Black Hat AWS e Splunk estão liderando uma iniciativa destinada a criar um padrão aberto para ingestão e análise de dados, permitindo que as equipes de segurança corporativa respondam mais rapidamente às ameaças cibernéticas.
Dezessete empresas de segurança e tecnologia na feira Black Hat USA 2022 revelaram esta semana o projeto Open Cybersecurity Schema Framework (OCSF), que usará o ICD Schema desenvolvido pela Symantec como a base para o fornecedor independente padrão.
A criação do OCSF, licenciado sob a Apache License 2.0, ocorre quando as organizações estão vendo suas superfícies de ataque se expandirem rapidamente à medida que seus ambientes de TI se tornam cada vez mais descentralizados, estendendo-se de datacenters centrais a a nuvem e a borda. Paralelamente a isso, o número e a complexidade das ameaças cibernéticas que eles enfrentam estão crescendo rapidamente.
“Os líderes de segurança de hoje enfrentam um conjunto ágil, determinado e diversificado de agentes de ameaças”, funcionários do fornecedor de segurança cibernética Trend Micro, um dos membros iniciais do OCSF, escreveu em um post no blog. “De hackers encorajados de estado-nação a afiliados de ransomware como serviço (RaaS), os adversários estão compartilhando táticas, técnicas e procedimentos (TTPs) em uma escala sem precedentes – e isso mostra.”
A Trend Micro bloqueou mais de 94 bilhões de ameaças em 2021, um aumento de 42% em relação ao ano anterior, e 43% das organizações que responderam a uma pesquisa do fornecedor disseram que sua superfície de ataque digital está ficando fora de controle.
Os fornecedores de segurança cibernética responderam criando plataformas que combinam gerenciamento de superfície de ataque, prevenção de ameaças e detecção e resposta para tornar mais fácil e rápido para as empresas combater os ataques. Eles simplificam processos, fecham lacunas de segurança e reduzem custos, mas ainda são baseados em produtos específicos de fornecedores e ofertas pontuais.
Os fornecedores podem usar diferentes formatos de dados em seus produtos, o que significa mover conjuntos de dados de um produto de um fornecedor para outro geralmente requer a tarefa demorada de alterar o formato dos dados.
“Infelizmente, normalizar e unificar dados dessas ferramentas diferentes leva tempo e dinheiro”, disse a Trend Micro. “Isso diminui a resposta a ameaças e prende analistas que deveriam estar trabalhando em tarefas de maior valor. No entanto, até agora, simplesmente se tornou um custo aceito de segurança cibernética. Imagine quanto valor extra poderia ser criado se encontrássemos uma maneira de todo o setor de liberar as equipes desse fardo operacional?”
Dan Schofield, gerente de programa para parcerias de tecnologia da IBM Security, outro membro do OCSF, escreveu que a falta de padrões abertos do setor para fins de registro e eventos cria desafios quando se trata de engenharia de detecção, caça a ameaças e análise, e até agora, não havia uma massa crítica de fornecedores dispostos a resolver o problema.
Meta privacidade red team lead: Sua empresa conhece seus adversários de privacidade? Ex-chefe da CISA, Krebs, pede que os EUA levem a sério a segurança No início do Black Hat, o governo dos EUA é ge tting a mensagem sobre a contratação de talentos de segurança
Mark Ryland, diretor do Escritório do CISO na AWS, escreveu em uma postagem no blog que as organizações disseram que a interoperabilidade e a normalização de dados entre produtos de segurança são difíceis, forçando as equipes de segurança a correlacionar e unificar dados em vários produtos de diferentes fornecedores em formato proprietário.
O esquema OCSF “tornará ficou mais fácil para as equipes de segurança ingerir e correlacionar dados de log de segurança de diferentes fontes, permitindo maior precisão de detecção e resposta mais rápida a eventos de segurança”, escreveu Ryland. “Embora nós, como indústria, não possamos controlar diretamente o comportamento dos agentes de ameaças, podemos melhorar nossas defesas coletivas tornando mais fácil para as equipes de segurança realizarem seu trabalho com mais eficiência.”
AWS trabalhou com outros membros do projeto para criar as especificações e ferramentas que estão disponíveis para fornecedores e parceiros de segurança cibernética, bem como para empresas e outras organizações. A gigante da nuvem pública também está contribuindo com engenharia, treinamento e suporte de diretrizes para o esforço de padronização.
O Integrated Cyber Defense Exchange (ICDx) da Symantec, uma divisão da Broadcom, é usado para normalizar dados de eventos recebidos para o ICD Schema da empresa, que organiza atributos e objetos em tipos de eventos que são colocados em várias categorias.
A Trend Micro comparou a iniciativa OCSF com outras estruturas baseadas em segurança, como MITRE ATT&CK para classificação tática e STIX/TAXII para inteligência de ameaças.
Os fornecedores ao longo dos anos colaboraram entre si, empresas e governos em áreas que incluem o compartilhamento de inteligência para lidar com ameaças de segurança cibernética, no entanto, mais precisa ser feito.
A empresa de análise ESG disse em um relatório de segurança cibernética publicado no mês passado que 77% dos entrevistados querem ver mais cooperação entre os fornecedores no desenvolvimento de padrões abertos e 85% disseram que a capacidade de um produto para integrar comer com os outros era importante.
“É bem entendido que os dados são a força vital dos centros de operações de segurança, mas, muitas vezes, esses dados precisam ser manipulados e normalizados para estarem em um formato que possa ser usado pelas equipes e ferramentas nas quais o SOC depende”, escreveu Paul Agbabian, engenheiro e vice-presidente de estratégia de tecnologia da unidade de negócios de segurança da Splunk. “Há muito sentimento da indústria em apoio à simplificação da normalização de dados.”
Outros membros da OCSF são Cloudflare, CrowdStrike, DTEX, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium e Zscaler.
