los Conferencia de ciberseguridad Black Hat USA estuvo en Las Vegas esta semana, con emocionantes noticias y demostraciones de seguridad cibernética. Uno de los cositas más interesantes para romper es un nuevo estándar de datos común para compartir información de seguridad cibernética llamado Marco de esquema de ciberseguridad abierto (OCSF). Fue desarrollado por 18 importantes empresas de tecnología y ciberseguridad, incluidas Amazonas, splunky IBM.
Entonces, ¿por qué es necesario algo así? Monitorear los sistemas informáticos bajo su responsabilidad es un gran desafío para los departamentos de ciberseguridad. Para detener los ataques, o reconstruir lo que sucedió después de uno, estos departamentos deben poder ver información sobre cosas como la cantidad de intentos de inicio de sesión recientes, a qué archivos se accedió y cuándo sucedió todo. Para hacer esto, generalmente usan una gran cantidad de software diferente:la mayoría de los cuales utiliza sus propias estructuras de datos propietarias
Esta falta de interoperabilidad entre los datos de los diferentes sistemas de seguridad es un gran problema. En el comunicado de prensa de Amazon que anuncia el marco OCSF, Mark Ryland, director de la oficina del CISO de AWSdice: “Los equipos de seguridad tienen que correlacionar y unificar los datos de varios productos de diferentes proveedores en una variedad de formatos patentados… En lugar de centrarse principalmente en detectar y responder a los eventos, los equipos de seguridad dedican tiempo a normalizar estos datos como requisito previo para comprender y responder. .”
En otras palabras, los equipos de ciberseguridad no están resolviendo problemas de ciberseguridad: están usando hojas de cálculo para tratar de obtener los datos que necesitan de un producto para alinearlos con los datos que necesitan de otro.
Por ejemplo, un bit de software puede rastrear los inicios de sesión y los intentos de inicio de sesión, otro rastrea lo que los usuarios registrados hacen con los archivos en el servidor y un tercero rastrea el acceso del administrador y otras solicitudes de alto nivel. Luego, suponga que un pirata informático ingresa a un sistema informático, instala un poco de malware en una carpeta en particular y usa ese malware para obtener acceso de administrador, todo para que puedan descargar una gran cantidad de secretos de la industria o cualquiera que sea su objetivo.
Para seguir o recrear esta secuencia de eventos compleja (aunque increíblemente simplificada, en este ejemplo), el equipo de ciberseguridad tendrá que combinar datos de las tres herramientas de registro. La aplicación de seguimiento de inicio de sesión informará cómo entró el hacker, la aplicación de seguimiento de archivos informará la instalación de malware y la descarga de todos los archivos importantes, mientras que la aplicación de seguimiento de administrador informará cómo y cuándo lo hicieron. A menos que las tres aplicaciones usen el mismo formato de datos (que actualmente no lo hacen), eso implicará una gran cantidad de manipulación de datos.
Lo que hace la OCSF es crear un formato de datos abiertos que cualquier proveedor de productos puede usar. Esto significa que diferentes productos de seguridad, hosting y otros productos tecnológicos relevantes pueden trabajar juntos mucho más fácilmente. En lugar de que las aplicaciones de inicio de sesión, archivo y seguimiento de administración tengan su propia forma patentada de registrar marcas de tiempo, todas podrían usar la misma estructura de datos estandarizada. De esa manera, el equipo de ciberseguridad podría rastrear fácilmente, e idealmente detener, al hacker.
Si bien se vuelve un poco abstracto y complejo, puede consultar el Marco OCSF en Github en este momento. También puede explorar la actual lista de categorías de datos aquí—o incluso contribuir a ello.
El marco no es solo una ilusión. Ha sido presentado en una de las conferencias de seguridad cibernética más importantes del mundo por algunos de los nombres más importantes en tecnología y seguridad cibernética. Además de Amazon, Splunk e IBM, Broadcom, Salesforce, Rapid7, Tanium, Cloudflare, Palo Alto Networks, DTEX, CrowdStrike, JupiterOne, Zscaler, Sumo Logic, IronNet, Securonix y Trend Micro participaron en el desarrollo de OCSF y todos están trabajando para incluirlo en sus productos.
Como dice Ryland en el comunicado de prensa de Amazon, “aunque nosotros, como industria, no podemos controlar directamente el comportamiento de los actores de amenazas, podemos mejorar nuestras defensas colectivas al facilitar que los equipos de seguridad hagan su trabajo de manera más eficiente”. Y los equipos de ciberseguridad más eficientes son mejores para hacer lo que importa: mantener todos nuestros datos seguros.