Los profesionales de seguridad de TI confían en gran medida en la telemetría y los registros de datos para identificar, abordar y prevenir ataques cibernéticos. Pero el desafío es que no existe una manera simple para que los equipos de seguridad den sentido a grandes conjuntos de datos.
Por lo general, utilizarían una gran cantidad de tecnologías y software para recopilar y analizar datos. Sin embargo, este enfoque suele ser ineficiente y costoso, y dificulta que las organizaciones detecten y respondan a los ataques cibernéticos.
Amazon Web Services, Splunk y muchas otras organizaciones creen que la única forma de resolver estos desafíos es compartiendo abiertamente datos e información de seguridad, y eso es exactamente lo que esperan lograr mediante la creación del proyecto Open Cybersecurity Schema Framework (OCSF).
Lanzado en agosto de 2022, el OCSF esencialmente establece una gama de especificaciones abiertas para productos, servicios y herramientas de seguridad cibernética. La idea es que los profesionales y equipos de seguridad cibernética dediquen menos tiempo y dinero a implementar estas herramientas y más tiempo a analizar datos y mitigar ataques cibernéticos.
La naturaleza colaborativa y de código abierto del OCSF permitirá a las empresas formar conexiones con muchos expertos y equipos de seguridad para reforzar sus defensas cibernéticas, según el asesor de seguridad global de ESET, Jake Moore.
“El objetivo es acelerar la detección de ataques y evitar que evolucionen y, por lo tanto, mantener los datos más seguros”, dice. “El tiempo es esencial en un ataque y, en el pasado, hemos visto errores que podrían haberse reparado con una detección más rápida y mejores técnicas de mitigación”.
Trabajar en seguridad cibernética puede ser increíblemente estresante porque la necesidad de las organizaciones de monitorear y mitigar los riesgos cibernéticos nunca se detiene. Además, la superficie de ataque se expande constantemente. Pero es de esperar que este marco facilite la vida de los profesionales de la seguridad cibernética.
“Responder a las amenazas puede ser un gran dolor de cabeza para los CISO, pero trabajar juntos puede ser efectivo en otros departamentos y la seguridad cibernética no tiene por qué ser diferente”, dice Moore.
“Hemos pasado años permaneciendo en silencio sobre tantas áreas sensibles de la seguridad de la información, pero una colaboración es una combinación mucho más fuerte para resistir los mismos problemas que enfrenta todo el mundo”.
Por supuesto, el OCSF es un concepto relativamente nuevo para la industria, y es posible que no todos estén convencidos. Pero Moore cree que, con un poco de tiempo y madurez, el marco será muy beneficioso para la suite de seguridad cibernética. Él dice: “Puede tomar tiempo encontrar su lugar, pero creo que una vez establecido, OCSF puede ser un estándar de la industria en un corto espacio de tiempo”.
Un lenguaje común para los profesionales de la ciberseguridad
Allie Mellen, analista sénior de seguridad y riesgos de Forrester, describe el OCSF como un lenguaje común para detectar e investigar riesgos de seguridad cibernética. Esto ha sido un desafío para las empresas y los departamentos de seguridad cibernética en el pasado, dice.
“La interoperabilidad de las herramientas de seguridad y la normalización de datos son un gran desafío para los equipos de seguridad, hasta el punto en que los profesionales de seguridad comprarán productos o servicios para manejarlos”, dice Mellen a Computer Weekly. “El objetivo de OCSF es estandarizar en torno a una taxonomía común para simplificar la ingesta y el análisis de datos”.
Pero alentar a los proveedores de seguridad a que adopten el OCSF y lo respalden de manera continua probablemente sea un desafío. A la luz de esto, Mellen dice que la industria debe trabajar duro para garantizar la adopción del marco en toda la industria. “Sin eso, el marco existirá en sus propios rincones y no se convertirá en un verdadero estándar”, agrega.
Mellen recomienda que las organizaciones pregunten a sus proveedores de seguridad cibernética si son miembros de OCSF y cómo planean respaldar el marco. Los equipos de gestión de registros e ingeniería de detección también deben pensar en adoptar el marco y convertirlo en una prioridad estratégica. “Si es así, presione a sus proveedores para que admitan el marco”, dice ella.
