Nel panorama in continua evoluzione della cybersecurity, la capacità di raccogliere, strutturare e condividere in modo efficiente le informazioni sulle minacce (threat intelligence) è divenuta un’esigenza strategica per imprese, pubbliche amministrazioni e organismi di difesa. Ma per trasformare questa mole crescente di dati grezzi in conoscenza utile, servono standard di rappresentazione e canali di comunicazione che siano al tempo stesso interoperabili, automatizzabili e capaci di supportare una risposta collettiva agli attacchi informatici. È proprio su questo fronte che si inseriscono due strumenti fondamentali, spesso citati insieme ma distinti nei loro ruoli: STIX e TAXII.
STIX: strutturare la conoscenza sulle minacce
STIX, acronimo di Structured Threat Information Expression, è uno standard di rappresentazione dei dati che consente di modellare in maniera formale tutti gli elementi di una minaccia informatica. La sua funzione non è semplicemente quella di “descrivere” un attacco, ma di catturarne la semantica operativa, le dipendenze logiche e le interazioni fra gli oggetti coinvolti. STIX è un linguaggio di serializzazione basato su JSON, progettato per essere letto e processato sia da esseri umani sia da sistemi automatici, e perciò adatto all’integrazione con strumenti di sicurezza come SIEM, SOAR, EDR e piattaforme di correlazione eventi.
Il framework STIX 2.1, attualmente alla base delle implementazioni più moderne, si articola in oggetti chiamati STIX Domain Objects (SDOs), che rappresentano concetti fondamentali come gli indicatori (Indicator), gli attori avversari (Threat Actor), le vulnerabilità (Vulnerability), le tecniche e tattiche (Attack Pattern), gli incidenti (Incident) e le infrastrutture (Infrastructure). A questi si aggiungono i Relationship Objects, che mappano le connessioni tra SDO diversi, permettendo di costruire grafi semantici che rappresentano in dettaglio catene di attacco complesse.
Un esempio pratico può chiarire l’utilità di questo approccio: un oggetto Malware può essere collegato a uno o più Indicators, che a loro volta possono essere associati a una specifica Campaign di attacco. Questo modello consente di passare dalla semplice raccolta di IOC (Indicator of Compromise) a una rappresentazione completa del ciclo di vita di una minaccia, arricchita da contesto, attribuzione e possibile impatto.
TAXII: il canale sicuro per scambiare la threat intelligence
TAXII, Trusted Automated Exchange of Intelligence Information, è invece il protocollo che abilita la trasmissione automatica, sicura e normalizzata delle informazioni espresse in STIX. Se STIX rappresenta la “forma” della conoscenza, TAXII ne costituisce il “mezzo” di distribuzione. Si tratta di una serie di specifiche RESTful che permettono lo scambio di oggetti STIX attraverso richieste HTTP sicure, tipicamente in HTTPS, supportando operazioni di collection, discovery, polling, subscription e push notification.
La versione più recente, TAXII 2.1, migliora sensibilmente l’usabilità rispetto alle versioni precedenti, introducendo una gestione raffinata delle collections (repository logici di oggetti STIX), dei filtri di interrogazione (basati su ID, timestamp, tipo di oggetto e altri criteri) e dei meccanismi di autenticazione via bearer token. In scenari reali, questo significa che un’azienda può ricevere quotidianamente da un provider feed strutturati di minacce in tempo reale, filtrati per rilevanza e integrabili con i propri sistemi difensivi senza necessità di parsing manuali o conversioni custom.
Perché STIX e TAXII sono diventati uno standard de facto
Nel corso degli ultimi anni, STIX e TAXII sono stati adottati in maniera crescente da parte di vendor commerciali, agenzie governative e framework comunitari. MITRE, ad esempio, ha integrato completamente la propria matrice ATT&CK in formato STIX, rendendo possibile l’automazione delle correlazioni tra comportamenti tattici noti e rilevamenti su reti e endpoint. Molti fornitori di threat intelligence — tra cui Anomali, Recorded Future, IBM X-Force, Mandiant e altri — distribuiscono feed TAXII accessibili in abbonamento o tramite piattaforme commerciali.
Anche in Europa, l’Agenzia dell’Unione europea per la cybersicurezza (ENISA) promuove attivamente l’adozione di questi standard come strumento per l’interoperabilità tra CSIRT nazionali e soggetti privati. Il progetto MeliCERTes, sviluppato in ambito comunitario, utilizza STIX e TAXII come linguaggio e canale per lo scambio informativo tra i Computer Security Incident Response Team (CSIRT) dei Paesi membri.
In ambienti enterprise, questi strumenti abilitano use case avanzati come la threat enrichment automatica (arricchimento dei log con contesto di minaccia), l’individuazione precoce di IOC su larga scala, e la costruzione di knowledge graph della cyber kill chain. Ma la loro utilità si estende anche alla compliance: regolamenti come il NIS2 e il DORA richiedono capacità strutturate di condivisione delle minacce, e STIX/TAXII forniscono un percorso concreto verso l’adempimento di tali obblighi.
Una sfida di qualità, non solo di quantità
Va però ribadito un punto essenziale: la mera adozione di STIX e TAXII non garantisce di per sé una threat intelligence efficace. La qualità dei dati condivisi, la tempestività nella loro diffusione e la correttezza delle relazioni semantiche all’interno dei modelli STIX sono determinanti per il successo operativo. Una modellazione imprecisa o la diffusione di IOC non contestualizzati possono generare falsi positivi, inefficienze e, nel peggiore dei casi, un senso di sicurezza ingannevole.
Per questo motivo, numerosi attori stanno investendo in strumenti di validazione e normalizzazione dei feed, in ontologie di sicurezza comuni e in tecniche di machine learning per arricchire dinamicamente gli oggetti STIX con metadati predittivi, sfruttando anche fonti OSINT e feed comportamentali.