Cómo OCA potencia su viaje XDR


Prolonged Detection & Reaction (XDR) se ha convertido en una palabra de moda en la industria que promete llevar la detección y la respuesta a nuevas alturas y mejorar la efectividad de las operaciones de seguridad. No solo los clientes y proveedores están detrás de esto, sino también grupos industriales como Alianza Abierta de Ciberseguridad (OCA) comparten este mismo objetivo y hay algunos proyectos abiertos para aprovechar para este esfuerzo.

Promesa XDR

Comencemos con una comprensión de XDR. Existe una variedad de definiciones de XDR, pero al final del día hay capacidades y resultados centrales deseados.

  • Vaya más allá del punto remaining con capacidades de respuesta y detección avanzadas y automatizadas, y cubrir todos los vectores—Puntos finales, redes, nube, etcetera. agregando y correlacionando información de forma automática en una vista unificada.

Beneficio: Elimina los silos y reduce la complejidad. Potencie las operaciones de seguridad para responder y proteger más rápidamente.

  • Habilite las funciones de seguridad para trabajar juntos para compartir inteligencia y conocimientos, y coordinar acciones.

Beneficio: Ofrezca mejores y más rápidos resultados de seguridad.

Esto requiere que las funciones de seguridad estén conectadas para crear un lago de datos compartido de conocimientos y sincronizar las capacidades de detección y respuesta en toda la empresa. los Alianza Abierta de Ciberseguridad (OCA) comparte esta visión para brindar fácilmente interoperabilidad entre productos de seguridad y simplificar la integración en todo el ciclo de vida de las amenazas. OCA permite esto con varios proyectos de código abierto disponibles para la industria.

Proyectos de OCA que permiten XDR

Cree un camino basic para que la seguridad funcione en conjunto

Para conectar las soluciones de seguridad, se necesita un camino consistente y fácil de usar. Contribuido por McAfee Ontología OpenDXL es un formato de mensajería común para permitir el intercambio de datos en tiempo real y permitir funciones de seguridad dispares para coordinar y orquestar acciones. Se basa en otros estándares abiertos comunes para el contenido de los mensajes (OpenC2, STIX, and so on.). Los proveedores y las organizaciones pueden utilizar el conjunto categorizado de mensajes para realizar acciones en productos de ciberseguridad y notificaciones que se utilizan para señalar cuándo ocurren eventos importantes relacionados con la seguridad. Hay varios modos de comunicación, uno a uno o uno a muchos. Además, existe un modelo de autenticación y autorización centralizado entre las funciones de seguridad. Algunos ejemplos incluyen, pero no se limitan a:

  • La solución de punto last alerta a todas las soluciones de seguridad de crimson para que bloqueen direcciones IP y URL maliciosas verificadas.
  • Las soluciones de seguridad net y de endpoint detectan comportamientos sospechosos en ciertos dispositivos que llaman a una dirección URL. Se desea realizar una investigación, pero se necesita más tiempo para hacerlo. Se crea automáticamente un ticket en la mesa de servicio de TI y los dispositivos seleccionados se ponen temporalmente en cuarentena de la crimson principal para minimizar el riesgo.

El código de muestra en el sitio de OCA demuestra cómo integrar la ontología en productos de seguridad existentes y soluciones relacionadas. Todo el mantra aquí es integrar una vez y poder compartir información con todas las herramientas / productos que aprovechan OpenDXL Ontology.

OpenDXL es la iniciativa abierta de la que se derivó inicialmente OpenDXL Ontology. La tecnología Information Exchange Layer (DXL) desarrollada por McAfee está siendo utilizada por 3000 organizaciones en la actualidad y es la capa de transporte utilizada para compartir información casi en tiempo genuine. La tecnología OpenDXL también es la base del MVISION Marketplace de McAfee, donde las organizaciones pueden redactar fácilmente sus acciones de seguridad y cumplir con la promesa XDR de trabajar juntas.

Quien haya seguido DXL puede preguntarse qué hace que la onotología de OpenDXL sea diferente de DXL. DXL es un bus de comunicación. La ontología OpenDXL es el lenguaje común que permite compartir y colaborar de manera fácil y consistente entre muchas herramientas diferentes en la ruta DXL.

Normalice los datos sobre amenazas cibernéticas para un mejor intercambio

Para optimizar la inteligencia de amenazas entre las herramientas de seguridad más fácilmente, es necesario homogeneizar los datos para que puedan leerse y analizarse fácilmente. Contribuido por IBM, STIX -Shifter es una biblioteca de patrones de Python de código abierto para normalizar datos entre dominios. La expresión de información estructurada sobre amenazas (STIX ™) es un formato de lenguaje y serialización que se utiliza para intercambiar inteligencia sobre amenazas cibernéticas (CTI). Muchas organizaciones han adoptado STIX para comprender mejor la inteligencia sobre amenazas cibernéticas.

STIX permite a las organizaciones compartir CTI entre sí de una manera coherente y legible por máquina representada con objetos y relaciones almacenados en JavaScript Item Notation (JSON). Usos de STIX-Shifter Patrones STIX para devolver resultados como Observaciones STIX. Esto permite a las comunidades de seguridad comprender mejor qué ataques informáticos es más possible que vean, anticipen y / o respondan a esos ataques de forma más rápida y eficaz. Lo que es único es la capacidad de STIX-Shifter para buscar los tres tipos de datos: purple, archivo y registro. Esto le permite crear consultas y análisis complejos en muchos dominios, como la gestión de eventos e información de seguridad (SIEM), endpoints, redes y niveles de archivos.

STIX está diseñado para mejorar muchas capacidades diferentes, como el análisis colaborativo de amenazas, el intercambio automatizado de amenazas, la detección y respuesta automatizadas, y más. Aquí hay un gran Introducción al video de STIX-Shifter (poco menos de 7 minutos) para mirar.

Logre el cumplimiento de la comunicación interoperable crítica

Protocolo de automatización de contenido de seguridad versión 2 (SCAP v2) es una arquitectura de recopilación de datos que permite el monitoreo continuo en tiempo true para el cumplimiento de la configuración y para detectar la presencia de versiones vulnerables de computer software en activos cibernéticos. Ofrece protocolos de transporte para permitir la comunicación interoperable segura de la información de automatización de la seguridad, lo que permite respuestas más activas a los cambios en las posturas de seguridad a medida que ocurren. SCAP v2 se derivó del Instituto Nacional de Tecnología de Estándares (NIST).

Para aprovechar plenamente los beneficios de una estrategia XDR en evolución, las empresas deben asegurarse de que la plataforma que seleccionen esté construida sobre una arquitectura abierta y versatile con un amplio ecosistema de proveedores de seguridad integrados. La innovación y el liderazgo de McAfee en Open up Cybersecurity Alliance brindan a los clientes la confianza de que, a medida que evoluciona su entorno de seguridad, también lo hará su capacidad para integrar eficazmente todas las tecnologías relevantes, la telemetría que generan y los resultados de seguridad que brindan.

Si su organización aspira a XDR, los proyectos de OCA traen las tecnologías para ayudar a unir sus funciones de seguridad. Muchos proveedores están aprovechando el OCA en sus ecosistemas XDR. Aprovecha los proyectos y únete a OCA si desea influir y contribuir a la seguridad abierta trabajando juntos con facilidad.





Enlace a la noticia initial