Rompiendo barreras
Los departamentos de seguridad cibernética deben evitar trabajar en silos y, en cambio, adoptar un enfoque abierto y colaborativo que priorice la interoperabilidad, según Paul Agbabian, vicepresidente de liderazgo en tecnología de seguridad de Splunk.
Pero esto solo se puede lograr si toda la industria se une, y Agbabian cree que la amplia base de miembros de la OCSF ayudará en este sentido. Además de Splunk, sus fundadores incluyen AWS, Broadcom, Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro y Zscaler.
“En términos técnicos, OCSF ofrece un marco extensible para desarrollar esquemas, junto con un esquema de seguridad central independiente del proveedor”, dice Agbabian. “Los proveedores, los productores de datos y los ingenieros pueden mapear esquemas existentes para ayudar a los equipos de seguridad a simplificar la ingesta y normalización de datos.
“Al adoptar con éxito el nuevo marco, las organizaciones no solo pueden fortalecer sus sistemas de seguridad, sino también impulsar la unificación de los datos de eventos de seguridad para trabajar en un lenguaje común para la detección e investigación de amenazas”.
Paul Agbabian, Splunk
“Esto significa una ingesta y un análisis de datos mejores y más rápidos con tareas de normalización que consumen menos tiempo. Al adoptar con éxito el nuevo marco, las organizaciones no solo pueden fortalecer sus sistemas de seguridad, sino también impulsar la unificación de los datos de eventos de seguridad para trabajar en un lenguaje común para la detección e investigación de amenazas”.
Para los líderes de seguridad de TI interesados en adoptar el OCSF en su organización, el primer paso es lograr que el equipo de operaciones de seguridad se familiarice con el marco actual. En particular, Agbabian aconseja a los CISO y sus empleados que aprendan las definiciones de OCSF de diferentes eventos de seguridad. Esto les permitirá “operar rápidamente los datos de OCSF para respaldar las investigaciones de seguridad y las actividades de búsqueda de amenazas”.
El OCSF también podría ser un recurso útil para los equipos de TI que crean aplicaciones B2B porque ofrece “una forma bien entendida de registrar eventos y emitir telemetría”, dice Agbabian. “Además, los CISO deben tener conversaciones con sus socios de seguridad de confianza y preguntarles sobre su hoja de ruta para respaldar a OCSF”, agrega. “Esto proporcionará un cronograma sobre cuándo sus equipos pueden comenzar a utilizar los datos de OCSF como parte de sus procesos de operaciones de seguridad”.
Siguiendo el ejemplo de otras industrias
Carolyn Duby, CTO de campo y líder de seguridad cibernética en Cloudera, es otra gran partidaria de la OCSF. Ella dice que la industria de la seguridad cibernética siempre ha necesitado un marco de este tipo porque depende de una amplia gama de dispositivos con diferentes esquemas.
Duby señala que las industrias con gran cantidad de datos, como la atención médica, tienen sus propios marcos, como el estándar Fast Healthcare Interoperability Resources (FHIR), y que la seguridad cibernética no debería ser diferente. Ella espera que la OCSF proporcione beneficios similares.
“Aquí, OCSF es muy útil para la seguridad cibernética, ya que hay tantos dispositivos diferentes que se usan en el día a día y cada uno ve el esquema de manera un poco diferente”, dice Duby. “Esto significa que cuando intenta juntar todos los datos, puede ser difícil correlacionarlos porque no tiene esa similitud. El estándar resuelve este problema y es útil para las herramientas de procesamiento de datos”.
Ella dice que actualmente es un desafío para los equipos de seguridad cibernética analizar conjuntos de datos porque vienen en muchos formatos diferentes y, a menudo, producen mensajes de error. Pero lo bueno de OCSF es que ha sido diseñado para mejorar la accesibilidad de los datos para toda la industria de la seguridad cibernética.
