[02/09/2022] Uno de los retos más generalizados en el entorno actual de la ciberseguridad es la sobreabundancia de proveedores de herramientas, todos los cuales producen telemetría o datos, a menudo en su propio esquema o formato nativo o matizado. A medida que la visibilidad de la ciberseguridad ha aumentado en las organizaciones, también lo ha hecho el número de proveedores y herramientas de ciberseguridad que los equipos necesitan integrar, implementar y gobernar. Los profesionales de la ciberseguridad deben dedicar tiempo a conseguir que las herramientas funcionen juntas como una cartera cohesionada, lo que les resta esfuerzos para identificar y abordar las vulnerabilidades y amenazas de la ciberseguridad.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
El problema no está pasando desapercibido. Recientemente, Amazon Web Services (AWS), junto con otros líderes como Splunk, CrowdStrike, Palo Alto, Rapid7 y JupiterOne, anunciaron el lanzamiento del proyecto Open Cybersecurity Schema Framework (OCSF). El anuncio reconoce el problema que supone que los profesionales de la seguridad tengan que lidiar con formatos de datos y resultados propietarios en lugar de con sus funciones reales de riesgos y amenazas. Esto es problemático, dado que el sector ya se enfrenta a importantes problemas de personal, agotamiento y fatiga. Al estandarizar los esquemas y formatos de los productos de seguridad, los profesionales de la seguridad pueden dedicar más tiempo a abordar las amenazas que suponen un riesgo para las organizaciones.
A continuación, se explica el OCSF, incluidos algunos de sus aspectos fundamentales, como los tipos de datos, el diccionario de atributos y la taxonomía, todo ello recogido en la guía detallada Understanding the Open Cybersecurity Framework.
¿Qué es el Open Cybersecurity Schema Framework?
El OCSF promete respaldar un enfoque agnóstico de los proveedores que la industria y la comunidad de proveedores de herramientas de seguridad pueden reunir para ayudar a que las carteras de seguridad funcionen juntas de forma más fluida. Para ello, ofrece un esquema personalizable y capaz de ser adoptado por las organizaciones de forma inmediata, pero también adaptado a perfiles, requisitos y entornos únicos.
El esquema pretende estandarizar y normalizar los datos generados por las herramientas de ciberseguridad. No se limita al ámbito de la ciberseguridad ni a sus eventos asociados, aunque este era el objetivo inicial del proyecto. Los interesados pueden utilizar el buscador de esquemas de OCSF, que se muestra a continuación.
Formato de esquema de ciberseguridad abierto (Chris Hughes)
Al navegar por el navegador de esquemas, se pueden ver las extensiones actuales, que por ahora son solo de desarrollo. También puede ver los perfiles que soporta el esquema: nube, seguridad de dominios, seguridad de archivos, host, malware, reputación y usuario. El esquema está construido en torno a cuatro personas clave: autor, productor, mapeador y analista. Cada uno de ellos está asociado a actividades como la creación y ampliación del esquema, la generación de eventos, la traducción de eventos de otras fuentes al esquema y, por último, la búsqueda, la redacción de reglas y la creación de informes a partir del esquema. Las personas se alinean con los roles existentes en el campo profesional, como un analista SOC que maneja un SIEM, por ejemplo, o un proveedor que produce telemetría en el formato del esquema OCSF.
Las categorías del OCSF dan soporte a las tecnologías y actividades más populares en el ámbito de la tecnología, como se ha mencionado. Por ejemplo, mirando la clase de evento de actividad del ciclo de vida del contenedor en el navegador de esquemas, se puede ver que soporta los inquilinos principales discutidos más abajo como la actividad, la categoría y la clase, pero también puede proporcionar información adicional como el recuento, la duración, e incluso los métodos HTTP utilizados.
Estas leyendas, como las denomina el esquema, reportan información relevante sobre la instalación, remoción, arranque o detención de contenedores con una rica variedad de campos de metadatos. Lo mismo ocurre con la actividad de la nube, que puede proporcionar información sobre las API de la nube, la actividad de almacenamiento y los eventos de las máquinas virtuales. Estos campos del esquema pueden utilizarse para capturar y enriquecer la información básica, como la relativa a la actividad en el control de la nube y el plan de datos, el almacenamiento asociado y las máquinas virtuales subyacentes, así como la capacidad de computación que se utiliza para alojar cargas de trabajo en la nube.
Taxonomía OCSF
La taxonomía del OCSF se articula en torno a seis construcciones fundamentales:
- Tipos de datos
- Atributos y matrices
- Diccionario de atributos
- Clases de eventos
- Categorías
- Perfiles y extensiones
Los tipos de datos incluyen formas comunes como cadenas y enteros, pero también tipos de datos escalares como marcas de tiempo y direcciones IP. Los atributos son nombres identificadores únicos para los campos y sus correspondientes tipos de datos. El diccionario de atributos de OCSF abarca todos los atributos disponibles con sus tipos asociados como núcleo del marco. Por ejemplo, las clases de eventos serían un conjunto particular de atributos. Las clases de eventos cubren categorías específicas de actividades o métricas, como la actividad del sistema y de la red o los hallazgos de seguridad.
Los perfiles, como se ha mencionado, se alinean con dominios como la nube y superponen atributos adicionales a las clases de eventos y objetos para facilitar un mejor filtrado. Por último, las extensiones permiten ampliar el esquema manteniendo el esquema principal. Esto es útil cuando se trata de añadir nuevos atributos y clases de eventos, lo que hace que el esquema sea dinámico y flexible.
Soporte de enriquecimiento y categorización de OCSF
OCSF también admite lo que se conoce como enriquecimiento, que toma un objeto base y permite añadir información adicional durante la recogida o el procesamiento de los eventos, pero antes de su almacenamiento. Esto permite correlacionar la información recopilada, como las direcciones IP y MAC, con indicadores específicos de compromiso (IoC) durante las actividades de procesamiento previas al almacenamiento.
El esquema OCSF soporta la categorización de eventos para una mejor organización y comprensión. Las categorías específicas podrían incluir la actividad del sistema, la red y la auditoría, así como los hallazgos o, en el caso de un perfil, las actividades en la nube.
Existe una estrecha relación entre el OCSF y el popular marco MITRE ATT&CK. Los perfiles como el de malware añaden la información de MITRE ATT&CK a las clases de actividad del sistema. Existen otras similitudes con MITRE ATT&CK -por ejemplo, correlaciones con términos como categorías en OCSF y tácticas en ATT&CK o para clases de eventos y técnicas de ATT&CK. Las diferencias incluyen el soporte de ATT&CK para sub-técnicas, y el hecho de que ATT&CK es propietario y está controlado por MITRE mientras que OCSF es abierto y extensible entre los proveedores y la comunidad de seguridad en general.
Participación de OCSF abierta a todos
Muchos profesionales de la seguridad y sus respectivas organizaciones han reconocido la necesidad de contar con un esquema de seguridad independiente de los proveedores. Aunque el grupo inicial de colaboradores del proyecto incluye algunos de los nombres más notables en el espacio de los proveedores de ciberseguridad, el OCSF apoya las contribuciones de otros y ofrece una Guía de Contribución OCSF asociada.
El dinámico panorama de las amenazas ha llevado a muchas organizaciones a la dispersión de herramientas. Agruparse en torno a un esquema estándar de la industria y a la normalización de los datos puede ayudar a que los SIEM y los SOC sean más eficaces y a maximizar la oportunidad de que los profesionales identifiquen y respondan a las amenazas pertinentes.
Basado en el artículo de Chris Hughes (CSO) y editado por CIO Perú