BLACK HAT USA – LAS VEGAS – Amazon Web Services (AWS) ve Splunk, farklı izleme sistemlerinin güvenlik uyarılarını nasıl paylaştığını standart hale getirmek için 18 sistem ve güvenlik tedarikçisinin sektör çabalarına öncülük ediyor. Amaç, güvenlik ekiplerinin güvenlik verilerini daha hızlı almasına ve analiz etmesine yardımcı olmak için basitleştirilmiş ve satıcıdan bağımsız bir sınıflandırma sunmaktır.
Şirketler, Açık Siber Güvenlik Şema Çerçevesini (OCSF) açıkladı. Black Hat ABD konferansı Çarşamba günü Las Vegas’ta. Katılımcı şirketler Broadcom (Symantec), Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro ve Zscaler’dir.
Günümüzün siber saldırılarını tespit etmek ve durdurmak, siber güvenlik araçları arasında koordinasyon gerektirir, ancak bu araçların çoğu birlikte çalışamaz ve çok fazla farklı veri formatı vardır. AWS CISO ofisi müdürü Mark Ryland, OCSF spesifikasyonunun çeşitli güvenlik ürünleri ve hizmetlerinde güvenlik telemetrisini normalleştireceğini söyledi. projeyi açıklayan blog yazısı.
Ryland, “Güvenlik ekiplerinin, farklı satıcılardan gelen birden fazla üründeki verileri bir dizi tescilli formatta ilişkilendirmesi ve birleştirmesi gerekiyor,” diye yazdı. “Öncelikle olayları tespit etmeye ve bunlara yanıt vermeye odaklanmak yerine, güvenlik ekipleri, bu verileri anlamak ve yanıt vermek için bir ön koşul olarak normalleştirmek için zaman harcıyor.”
genişleten OCSF, ICD Şema özellikleri Orijinal olarak Broadcom’un Symantec bölümü tarafından geliştirilen, bir veri tipi koleksiyonu, bir nitelik sözlüğü ve JSON’da yazılmış bir sınıflandırma sunar. şartnameye genel bakış GitHub’da mevcut. Katkıda bulunanlar, çerçeveyi kullanabilir ve genişletebilir ve çeşitli veri alma ve normalleştirme şemalarını ortak bir tehdit algılama dilinde eşleyebilir.
Endor Labs ürün müdürü Jamie Scott, “Uygulayıcılar olarak, teknolojideki en zorlu sorunlardan biri, birden fazla satıcı aracı, işletim sistemi ve sürüm arasında bulma ve olay bilgilerini birbirine bağlamaktır” diyor. “Standart bir veri formatı, bir bütün olarak sektörümüz için maliyeti düşürecek ve olay triyajını hızlandıracak.”
Birlikte Çalışabilirlik için Genişletilebilir Bir Çerçeve
Splunk’ın seçkin mühendisi Paul Agbabian, bir açık kaynak projesi olarak, OCSF’nin belirli bir sağlayıcıya bağlı olmayan birlikte çalışabilir çekirdek güvenlik şeması sağlamak için genişletilebilir bir çerçeve sağlamaya çalıştığını yazdı. OCSF’yi belgeleyen teknik inceleme. Apache Lisansı 2.0 altında lisanslanan OCSF, agnostik bir depolama formatı, veri toplama ve ayıklama, dönüştürme ve yükleme (ETL) işlemlerine sahiptir. Şema tarayıcısı kategorileri, olay sınıflarını, sözlükleri, veri türlerini, profilleri ve uzantıları temsil eder.
Agbabian, “Satıcılar ve diğer veri üreticileri, şemayı kendi özel alanları için benimseyip genişletebilir” dedi. ayrı bir blog yazısında. “Veri mühendisleri, güvenlik ekiplerinin veri alımını ve normalleştirmeyi basitleştirmesine yardımcı olmak için mevcut şemaları eşleyebilir, böylece veri bilimcileri ve analistleri tehdit algılama ve araştırma için ortak bir dille çalışabilir.”
Scott, “Bu olaylar için araçlar arasında paylaşılacak ortak bir veri formatına sahip olmak hem tüketicilerin hem de üreticilerin hayatlarını kolaylaştıracak. Üreticiler diğer çözümlerle daha kolay bütünleşebilir ve tüketiciler olayları toplayabilir ve öncelik sırasına koyabilir” diyor.
OCSF, yaygın olarak kullanılan bazı benzer sınıflandırmaları paylaşır. MITRE ATT&CK Çerçevesi, beyaz kağıda göre, bazı keskin farklılıklar da kaydetti. En dikkate değer olanı, OCSF’nin satıcılar ve müşteriler tarafından genişletilebilir olması ve MITRE’nin ATT&CK için tüm içeriği yayınlamasıdır.
Bir Kurumsal Strateji Grubu ve Bilgi Sistemleri Güvenliği Derneği (ISSA) anketi Siber güvenlik uzmanlarının %77’sinin endüstrinin açık standartlar için destek oluşturduğunu görmek istediğini tespit etti. Aynı anket, %85’inin ürünler arasındaki entegrasyonu gerekli gördüğünü ortaya koydu.
Aghabian, “Siber güvenlik, silolardan açık, entegre bir birlikte çalışabilirlik ve işbirliği çağına geçmeye hazır” dedi.
Güvenlik Telemetrisini Normalleştirme
Ryland’a göre proje, katılmak ve katkıda bulunmak isteyen diğer sağlayıcılara açıktır.
“Endüstri genelinde güvenlik telemetrisini standartlaştırmaya yardımcı olacak mühendislik çabalarımıza ve ayrıca projelere, araçlara, eğitime ve yönergelere katkıda bulunmanın değerini görüyoruz” diye yazdı. “Sektör olarak tehdit aktörlerinin davranışlarını doğrudan kontrol edemesek de, güvenlik ekiplerinin işlerini daha verimli yapmalarını kolaylaştırarak toplu savunmamızı iyileştirebiliriz.”
OCSF’nin durumu ve satıcıların ne zaman test etmeye başlayacağı hemen belli değildi. Ve satıcıların nihayetinde OCSF’ye ne ölçüde katkıda bulunacağını ve uygulayacağını göreceğiz.
Scott, “OCSF gibi erken aşamadaki bir çabaya yönelik en büyük tehdit, yönlendirme komitesinin bileşiminin kendisidir. Komite büyük ölçüde satıcılardan oluştuğundan, temsili tüketici kuruluşlarının, satıcılar arasında benimsemeyi teşvik etmek için masada bir koltuğa ihtiyacı olacaktır,” diyor Scott. “OCSF sektörle işbirliği yapmaya devam ederken, yönetim kurulunun misyonlarına yatırım yapmak isteyen endüstri uygulayıcıları için yer ayırmasını sağlamalıdır.”
Siber operasyonlar platformu sağlayıcısı JupiterOne’ın kurucusu ve CEO’su Erkang Zheng, OCSF’nin genişletilmesine kucak açmaya ve katılmaya söz veriyor.
Zheng, “Zaman içinde, çerçeveyi hem zaman serisi olay verilerini hem de durumsal/yapısal varlık verilerini kapsayacak şekilde genişleterek, JupiterOne’ın açık kaynaklı veri modelinden yararlanarak OCSF girişimine katkıda bulunmaya devam edeceğiz.” “Bu girişime katılma konusundaki umudumuz, daha fazla sektörler arası işbirliğine ilham vermektir.”
Scott şunları ekliyor: “Böyle bir sorunu çözmek, endüstri genelinde öğrenme gerektiren bir yolculuktur. Ancak varış noktası, yolculuğa değer kılıyor.”