OCSF, açık ve işbirliğine dayalı bir siber endüstri yaratacak mı?

BT güvenlik uzmanları, siber saldırıları belirlemek, bunlarla mücadele etmek ve bunları önlemek için büyük ölçüde telemetri ve veri günlüklerine güveniyor. Ancak zorluk, güvenlik ekiplerinin büyük veri kümelerini anlamlandırmasının basit bir yolu olmamasıdır.

Tipik olarak, verileri toplamak ve analiz etmek için çok sayıda teknoloji ve yazılım kullanırlardı. Ancak bu yaklaşım genellikle verimsiz ve pahalıdır ve kuruluşların siber saldırıları tespit etmesini ve bunlara yanıt vermesini zorlaştırır.

Amazon Web Services, Splunk ve diğer birçok kuruluş, bu zorlukları çözmenin tek yolunun güvenlik verilerini ve bilgilerini açıkça paylaşmak olduğuna inanıyor ve Açık Siber Güvenlik Şema Çerçevesi (OCSF) projesinin oluşturulmasıyla tam olarak bunu başarmayı umuyorlar.

Ağustos 2022’de başlatılan OCSF, esas olarak siber güvenlik ürünleri, hizmetleri ve araçları için bir dizi açık spesifikasyon ortaya koyuyor. Buradaki fikir, siber güvenlik uzmanları ve ekiplerinin bu araçları uygulamaya daha az, verileri analiz etmeye ve siber saldırıları azaltmaya daha fazla zaman ve para harcamasıdır.

ESET küresel güvenlik danışmanı Jake Moore’a göre, OCSF’nin açık kaynak, işbirlikçi doğası, şirketlerin siber savunmalarını desteklemek için birçok güvenlik uzmanı ve ekiple bağlantı kurmasını sağlayacak.

“Amaç, saldırıların tespitini hızlandırmak ve bunların gelişmesini önlemek ve dolayısıyla verileri daha güvenli tutmaktır” diyor. “Bir saldırıda zaman çok önemlidir ve geçmişte, daha hızlı tespit ve daha iyi azaltma teknikleriyle düzeltilebilecek hatalar gördük.”

Siber güvenlik alanında çalışmak inanılmaz derecede stresli olabilir çünkü kuruluşların siber riskleri izleme ve azaltma ihtiyacı hiç bitmez. Dahası, saldırı yüzeyi sürekli genişliyor. Ancak bu çerçevenin siber güvenlik uzmanları için hayatı kolaylaştıracağını umuyoruz.

Moore, “Tehditlere yanıt vermek CISO’lar için büyük bir baş ağrısı olabilir, ancak birlikte çalışmak diğer departmanlarda etkili olabilir ve siber güvenliğin farklı olması gerekmez” diyor.

“Infosec’in pek çok hassas alanı hakkında sessiz kalmak için yıllarımızı harcadık, ancak bir işbirliği, herkesin karşılaştığı aynı sorunlara dayanmak için çok daha güçlü bir karışımdır.”

Tabii ki, OCSF endüstri için nispeten yeni bir kavramdır ve herkes buna ikna olmayabilir. Ancak Moore, biraz zaman ve olgunlukla çerçevenin siber güvenlik paketi için oldukça faydalı olacağına inanıyor. “Ayağını bulmak zaman alabilir, ancak bir kez kurulduktan sonra OCSF’nin kısa sürede bir endüstri standardı olabileceğini düşünüyorum” diyor.

Siber güvenlik uzmanları için ortak bir dil

Forrester’da kıdemli bir güvenlik ve risk analisti olan Allie Mellen, OCSF’yi siber güvenlik risklerini tespit etmek ve araştırmak için ortak bir dil olarak tanımlıyor. Bunun geçmişte siber güvenlik şirketleri ve departmanları için zorlayıcı olduğunu söylüyor.

Mellen, Computer Weekly’e şunları söylüyor: “Güvenlik araçlarının birlikte çalışabilirliği ve veri normalleştirme, güvenlik ekipleri için, güvenlik uzmanlarının kendileri için ürün veya hizmet satın alacakları noktaya kadar büyük bir zorluktur. “OCSF’nin amacı, veri alımını ve analizini basitleştirmek için ortak bir sınıflandırma etrafında standart hale getirmektir.”

Ancak güvenlik tedarikçilerini OCSF’yi benimsemeye ve sürekli olarak desteklemeye teşvik etmek muhtemelen zor olacaktır. Bunun ışığında Mellen, çerçevenin endüstri genelinde benimsenmesini sağlamak için endüstrinin çok çalışması gerektiğini söylüyor. “Bu olmadan, çerçeve kendi köşelerinde var olacak ve gerçek bir standart olmayacak” diye ekliyor.

