В Black Hat Splunk, AWS, IBM Security и другие запускают платформу кибербезопасности с открытым исходным кодом
15 августа 2023 г.В ресторане, где официанты, шеф-повара и повара говорят на одном языке, но используют разные слова для обозначения блюд в меню, вы можете заказать биск из лобстера и получить стейк с картофелем фри. Похожая проблема с Вавилонской башней существует и в кибербезопасности, особенно с учетом роста угроз в 2023 году — разные поставщики средств защиты не часто используют одни и те же строки JavaScript для определения событий или даже таких параметров, как даты и конечные точки.
Консорциум, возглавляемый Splunk и AWS, надеется исправить это, стандартизировав запись событий в журналах и снизив нагрузку на группы безопасности по расшифровке предупреждений, которые они получают от различных инструментов и поставщиков.
Перейти к:
- Платформа Open Cybersecurity Schema Framework общедоступна.
Роза под любым другим именем, кроме JSON
Как OCSF основывается на предыдущих схемах
Преодолеть болтовню, чтобы найти правильное кибер-решение
Платформа Open Cybersecurity Schema Framework общедоступна.
На прошлой неделе на конференции Black Hat поставщик систем безопасности Splunk объявил об общедоступности Open Cybersecurity Schema Framework. Это проект с открытым исходным кодом, размещенный на GitHub, предназначенный для устранения разрозненности данных безопасности и стандартизации форматов событий для разных поставщиков и приложений.
SEE: Что происходит в Black Hat… Больше с конференции 2023 года (TechRepublic)
Когда OCSF впервые был анонсирован на Black Hat 2022, в нем участвовало 18 организаций. Сейчас в OCSF входят 145 компаний по обеспечению безопасности, включая AWS и IBM, а также 435 индивидуальных участников. Splunk описывает OCSF как открытую и расширяемую структуру, которую организации могут интегрировать в любую среду, приложение или решение, чтобы дополнить существующие стандарты и процессы безопасности.
Роза под любым другим именем, кроме JSON
По своей сути OCSF представляет собой схему нотации объектов JavaScript. В JavaScript данные представлены серией строк кода с кавычками и скобками. Хотя существует открытая стандартная нотация для журналов JavaScript, называемая JSON, имена JSON для различных событий не стандартизированы — это проблема, которую должен решать OCSF.
Марк Райланд, директор офиса директора по информационной безопасности в AWS, сказал: «Отличный пример — среднее время по Гринвичу, GMT. Каждый инструмент может кодировать его, но по-разному, поэтому, если я пытаюсь выполнить сравнение дат, я могу увидеть много представлений данной даты по Гринвичу. Каждый инструмент описывает реальность, которую он видит, немного по-разному, в зависимости от того, как он делится этой информацией».
Он сказал, что из-за этого аналитики в конечном итоге смотрят на несколько экранов и фактически вырезают и вставляют данные для представления данных в денормализованном виде.
«Работая со Splunk и другими поставщиками, мы поняли, что если бы мы могли сократить время, затрачиваемое на очистку, исправление и преобразование данных, мы могли бы повысить производительность команд безопасности, потому что проблема будет решаться в единых форматах для всей телеметрии», — сказал он. сказал.
ПОСМОТРЕТЬ: Искусственный интеллект «манипулирует» в Black Hat: проклятие или благо для кибербезопасности? (ТехРеспублика)
Патрик Кафлин, генеральный вице-президент по рынкам безопасности в Splunk, отметил, что группы безопасности в организациях часто используют до 100 инструментов, каждый из которых имеет разные структуры, форматы и способы отображения предупреждений.
«Это серьезная проблема, когда мы говорим об усталости от бдительности», — сказал он. «Если мне приходится общаться с разными системами, которые говорят об оповещениях по-разному, это намного хуже. OCSF объединяет все это таким образом, что его гораздо легче понять, а также автоматизировать».
Райан Ковар, выдающийся стратег безопасности в Splunk и директор подразделения компании SURGe по изучению и анализу угроз, сказал, что если, например, атакующий с помощью программы-вымогателя шифрует файловую систему, способ, которым это событие шифрования программы-вымогателя распознается в журнале событий одним поставщиком может сильно отличаться от того, как его распознает другой.
«Если существует несколько проприетарных таксономий для предупреждений — по одной для каждого из ваших поставщиков систем безопасности — вы больше не можете сказать, выдают ли они предупреждения об одном и том же событии или нет. Напротив, решения по обеспечению безопасности, использующие схему OCSF, производят данные в одном и том же согласованном формате, поэтому специалисты по безопасности могут сэкономить время и силы на нормализации данных и быстрее приступить к их анализу, сокращая время до обнаружения».
Как OCSF основывается на предыдущих схемах
Основываясь на работе по схеме ICD, проделанной в Symantec, OCSF включает вклады от 15 дополнительных первоначальных участников, включая: Cloudflare, CrowdStrike, DTEX, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro и Зскалер.
Коуфлин пояснил, что, несмотря на то, что за последнее десятилетие было выдвинуто несколько стандартов и инициатив в отношении данных и кибербезопасности, включая STIX (структурированное выражение информации об угрозах, стандартизированный язык программирования XML для киберугроз) и TAXII (для доверенного автоматизированного обмена индикаторной информацией , транспортный протокол для обмена информацией об угрозах между организациями), он удивлен скоростью внедрения OCSF.
«Мы наблюдаем значительное ускорение внедрения OCSF», — сказал он. «Если бы вы спросили меня 12 месяцев назад, когда мы были здесь, я бы сказал, что это будет медленный и долгий путь к успеху, потому что стандарты жесткие, а компании территориальны. Я только что узнал, что Barracuda, например, уже выпустила свой первый продукт, который изначально интегрируется с OCSF, поэтому за последний год он вырос на порядки. Большая фундаментальная разница за последние 12 месяцев заключается в том, что теперь мы можем указать на продукты и возможности на рынке, соответствующие требованиям OCSF, которых у нас не было в прошлом году».
Преодолеть болтовню, чтобы найти правильное кибер-решение
Распространение решений для обеспечения безопасности может поставить покупателей в тупик. Чтобы узнать больше о критериях выбора решения для кибербезопасности, которое может блокировать кибератаки и защищать разрешенный трафик от угроз, загрузите это подробное руководство. Он покажет вам, как эффективно оценивать решения в области кибербезопасности с помощью процесса запроса предложений.
Оригинал