Wissel effectiever dreigingsinformatie uit met STIX/TAXI 2.1

Een expertblog van Luitzen Homma en Christian Veenman
Expertblogs
2 juli 2026
Cyberaanvallen beperken zich zelden tot één organisatie. Kwaadwillenden vallen in veel gevallen meerdere organisaties tegelijk aan. Om te voorkomen dat meerdere organisaties slachtoffer worden, is snelle en gestandaardiseerde uitwisseling van dreigingsinformatie essentieel. Daarom heeft het Nationaal Cyber Security Centrum (NCSC) een aanvraag ingediend om versie 2.1 van STIX/TAXII, die effectieve en geautomatiseerde uitwisseling van dreigingsinformatie mogelijk maakt, op de 'Pas toe of leg uit'-lijst van Forum Standaardisatie op te laten nemen.

De opname vervangt de oudere versie van STIX/TAXI die al op de lijst stond. Dit betekent dat Nederlandse gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties verplicht zijn om deze open standaard uit te vragen bij de aanschaf of ontwikkeling van security-oplossingen, tenzij er een goede reden is om dat niet te doen. Ook andere organisaties worden opgeroepen om STIX/TAXII 2.1 te gebruiken voor het uitwisselen van dreigingsinformatie.

De kracht van realtime dreigingsinformatie uitwisselen

Stel dat een organisatie of een belangrijke leverancier doelwit wordt van een nog onbekende ransomware-campagne. De analisten identificeren bijvoorbeeld de IP-adressen of domeinen waarvan de aanval afkomstig is, dit worden ook wel indicators of compromise genoemd. Met STIX kunnen deze indicatoren gestructureerd worden vastgelegd in een machine-leesbaar formaat. Vervolgens kun je via het TAXII-protocol deze indicatoren geautomatiseerd en versleuteld delen met partners, andere leveranciers of een sectoraal samenwerkingsverband (zoals een ISAC). 

De beveiligingssystemen (zoals een SIEM of XDR) van de aangesloten organisaties lezen deze indicatoren direct in en zijn in staat vergelijkbaar kwaadaardig verkeer direct te detecteren en, indien gewenst, te blokkeren, zonder menselijke tussenkomst. Een dreiging die lokaal wordt waargenomen, wordt zo direct omgezet in collectieve actie. Ketenpartners zijn hierdoor zelf geen tijd kwijt met het identificeren van indicatoren en winnen cruciale tijd door op eenduidige wijze dreigingsinformatie uit te wisselen.

STIX_TAXII

Twee organisaties wisselen via STIX/TAXII 2.1 dreigingsinformatie uit, waarbij indicatoren van de ene organisatie naar de andere gaan en waarnemingen teruggekoppeld worden, binnen een SOC-omgeving met SIEM en SOAR.

Waarom STIX/TAXII versie 2.1?

Een belangrijke verbetering in STIX/TAXII 2.1 is de manier waarop het delen van dreigingsinformatie technisch wordt gefaciliteerd. In de oude STIX/TAXII 1.x-versies was bijvoorbeeld het terugleveren van dreigingsinformatie en sightings in theorie al mogelijk, maar door de complexe implementatie was het delen van dreigingsinformatie vaak eenrichtingsverkeer. STIX/TAXII 2.1 verbetert dit sterk door gebruik te maken van een modern JSON-gebaseerd datamodel en een REST-architectuur, in plaats van de verouderde XML- en SOAP-structuren. Dit maakt de implementatie van geautomatiseerde, bidirectionele uitwisseling (inclusief het direct terugleveren van sightings) vele malen makkelijker, waardoor het nu in de praktijk op grotere schaal gebruikt kan worden. Daarnaast biedt STIX 2.1 meer flexibiliteit voor het modeleren van dreigingsinformatie. Zo zijn STIX 1.x objecten die in de praktijk voor meerdere doelen gebruikt werden opsplits in duidelijkere entiteiten zoals Attack Pattern, Malware, Tool en Vulnerability. TAXII 2.1 verbetert de schaalbaarheid door features zoals paginatie, batchverwerkingen en betere filtering. Hierdoor kunnen grotere datasets efficiënter verwerkt worden in tegenstelling tot TAXII 1.x. 

Een bijkomend voordeel is dat STIX/TAXII 2.1 is gebouwd op moderne RESTful API's over HTTPS. Hierdoor kunnen systemen van verschillende organisaties eenvoudiger met elkaar integreren. Doordat STIX/TAXII een open standaard is, wordt eventuele leveranciersafhankelijkheid van specifieke securityoplossingen verkleind en biedt STIX/TAXII 2.1 een solide technologische basis om dreigingsinformatie uit te wisselen. Het NCSC zal zich komende periode inspannen om de ervaringen en lessen die zijn opgedaan door het gebruik van STIX/TAXII 2.1 mee te nemen in de doorontwikkeling van STIX/TAXII.

Aan de slag: 4 stappen voor een succesvolle implementatie van STIX/TAXII 2.1

1. Inventariseer je huidige CTI-capaciteiten
Breng in kaart welke dreigingsinformatie je momenteel al ontvangt (bijvoorbeeld van het NCSC of commerciële feeds) en hoe deze nu wordt verwerkt. Kijk in welke mate dit proces nog handmatig of via scripts verloopt.

2. Controleer de ondersteuning van je systemen
Veel systemen (zoals een Threat Intelligence Platform of SIEM) ondersteunen al STIX/TAXII 2.1. Vraag je leverancier naar STIX/TAXII 2.1 ondersteuning wanneer het niet duidelijk is of jouw specifieke securityoplossing dit ondersteunt of neem dit op als harde eis bij de aanschaf van nieuwe oplossingen.

3. Begin simpel
Start laagdrempelig door één betrouwbare bron, zoals een sector-ISAC geautomatiseerd in te lezen via een TAXII 2.1 client. Test of je systemen de STIX-objecten correct vertalen naar bruikbare alerts in je dashboard, zonder dat je organisatie overspoeld wordt met valse meldingen. Schaal dit hierna langzaam op naar meerdere bronnen.

4. Werk toe naar het actief produceren en delen van informatie
Zodra het consumeren stabiel verloopt, richt je het proces in om zelf bevindingen en dreigingsinformatie terug te delen. Bepaal intern welke informatie, zoals specifieke IP-adressen of malware-hashes, met de keten kunnen worden gedeeld om zo de bidirectionele cirkel rond te maken.
Door vandaag al stappen te zetten in de adoptie van STIX/TAXII 2.1, voorkom je dat je organisatie straks achter de feiten aanloopt. Bovendien draag je hierdoor bij aan de digitale veiligheid van je gehele ecosysteem.

Diagram van een keten van organisaties die via STIX/TAXII 2.1 continu cyber threat intelligence uitwisselen, waarbij alle partijen indicatoren en waarnemingen delen binnen hun SOC met SIEM- en SOAR-systemen.

Mogen we je wat vragen?