que así la
máquina pueda leerla rápidamente; todo ello permite la integración en
herramientas y productos existentes o se utiliza para sus necesidades
específicas de analista o red.

IV. STIX
La expresión de información de amenazas estructurada (STIX) es un
lenguaje y formato de serialización que se utiliza para intercambiar
inteligencia sobre amenazas cibernéticas (CTI). STIX permite a las
organizaciones compartir CTI entre sí, de manera coherente y legible por
máquina, lo que permite a las comunidades de seguridad comprender
mejor Ataques informáticos que es más probable que vean y anticipen y /
o respondan a esos ataques más rápido y eficaz.

STIX está diseñado para mejorar muchas capacidades diferentes, como

colaborativas, análisis de amenazas, intercambio de amenazas
automatizado, detección y respuesta automatizadas, y más.

Los objetos y funciones añadidos para su inclusión en STIX 2.1

representan un enfoque iterativo para cumplir con los requisitos básicos
requisitos de consumidores y productores para compartir CTI. Objetos y
propiedades no incluidos en esta versión de STIX, pero la comunidad lo
considera necesario, se incluirá en versiones futuras.

STIX es un esquema que define una taxonomía de inteligencia de

amenazas cibernéticas que está representada por lo siguiente objetos:

STIX Objects STIX

Bundle
STIX Core Objects STIX Meta Objects (SMO)
Object
STIX STIX STIX Extension Language Marking
Domain Cyber- Relationshi Definition Content Definition
Objects observable p Objects Objects Objects Objects
(SDO) Objects (SRO)
 (SCO)
Los objetos STIX categorizan cada parte de información con atributos
específicos que se deben completar. Encadenan varios objetos a través
de relaciones, ésta permite representaciones fáciles o complejas de CTI.
A continuación, se muestra una lista de lo que se puede representar a
través de STIX.

Objetos de relación STIX (SDO).

Objeto Nombre Descripción

Un tipo de TTP que describe las formas en que los

Patrón de
ataque adversarios intentan comprometer objetivos.

Una agrupación de comportamientos adversarios

que describe un conjunto de actividades o ataques
Campaña maliciosos (a veces llamados oleadas) que ocurren
durante un período de tiempo contra un conjunto
específico de objetivos.

Una recomendación de un productor de inteligencia

Curso de
a un consumidor sobre las acciones que podrían
acción
tomar en respuesta a esa inteligencia.

Afirma explícitamente que los objetos STIX

referenciados tienen un contexto compartido, a
Agrupamiento
diferencia de un paquete STIX (que explícitamente
no transmite contexto).

Individuos, organizaciones o grupos reales (por

ejemplo, ACME, Inc.) así como clases de individuos,
Identidad
organizaciones, sistemas o grupos (por ejemplo, el
sector financiero).

Contiene un patrón que puede usarse para detectar

Indicador actividad cibernética sospechosa o maliciosa.

Representa un tipo de TTP y describe cualquier

sistema, servicio de software y cualquier recurso
físico o virtual asociado destinado a respaldar algún
Infraestructura propósito (por ejemplo, servidores C2 utilizados
como parte de un ataque, dispositivo o servidor que
son parte de la defensa, servidores de base de datos
objetivo de un ataque, etc.).
 Un conjunto agrupado de comportamientos y
Conjunto de recursos contradictorios con propiedades comunes
intrusión que se cree que está orquestado por una sola
organización.

Representa una ubicación geográfica.

Localización

Tipo de TTP que representa código malicioso.

Software
malicioso

Los metadatos y los resultados de un análisis

Análisis de estático o dinámico en particular realizado en una
malware instancia o familia de malware.

Transmite texto informativo para proporcionar un

contexto adicional y / o para proporcionar un análisis
adicional que no está contenido en los objetos STIX,
Nota
los objetos de definición de marcado o los objetos de
contenido de lenguaje con los que se relaciona la
nota.

