El Marco de Esquema de Ciberseguridad Abierta ya está disponible

En un restaurante donde los camareros, chefs y cocineros hablan el mismo idioma pero usan diferentes palabras para describir lo que hay en el menú, es posible que pidas sopa de langosta y termines con bistec con papas fritas. Un problema similar de la Torre de Babel existe en ciberseguridad, especialmente dada la creciente cantidad de amenazas en el año 2023: los diferentes proveedores de seguridad no suelen utilizar las mismas cadenas de JavaScript para definir eventos o incluso parámetros como fechas y endpoints.

El Marco de Esquema de Ciberseguridad Abierta ya está disponible - Seguridad | Imagen 1 Newsmatic

Un consorcio liderado por Splunk y AWS espera solucionar este problema mediante la estandarización de cómo se registran los eventos en los registros de seguridad, reduciendo la carga en los equipos de seguridad para descifrar las alertas que reciben de múltiples herramientas y proveedores.

Índice de Contenido
  1. Open Cybersecurity Schema Framework ya está disponible en general
  2. Un rosal con cualquier otro nombre, excepto en JSON
  3. Cómo OCSF se basa en esquemas previos
  4. Abriéndose paso a través de la confusión para encontrar la solución de ciberseguridad adecuada

Open Cybersecurity Schema Framework ya está disponible en general

La semana pasada, durante la conferencia Black Hat, un comité directivo compuesto por Splunk, AWS e IBM anunció la disponibilidad general de la Open Cybersecurity Schema Framework. Se trata de un proyecto de código abierto alojado en GitHub que tiene como objetivo eliminar los silos de datos de seguridad y estandarizar los formatos de eventos entre proveedores y aplicaciones.

VER: Qué sucede en Black Hat... Más de la conferencia de 2023 (TechRepublic)

Cuando se anunció por primera vez OCSF en Black Hat 2022, 18 organizaciones estaban a bordo. Actualmente, OCSF cuenta con 145 compañías de seguridad, incluyendo a AWS e IBM, y 435 colaboradores individuales. Splunk describe a OCSF como un marco abierto y extensible que las organizaciones pueden integrar en cualquier entorno, aplicación o solución para complementar los estándares y procesos de seguridad existentes.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Un rosal con cualquier otro nombre, excepto en JSON

En su esencia, OCSF es un esquema de notación de objeto JavaScript. En JavaScript, los datos se representan con una serie de cadenas de código con comillas y corchetes. Aunque existe una notación estándar abierta para los registros de JavaScript llamada JSON, los nombres de los eventos en JSON no están estandarizados; este es precisamente el problema que OCSF pretende solucionar.

Mark Ryland, director de la Oficina del CISO en AWS, dijo: "Un gran ejemplo es la hora del meridiano de Greenwich, GMT. Cada herramienta puede codificarlo, pero no de la misma manera, por lo que si intento hacer una comparación de fechas, puedo ver muchas representaciones de una fecha GMT determinada. Cada herramienta está describiendo la realidad que ve con una leve variación basada en cómo comparte esa información."

Agregó que, debido a esto, los analistas terminan mirando múltiples pantallas y, en efecto, copiando y pegando la información para presentar los datos de una manera desnormalizada.

"Trabajando con Splunk y otros proveedores, nos dimos cuenta de que si pudiéramos reducir el tiempo dedicado a la limpieza, manipulación y transformación de datos, podríamos aumentar la productividad de los equipos de seguridad, porque el problema se resolvería en formatos comunes en todos los datos telemétricos", explicó.

VER: 'Munging' AI en Black Hat: ¿maldición o bendición para la ciberseguridad? (TechRepublic)

Patrick Coughlin, vicepresidente de GTM técnico de Splunk, señaló que los equipos de seguridad de las organizaciones suelen utilizar hasta 100 herramientas, cada una con estructuras, formatos y formas diferentes de mostrar alertas.

Cómo proteger tu computadora de los virus: métodos y consejos

"Es un problema enorme cuando hablamos de fatiga de alerta", dijo. "Si tengo que comunicarme con diferentes sistemas que hablan sobre alertas de diferentes maneras, empeora aún más. OCSF lo reúne todo de una manera que lo hace mucho más fácil de entender, pero también de automatizar".

Ryan Kovar, estratega de seguridad distinguido en Splunk y director de la unidad de inteligencia y análisis de amenazas SURGe de la empresa, dijo que si, por ejemplo, un atacante de ransomware cifra un sistema de archivos, la forma en que este evento de cifrado de ransomware se reconoce en un registro de eventos de un proveedor puede ser muy diferente de cómo se reconoce en otro.

"Si hay varias taxonomías propietarias para las alertas, una para cada uno de tus proveedores de seguridad, ya no puedes saber si están alertando por el mismo evento o no. En cambio, las soluciones de seguridad que utilizan el esquema OCSF producen datos en un formato consistente, por lo que los equipos de seguridad pueden ahorrar tiempo y esfuerzo en normalizar los datos y dedicarse a analizarlos antes, acelerando el tiempo de detección", explicó Kovar.

Cómo OCSF se basa en esquemas previos

Sobre la base del trabajo del esquema ICD realizado en Symantec, OCSF incluye contribuciones de 15 miembros iniciales adicionales, incluyendo: Cloudflare, CrowdStrike, DTEX, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro y Zscaler.

Couphlin explicó que, si bien ha habido varios estándares e iniciativas en torno a los datos y la ciberseguridad en la última década, incluyendo STIX (Structured Threat Information eXpression, un lenguaje de programación XML estandarizado para amenazas cibernéticas) y TAXII (para el intercambio confiable y automatizado de información de indicadores, un protocolo de transporte para compartir información de amenazas entre organizaciones), se sorprende por la rapidez con la que se ha adoptado OCSF.

"Hemos visto una adopción significativa de OCSF", dijo. "Si me hubieras preguntado hace 12 meses, cuando estábamos aquí, habría dicho que sería un camino lento y largo para obtener tracción porque los estándares son difíciles y las empresas son territoriales. Acabo de aprender que Barracuda, por ejemplo, ya ha lanzado su primer producto que se integra nativamente con OCSF, por lo que ha crecido en órdenes de magnitud en el último año. La gran diferencia fundamental durante los últimos 12 meses es que ahora podemos señalar productos y capacidades en el mercado que cumplen con OCSF, lo cual no teníamos el año pasado", concluyó.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Abriéndose paso a través de la confusión para encontrar la solución de ciberseguridad adecuada

La proliferación de soluciones de seguridad puede dejar a los compradores perplejos. Para obtener más información sobre los criterios para elegir una solución de ciberseguridad que pueda bloquear ciberataques y proteger el tráfico permitido de amenazas, descargue esta guía definitiva. Le mostrará cómo evaluar eficazmente las soluciones de ciberseguridad a través del proceso de solicitud de propuestas.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a El Marco de Esquema de Ciberseguridad Abierta ya está disponible , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.