Experts: overheid moet dreigingsinformatie uitwisselen via STIX en TAXII 2.1
Overheidsinstanties moeten worden verplicht om informatie over digitale dreigingen en cyberaanvallen via nieuwe versies van STIX en TAXII uit te wisselen, zo adviseren experts (pdf). Structured Threat Information Expression biedt een datamodel om informatie over dreigingen uit te wisselen op een manier die zowel mensen als machines kunnen begrijpen. Trusted Automated eXchange of Indicator Information is een toepassingsprotocol voor het verkrijgen en verstrekken van dreigingsinformatie.
"Mede door toenemende cyberdreigingen is er steeds meer aandacht voor de digitale weerbaarheid van organisaties. Kennis over actuele cyberdreigingen is hierbij essentieel. STIX heeft een belangrijke rol voor goede informatie-uitwisseling van dreigingsinformatie" zo staat in het expertadvies. "Het biedt een consistent, gestructureerd en machineleesbaar formaat om indicatoren, incidenten en dreigingsactoren eenduidig te beschrijven, verkrijgen en verstrekken." TAXII ondersteunt het uitwisselen van dreigingsinformatie die in STIX aanwezig is.
Het Forum Stanaardisatie houdt een 'Pas toe leg uit' lijst bij met standaarden die overheidsinstantie verplicht moeten toepassen. Op deze lijst staan oudere veries van STIX en TAXII vermeld. Er is nu een Internetconsultatie gestart waarin het Forum Standaardisatie het publiek vraagt of versie 2.1 van STIX en TAXII geschikt zijn om te verplichten aan de overheid. Deze versies bevatten ten opzichte van de oudere versies allerlei verbeteringen. Zo maakt de nieuwe versie van STIX het mogelijk om gedetailleerdere en volledigere informatie te verkrijgen en verstrekken.
Het is bijvoorbeeld mogelijk om informatie te verkrijgen en verstrekken over het gedrag van een aanvallers, iets wat in de vorige versie nog niet mogelijk was. Daarnaast zou de nieuwe versie makkelijker implementeerbaar moeten zijn. Volgens experts maken veel organisaties, waaronder het Nationaal Cyber Security Centrum (NCSC), al gebruik van de nieuwe versie. Het publiek kan tot 16 februari reageren op het plan om STIX en TAXII 2.1 op de 'Pas toe leg uit' lijst te plaatsen.
Aaaaaaaaaaaaaaaaaaaaa
Zo, dat moest er even uit.
De overheid deelt informatie ook met het bedrijfsleven. Ik kan je uit persoonlijke ervaring vertellen dat zowel 'de overheid' als het bedrijfsleven iets doet met deze informatie. Maar ja, lekker overheid bashen onder elk bericht is natuurlijk iets wat hier altijd moet.
De ‘Pas toe of leg uit’-status van STIX versie 1.2.1 en TAXII versie 1.1.1 loopt achter op de dagelijkse praktijk. Veel organisaties, waaronder NCSC, gebruiken reeds versie 2.1. Ook internationaal geldt versie 2.1 als de facto versie van beide standaarden. STIX en TAXII versie 2.1 bieden ten opzichte van de vorige versies meerwaarde. De standaarden zijn verbeterd op meerdere punten ten opzichte van hun voorgaande versies.
Met andere woorden: bij blijven zou geen internetconsultatie moeten vergen, achterop gaan lopen wel.
Maar het voorschrijven van deze norm legt ook bloot hoe ver bedenkers van dit soort plannen in hun "ivoren torens" van de dagelijkse praktijk afstaan. In theorie is dit een prima plan, maar 80% van de overheidsinstanties zijn helemaal niet in staat om dit soort informatie op een goede manier te gebruiken. Die hebben basale monitoring niet eens op orde, laat staan dat ze iets met STIX/TAXII kunnen. Lijkt me verstandig om eerst de basale monitoring op orde te brengen, pas daarna zou ik over dit soort professionalisering gaan nadenken. (Bron: https://ibestuur.nl/digitale-weerbaarheid/digitale-veiligheid/management-rooskleuriger-over-niveau-van-security).
En dat het management zichzelf een 7,1 toekent is ook schrikbarend. Eigenlijk zou elke organisatie die zichzelf dit cijfer toekent door een audit organisatie doorgelicht moeten worden, of nog beter, een TIBER-test moeten ondergaan (zie: https://ibestuur.nl/data-en-ai/digitale-veiligheid/red-teaming-wordt-rijksbreed-ingevoerd. Als die bevestigen dat alles op orde is, is een zeven (of hoger) te rechtvaardigen. Ik vrees echter dat bij 75% van de organisaties substantiële gebreken worden gevonden.
Maar het voorschrijven van deze norm legt ook bloot hoe ver bedenkers van dit soort plannen in hun "ivoren torens" van de dagelijkse praktijk afstaan. In theorie is dit een prima plan, maar 80% van de overheidsinstanties zijn helemaal niet in staat om dit soort informatie op een goede manier te gebruiken. Die hebben basale monitoring niet eens op orde, laat staan dat ze iets met STIX/TAXII kunnen. Lijkt me verstandig om eerst de basale monitoring op orde te brengen, pas daarna zou ik over dit soort professionalisering gaan nadenken. (Bron: https://ibestuur.nl/digitale-weerbaarheid/digitale-veiligheid/management-rooskleuriger-over-niveau-van-security).