Transmite información sobre entidades relacionadas

Datos con la seguridad cibernética, como archivos,
observados sistemas y redes que utilizan los Objetos Ciber
observables (SCO) de STIX.

Una evaluación de la exactitud de la información en

Opinión un Objeto STIX producido por una entidad diferente.

Colecciones de inteligencia de amenazas centradas

en uno o más temas, como una descripción de un
Reporte
actor de amenaza, malware o técnica de ataque,
incluido el contexto y los detalles relacionados.

Individuos, grupos u organizaciones reales que se

Actor de cree que operan con intenciones maliciosas.
amenazas

Software legítimo que pueden utilizar los actores de

Herramienta amenazas para realizar ataques.
 Un error en el software que puede ser utilizado
Vulnerabilidad directamente por un pirata informático para obtener
acceso a un sistema o red.
 Objetos de relación STIX (SRO).

Objeto Nombre Descripción

Se utiliza para vincular dos SDO o SCO con el fin

Relación
de describir cómo se relacionan entre sí.

Denota la creencia de que se vio algo en CTI (por

Observación ejemplo, un indicador, malware, herramienta, actor
de amenazas, etc.).

V. DETALLE TÉCNICO
STIX serializa los datos en formato JSON y adopta un formato basado en
grafos para ofrecer una representación muy intuitiva de los objetos y
relaciones entre los mismos. Los objetos se agrupan en nueve dominios
claves: observables, indicadores, incidentes, procedimientos, objetivos de
explotación, acciones de respuesta, campañas, actores y reportes.

FIGURA: Detalle de elementos en STIX

La misión principal de STIX es la de servir de plataforma de definición e
intercambio de información sobre Ciberamenazas, incluyendo tanto los
detalles de estas como su contexto. STIX da soporte a cuatro casos de
uso principales:

1. El análisis de Ciberamenazas.
2. La especificación de patrones e indicadores.
3. La gestión de las actividades de respuesta.
4. La compartición de información sobre las amenazas.

Para ello, el estándar modela varias entidades en las que “capturar” la

información necesaria, que dan respuesta a las principales preguntas de
una gestión de incidentes de seguridad centrada en la compartición de
información de inteligencia sobre Ciberamenazas.

• Actores: ¿Quién(es) es(son) el(los) responsable(s) de la

amenaza?
• Campañas: ¿Por qué ocurre esto? ¿Con qué otras actividades
están relacionadas?
• Técnicas, Tácticas y Procedimientos: ¿Qué es exactamente lo
que ocurre? ¿Cómo tienen éxito los atacantes?
• Objetivos: ¿Qué vulnerabilidades y/o debilidades explota esta
amenaza?
• Indicadores: ¿Qué amenazas debo buscar en mis redes y
sistemas y por qué?
 • Incidentes: ¿Dónde se ha detectado/ materializado esta
amenaza?
• Observables cíber: ¿Qué actividad estamos viendo y que también
podría ser vista por otros?
• Líneas de acción: ¿Qué se puede hacer al respecto? ¿Cuáles
son mis opciones?

VI. VENTAJAS Y DESVENTAJAS FRENTE A OTROS

ESTÁNDARES.

ESTÁNDAR VENTAJAS DESVENTAJAS

 Estándar IETF definido por  Adopción limitada.
CERT/CSIRTS.  Orientada a incidentes,
 Independiente de puede contener información
IODEF fabricantes. sensible difícil de compartir.
 Formato flexible XML.  Alta granularidad que
dificulta implementaciones.

 Licencia libre (Apache 2).  Adopción limitada.

 Esquema XML.  Menor flexibilidad de
 Herramientas libres de integración.
OpenIOC gestión: IOC Editor, IOC  No soporta descripción de
Finder. tácticas, técnicas y/o
procedimientos de intrusión.

 Proporciona amplia lista de  Alta granularidad que

objetos detallados. dificulta implementaciones.
CybOx  Integración con STIX.
 Independiente de fabricante.