Duby agrega: “Los componentes centrales del OCSF son que es legible por máquina, proporciona elementos comunes para que todos los mismos elementos del esquema reciban los mismos nombres y es un estándar de interoperabilidad que brindará consistencia en toda la industria. Al menos, esa es la visión. Esencialmente, para cualquier empresa que ejecute grandes volúmenes de datos, reducirá el tiempo de preparación de datos y eliminará la necesidad de completar tareas repetitivas”.
Barreras para el éxito
Sin embargo, para que la OCSF logre sus objetivos, la adopción en toda la industria es fundamental. Eso podría ser difícil porque marcos similares han fallado en el pasado, dice Duby. “El marco será enormemente beneficioso para toda la industria”, dice. “Sin embargo, su adopción generalizada dependerá de que los organismos legislativos y reguladores de la industria, como el Centro Nacional de Seguridad Cibernética, lo exijan como el estándar apropiado.
“Vimos que esto sucedió con FHIR una vez que el [US] El Centro de Medicaid y la Oficina de Medicare lo adoptaron como estándar, lo llevaron al siguiente nivel y todo un grupo industrial y una comunidad se construyeron a su alrededor”.
El consejo de Duby para los CISO es tomar nota del estándar y monitorear cómo evoluciona e impacta en diferentes herramientas a lo largo del tiempo. Luego, deberían alentar a sus pares a adoptar formatos de interoperabilidad. “Sin embargo, esto solo sucederá si el estándar se convierte en un requisito, ya que se necesita mucho tiempo, esfuerzo y recursos para rediseñar los productos para admitir estos formatos, las interfaces y la forma en que recopilan datos”, dice. .
Las organizaciones que buscan adoptar el OCSF también deberán educar a su personal sobre el marco, en particular lo que hace, cómo funciona y su cumplimiento. Duby agrega: “Entonces, hay mucho trabajo que los proveedores tendrán que hacer para que esto suceda. Y solo sucederá si la industria requiere que suceda”.
“Los equipos de SOC se verán abrumados con los datos de detección más amplios y profundos que reciben sin inteligencia de amenazas asociada. Piense en golpear un topo con esteroides: aparecen más lunares, incluso más rápido, de más agujeros, pero su martillo sigue siendo el mismo ”
Steve Benton, Anómalos
Steve Benton, vicepresidente de investigación de amenazas de Anomali, está de acuerdo en que el OCSF es un paso en la dirección correcta para la industria de la seguridad cibernética, pero le preocupa que pueda abrumar a la gran mayoría de los equipos de seguridad y volverse difícil de administrar.
“Los equipos de SOC se verán abrumados con los datos de detección más amplios y profundos que reciben sin inteligencia de amenazas asociada”, dice. “Piense en golpear un topo con esteroides: aparecen más lunares, incluso más rápido, de más agujeros, pero su martillo sigue siendo el mismo. Y ahora tendrá que resolver más falsos positivos y correr el riesgo de deslizarse por las madrigueras de los conejos”.
Otra cosa que podría obstaculizar el éxito del marco es la falta de integración de Mitre ATT&CK. Benton dice que los equipos de seguridad confían en Mitre ATT&CK para comprender y prevenir vulnerabilidades y ataques de seguridad cibernética.
“Cualquier equipo de seguridad fuerte tendrá ATT&CK integrado en su forma de operar y ciertamente levantará más de una ceja por su ausencia actual del estándar”, dice. “El estándar, cuando se adopte en los productos, unificará la detección, pero las organizaciones aún tendrán que depender de pasar de una pantalla a otra para ver diferentes datos e información para determinar y ejecutar su respuesta en toda su infraestructura, en lugar de ‘una pantalla’, que es el ideal.”
La recopilación y el análisis de datos forman una parte integral de los equipos de seguridad cibernética exitosos. Y hasta la fecha, la naturaleza aislada y distribuida de las herramientas de seguridad de datos y telemetría ha impedido que los CISO y sus equipos combatan el delito cibernético. El OCSF sin duda facilitará a los profesionales y equipos de seguridad cibernética la comprensión de los datos de seguridad, pero los desafíos de adopción persisten.
