CAPEC、STIX 與 TAXII 協同解析
構建威脅情報自動化交換的完整生態系
現代資安防禦仰賴情報共享,但「如何描述攻擊、如何封裝情報、如何安全傳遞」三個問題長期缺乏統一標準。CAPEC、STIX、TAXII 正是為此而生,三者分工明確,協同構成威脅情報自動化交換的完整生態系。
CAPEC 與 STIX:從攻擊描述到情報封裝
CAPEC(Common Attack Pattern Enumeration and Classification) 是由 MITRE 維護的攻擊手法分類字典,以結構化方式定義攻擊模式、前置條件與緩解措施。每筆 CAPEC 條目皆有唯一 ID(如 CAPEC-66 代表 SQL Injection),可直接對應至真實攻擊行為。STIX(Structured Threat Information eXpression) 則是 OASIS 制定的 JSON 格式標準(目前為 STIX 2.1),負責將 CAPEC 所描述的攻擊手法、IoC、威脅行為者等情報,封裝成機器可讀的標準物件(SDO/SRO)。兩者的關係是:CAPEC 定義「攻擊是什麼」,STIX 負責「如何結構化表達」。
TAXII:讓情報安全流通的傳輸協定
TAXII(Trusted Automated eXchange of Intelligence Information) 是基於 HTTPS 的 REST API 通訊協定(目前為 TAXII 2.1),專為傳輸 STIX Bundle 而設計。它定義兩種核心資源:Collection(情報集合)與 Channel(訂閱推送)。組織可透過 TAXII Server 發布情報,訂閱方定期以 GET /collections/{id}/objects 拉取最新 STIX 物件,整個流程無需人工介入,實現端對端自動化。TAXII 解決的是「如何安全、可靠地傳遞情報」,完成三者生態系的最後一哩路。
GET https://taxii.example.com/api/collections/threat-feed/objects/
Authorization: Bearer <token>
Accept: application/taxii+json;version=2.1
# 回傳 STIX Bundle(含 CAPEC 攻擊模式參照)
{
"type": "bundle",
"objects": [{ "type": "attack-pattern", "external_references": [{"source_name": "capec", "external_id": "CAPEC-66"}] }]
}💡 重點整理
- CAPEC 提供攻擊手法的結構化分類字典,每筆條目對應真實攻擊模式。
- STIX 2.1 以 JSON 格式封裝情報,支援攻擊模式、IoC、威脅行為者等多種物件類型。
- TAXII 2.1 透過 HTTPS REST API 自動化傳輸 STIX Bundle,無需人工介入。
- 三者流程:CAPEC 定義手法 → STIX 封裝 → TAXII 傳遞,形成完整閉環。
CAPEC、STIX 與 TAXII 三者各司其職,共同解決威脅情報「描述、封裝、傳遞」的核心挑戰。導入此生態系,組織即可實現跨平台、跨機構的威脅情報自動化共享,大幅縮短威脅應對時間。
📚 參考文獻
- MITRE CAPEC 官方文件 — 攻擊模式分類字典完整資料庫
留言
張貼留言