 Legibilidad. Representación  Adopción relativamente

global de objetos con grafos, reciente.
incluyendo relaciones.
STIX  Integración de esquema
CybOx.
 Flexibilidad para integrar
otros esquemas.
VII. HERRAMIENTAS

VII.1. Validador STIX:

La herramienta de validación STIX es un recurso útil para validar que

el contenido STIX JSON. Va más allá de lo que se verifica en los
esquemas y hace cumplir los requisitos MUST que los esquemas no
pueden capturar.

VII.2. Validador de patrones:

Otra herramienta de validación que puede utilizar ayuda a comprobar

los patrones STIX. Los patrones STIX son expresiones que
representan objetos Cyber Observable dentro de un indicador STIX
SDO. Son útiles para modelar la inteligencia que indica actividad
cibernética. Esta herramienta simplemente se asegura de que la
sintaxis del patrón se adhiera a la expresión del patrón.

VII.3. Visualización STIX:

Dado que muchas de las relaciones entre los objetos STIX pueden
ser difíciles de ver con solo mirar un bloque de JSON, se proporciona
la herramienta de visualización STIX para ayudar a convertir este
JSON en un diagrama más conciso y legible. La herramienta de
visualización también refuerza la comparación común de STIX 2.1
con un gráfico con nodos y bordes. Convierte los SDO en nodos y los
SRO en los bordes que conectan cada nodo. La herramienta está
basada en un navegador y también es interactiva, lo que le permite
arrastrar nodos para visualizar los objetos de diferentes maneras. Al
hacer clic en los nodos y los bordes, también puede obtener más
información sobre los SDO y SRO. También hay varias formas de
cargar JSON, incluso mediante un archivo, copiar y pegar, o un
enlace a una URL válida.
 VII.4. Coincididor de patrones STIX:

La herramienta de coincidencia de patrones le ofrece una forma de

comparar los datos observados de STIX con los patrones de los
indicadores de STIX. Es útil para determinar si los datos observados
coinciden con los criterios del patrón. Esto le permite asegurarse de
que la inteligencia del indicador represente correctamente los datos
observados. Sin embargo, cabe mencionar que esta herramienta es
actualmente un prototipo.

VII.5. API de Python STIX 2:

Finalmente, la API STIX 2 proporciona una variedad de

características y funcionalidades para crear contenido STIX 2.1. El
README proporciona la mejor sinopsis de la API, pero a
continuación se incluye una breve lista de la funcionalidad:
- Serializa / deserializa contenido JSON.
- Marcado de datos.
- Control de versiones.
- Resolución de ID de STIX en muchas fuentes.
- Crea SDO, SRO y paquetes.

VIII. CONCLUSIÓN
- Se entiende que STIX es una expresión de información de amenazas
estructurada cuyo objetivo es identificar alguna amenaza, para ello se
almacena en un JSON para su rápida lectura en máquina.
 - STIX agrupa objetos en 2 partes, uno es el SDO (Domain Objects –
Objetos de Dominio) y el SRO (Relationship Objects – Objetos de
Relación), el primero es el funcionamiento que comprende toda la
estructura de STIX, mientras que el SRO realiza la observación y
busca algún vinculo de 2 SDO o SCO con el fin de descubrir como se
relacionan entre sí.
- Se reconoció las ventajas y desventajas de STIX frente a otros
estándares que realizan la misma operación, descubriendo de esta
manera que STIX es la mejor alternativa por el momento, ya que al ser
nueva aún no se realizan varios estudios prácticos en empresas que
tengan implementada en su infraestructura.
- Se pudo conocer algunas herramientas que comprende STIX para el
respectivo análisis de alguna amenaza o malware, el cual se detalló en
el presente trabajo.

IX. BIBLIOGRAFÍA

https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=cti

https://oasis-open.github.io/cti-documentation/resources

https://www.researchgate.net/publication/271840939

http://www.ieee.es/Galerias/fichero/cuadernos/CE_185.pdf

X. ANEXO

Ejemplo basado en JSON de un objeto de campaña STIX.

Ejemplo
de relación STIX