Nuevo grupo intersectorial lanza un marco abierto de ciberseguridad



BLACK HAT Usa – LAS VEGAS – Amazon Website Solutions (AWS) y Splunk lideran un esfuerzo de la industria de 18 proveedores de sistemas y seguridad para estandarizar cómo los diferentes sistemas de monitoreo comparten alertas de seguridad. El objetivo es ofrecer una taxonomía simplificada e independiente del proveedor para ayudar a los equipos de seguridad a ingerir y analizar datos de seguridad más rápido.

Las empresas anunciaron el Open Cybersecurity Schema Framework (OCSF) durante la Conferencia Black Hat United states el miércoles en Las Vegas. Las empresas participantes son Broadcom (Symantec), Cloudflare, CrowdStrike, DTEX, IBM Protection, IronNet, JupiterOne, Okta, Palo Alto Networks, Immediate7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro y Zscaler.

Detectar y detener los ciberataques actuales requiere la coordinación de las herramientas de ciberseguridad, pero muchas de estas herramientas no son interoperables y hay demasiados formatos de datos diferentes. La especificación OCSF normalizará la telemetría de seguridad en varios productos y servicios de seguridad, dijo Mark Ryland, director de la oficina del CISO en AWS, en un entrada de weblog anunciando el proyecto.

«Los equipos de seguridad tienen que correlacionar y unificar los datos de múltiples productos de diferentes proveedores en una variedad de formatos patentados», escribió Ryland. «En lugar de centrarse principalmente en detectar y responder a los eventos, los equipos de seguridad dedican tiempo a normalizar estos datos como requisito previo para la comprensión y la respuesta».

OCSF, que amplía la Especificaciones del esquema ICD desarrollado originalmente por la división Symantec de Broadcom, ofrece una colección de tipos de datos, un diccionario de atributos y una taxonomía escrita en JSON, según un descripción standard de la especificación disponible en GitHub. Los colaboradores pueden utilizar y ampliar el marco y mapear los diversos esquemas de ingesta y normalización de datos en un lenguaje común de detección de amenazas.

«Como profesionales, uno de los problemas más desafiantes de la tecnología es conectar la información de hallazgos y eventos a través de múltiples herramientas, sistemas operativos y versiones de proveedores», dice Jamie Scott, gerente de productos de Endor Labs. «Un formato de datos estándar reducirá los costos y acelerará la clasificación de incidentes para nuestra industria en su conjunto».

Un marco extensible para la interoperabilidad

Como proyecto de código abierto, OCSF busca proporcionar un marco extensible para proporcionar un esquema de seguridad central interoperable no vinculado a un proveedor específico, escribió el distinguido ingeniero de Splunk Paul Agbabian en un libro blanco que documenta OCSF. Con licencia Apache License 2., OCSF presenta un formato de almacenamiento agnóstico, recopilación de datos y procesos de extracción, transformación y carga (ETL). El navegador de esquemas representa categorías, clases de eventos, diccionarios, tipos de datos, perfiles y extensiones.

«Los proveedores y otros productores de datos pueden adoptar y ampliar el esquema para sus dominios específicos», explicó Agbabian. en una publicación de blog site separada. «Los ingenieros de datos pueden mapear esquemas existentes para ayudar a los equipos de seguridad a simplificar la ingesta y normalización de datos para que los científicos y analistas de datos puedan trabajar con un lenguaje común para la detección e investigación de amenazas».

«Tener un formato de datos común para que estos eventos se compartan entre herramientas facilitará la vida tanto de los consumidores como de los productores. Los productores pueden integrarse más fácilmente con otras soluciones y los consumidores pueden agregar y clasificar incidentes», dice Scott.

El OCSF comparte una taxonomía related con el ampliamente utilizado Marco MITRE ATT&CK, según el libro blanco, aunque también notó algunas diferencias marcadas. Lo más notable es que OCSF es ampliable por proveedores y clientes, mientras que MITRE lanza todo el contenido para ATT&CK.

Un Encuesta del Grupo de Estrategia Empresarial y la Asociación de Seguridad de los Sistemas de Información (ISSA) descubrió que el 77 % de los profesionales de la ciberseguridad quieren ver que la industria forje el apoyo a los estándares abiertos. La misma encuesta encontró que el 85% considera que la integración entre productos es esencial.

«La ciberseguridad está lista para pasar de los silos a una period abierta e integrada de interoperabilidad y cooperación», señaló Aghabian.

Normalización de la telemetría de seguridad

El proyecto está abierto a otros proveedores que deseen participar y contribuir, según Ryland.

«Vemos valor en contribuir con nuestros esfuerzos de ingeniería y también con proyectos, herramientas, capacitación y pautas para ayudar a estandarizar la telemetría de seguridad en toda la industria», escribió. «Aunque nosotros, como industria, no podemos controlar directamente el comportamiento de los actores de amenazas, podemos mejorar nuestras defensas colectivas al facilitar que los equipos de seguridad hagan su trabajo de manera más eficiente».

El estado del OCSF y cuándo los proveedores comenzarán a realizar pruebas no fue evidente de inmediato. Y queda por ver en qué medida los proveedores contribuirán finalmente a OCSF y lo implementarán.

«La mayor amenaza para un esfuerzo en etapa inicial como OCSF es la composición del comité directivo en sí. Dado que el comité está formado principalmente por proveedores, las organizaciones de consumidores representativas necesitarán un asiento en la mesa para ayudar a impulsar la adopción entre los proveedores», dice Scott. «A medida que la OCSF continúa colaborando con la industria, debe asegurarse de que el comité directivo tenga lugares reservados para los profesionales de la industria que estén dispuestos a invertir en su misión».

Erkang Zheng, fundador y director ejecutivo del proveedor de la plataforma de operaciones cibernéticas JupiterOne, se compromete a adoptar y participar en la ampliación de OCSF.

«Con el tiempo, seguiremos contribuyendo a la iniciativa OCSF ampliando el marco para cubrir tanto los datos de eventos de series temporales como los datos de activos con estado/estructurales, aprovechando el modelo de datos de código abierto de JupiterOne», escribió Zheng. «Nuestra esperanza al participar en esta iniciativa es inspirar una mayor colaboración entre industrias».

Scott agrega: «Resolver un problema como este es un viaje que requerirá aprendizajes en toda la industria. Pero el destino hace que el viaje valga la pena».



Enlace a la noticia unique