En dat het management zichzelf een 7,1 toekent is ook schrikbarend. Eigenlijk zou elke organisatie die zichzelf dit cijfer toekent door een audit organisatie doorgelicht moeten worden, of nog beter, een TIBER-test moeten ondergaan (zie: https://ibestuur.nl/data-en-ai/digitale-veiligheid/red-teaming-wordt-rijksbreed-ingevoerd. Als die bevestigen dat alles op orde is, is een zeven (of hoger) te rechtvaardigen. Ik vrees echter dat bij 75% van de organisaties substantiële gebreken worden gevonden.
Men zou toch kunnen beginnen bij het centrale SOC?
Daar worden meer en meer diensten op onboarded, met BIV als prioritering.
De ‘Pas toe of leg uit’-status van STIX versie 1.2.1 en TAXII versie 1.1.1 loopt achter op de dagelijkse praktijk. Veel organisaties, waaronder NCSC, gebruiken reeds versie 2.1. Ook internationaal geldt versie 2.1 als de facto versie van beide standaarden. STIX en TAXII versie 2.1 bieden ten opzichte van de vorige versies meerwaarde. De standaarden zijn verbeterd op meerdere punten ten opzichte van hun voorgaande versies.
Met andere woorden: bij blijven zou geen internetconsultatie moeten vergen, achterop gaan lopen wel.
Hier ben ik het niet helemaal met je eens. Het is niet alleen het slordige XLM vervangen door JSON.
STIX 2.1 is niet alleen een update met 262 pagina's documentie, er zijn veranderingen aangebracht.
Lees paragraaf 10.18 van de OASIS-specificatie (versie april 2025), bij het kopje "Opinion" Er is een 'Opinion Enumeration' toegevoegd die oordelen over actoren omzet in een numerieke schaal van 1 tot 5 gekoppeld aan de Opinions: strongly-disagree, disagree, neutral, agree, strongly-agree.
Kunnen we wel net doen of dit over bescherming van de digitale economie en wat web-winkeltjes gaat. BZK heeft het schrijven van dit advies voor Forum Standarisering uitbesteed aan Innovalor
https://docs.oasis-open.org/cti/stix/v2.1/errata01/csd01/stix-v2.1-errata01-csd01-complete.pdf
Maar het voorschrijven van deze norm legt ook bloot hoe ver bedenkers van dit soort plannen in hun "ivoren torens" van de dagelijkse praktijk afstaan. In theorie is dit een prima plan, maar 80% van de overheidsinstanties zijn helemaal niet in staat om dit soort informatie op een goede manier te gebruiken. Die hebben basale monitoring niet eens op orde, laat staan dat ze iets met STIX/TAXII kunnen.
De eerste regels uit het Innovalor advies is een juridisch strategische meesterzet op het schaakbord: Door de woorden "gestructureerde uitwisseling" te vervangen door "verstrekken en/of verkrijgen", verschuift de juridische grondslag van een technische methode naar een bestuurlijke handeling. (het pdf in redactionele artikel)
STIX 1.2.1 en TAXII 1.1.1 moeten worden toegepast op de gestructureerde uitwisseling
van informatie over digitale dreigingen tegen informatiesystemen.
De experts adviseren het functioneel toepassingsgebied te wijzigen naar:
STIX en TAXII moeten worden toegepast op verstrekken en/of verkrijgen van
informatie over cyberdreigingen tegen netwerk- en informatiesystemen
Daarom gaat dit de internetconsultatie in. Voor de "pas toe of leg uit (waarom je het niet doet)" Ik kan je links naar ibestuur artikelen helaas niet lezen, zou je ze even op achive.io kunnen opslaan, zodat we ze ze allemaal kunnen lezen.? Alvast dank, ik ben nieuwsgierig naar de inhoud, al heb je die samengevat.
Gaat om deze twee:
https://ibestuur.nl/data-en-ai/digitale-veiligheid/red-teaming-wordt-rijksbreed-ingevoerd.
https://ibestuur.nl/digitale-weerbaarheid/digitale-veiligheid/management-rooskleuriger-over-niveau-van-security
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Analist IT/OT
Als Security Analist IT/OT draag jij bij aan het verder professionaliseren van onze digitale weerbaarheid. Je bewaakt da-gelijks de veiligheid van onze IT- en OT-omgevingen en zorgt ervoor dat risico’s tijdig worden gesignaleerd en opgevolgd. Zo help je mee om vitale processen rondom water en onze kantoorauto-matisering betrouwbaar en veilig te laten functioneren.
Information Security Manager IT/OT
Als Information Security Manager IT/OT zorg jij ervoor dat informatiebeveiliging binnen onze IT- en OT-omgevingen niet alleen op papier klopt, maar aantoonbaar werkt in de uitvoering. Je richt je op het veilig en betrouwbaar functioneren van operationele processen en draagt bij aan een volwassen, risicogestuurde be-veiliging van onze vitale infrastructuur.
Security Architect IT/OT
Als Security Architect IT/OT geef jij richting aan de technische en architec-tonische inrichting van veilige IT- en OT-omgevingen. Je vertaalt bestaand beleid en wet- en regelgeving naar concrete, uitvoerbare ontwerpprincipes en bewaakt de samenhang tussen techniek, organi-satie en risico’s.