Mellen, kuruluşların siber güvenlik tedarikçilerine OCSF üyesi olup olmadıklarını ve çerçeveyi nasıl desteklemeyi planladıklarını sormalarını tavsiye ediyor. Günlük yönetimi ve algılama mühendisliği ekipleri, çerçeveyi benimsemeyi ve onu stratejik bir öncelik haline getirmeyi de düşünmelidir. “Öyleyse, tedarikçilerinizi çerçeveyi desteklemeye zorlayın” diyor.

Engelleri yıkmak

Splunk güvenlik teknolojisi liderliği başkan yardımcısı Paul Agbabian’a göre, siber güvenlik departmanları silolarda çalışmaktan kaçınmalı ve bunun yerine birlikte çalışabilirliği ilk sıraya koyan açık, işbirlikçi bir yaklaşım benimsemelidir.

Ancak bu, ancak tüm endüstri bir araya gelirse başarılabilir ve Agbabian, OCSF’nin geniş üyelik tabanının bu konuda yardımcı olacağına inanıyor. Splunk’ın yanı sıra kurucuları arasında AWS, Broadcom, Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro ve Zscaler.

Agbabian, “Teknik açıdan, OCSF, satıcıdan bağımsız bir çekirdek güvenlik şemasıyla eşleştirilmiş şemalar geliştirmek için genişletilebilir bir çerçeve sunuyor” diyor. “Satıcılar, veri üreticileri ve mühendisler daha sonra güvenlik ekiplerinin veri alımını ve normalleştirmeyi basitleştirmesine yardımcı olmak için mevcut şemaları eşleyebilir.

“Kuruluşlar, yeni çerçeveyi başarıyla benimseyerek yalnızca güvenlik sistemlerini güçlendirmekle kalmaz, aynı zamanda tehdit algılama ve soruşturma için ortak bir dilde çalışmak üzere güvenlik olayı verilerinin birleştirilmesini de sağlayabilir”

Paul Agbabian, Splunk

“Bu, daha az zaman alan normalleştirme görevleriyle daha iyi, daha hızlı veri alımı ve analizi anlamına geliyor. Kuruluşlar, yeni çerçeveyi başarıyla benimseyerek yalnızca güvenlik sistemlerini güçlendirmekle kalmaz, aynı zamanda tehdit algılama ve soruşturma için ortak bir dilde çalışmak üzere güvenlik olayı verilerinin birleştirilmesini de sağlayabilir.”

OCSF’yi kuruluşlarında benimsemekle ilgilenen BT güvenlik liderleri için ilk adım, güvenlik operasyonları ekibinin mevcut çerçeveye aşina olmasını sağlamaktır. Özellikle Agbabian, CISO’lara ve çalışanlarına OCSF’nin farklı güvenlik olayları tanımlarını öğrenmelerini tavsiye ediyor. Bu, onların “güvenlik soruşturmalarını ve tehdit avlama faaliyetlerini desteklemek için OCSF verilerini hızlı bir şekilde operasyonel hale getirmelerini” sağlayacaktır.

Agbabian, OCSF’nin “olayları günlüğe kaydetmenin ve telemetri yaymanın iyi anlaşılmış bir yolunu” sunduğu için B2B uygulamaları oluşturan BT ekipleri için de yararlı bir kaynak olabileceğini söylüyor. “Ayrıca, CISO’lar güvenilir güvenlik ortaklarıyla konuşmalı ve onlara OCSF’yi desteklemek için yol haritalarını sormalıdır” diye ekliyor. “Bu, ekiplerinin güvenlik operasyonları süreçlerinin bir parçası olarak OCSF verilerini ne zaman kullanmaya başlayabilecekleri konusunda bir zaman çizelgesi sağlayacaktır.”

Diğer endüstrilerin liderliğini takip etmek

Cloudera’nın saha CTO’su ve siber güvenlik lideri Carolyn Duby, OCSF’nin bir başka büyük destekçisidir. Siber güvenlik endüstrisinin her zaman böyle bir çerçeveye ihtiyacı olduğunu söylüyor çünkü bu, farklı şemalara sahip çok çeşitli cihazlara bağlı.

Duby, sağlık hizmetleri gibi veri ağırlıklı sektörlerin, Hızlı Sağlık Hizmeti Birlikte Çalışabilirlik Kaynakları (FHIR) standardı gibi kendi çerçevelerine sahip olduğuna ve siber güvenliğin farklı olmaması gerektiğine dikkat çekiyor. OCSF’nin de benzer faydalar sağlayacağını umuyor.

Duby, “Burada, OCSF, günlük olarak kullanılan çok sayıda farklı cihaz olduğundan ve her biri şemaya biraz farklı baktığından siber güvenlik için çok faydalıdır” diyor. “Bu, tüm verileri bir araya getirmeye çalıştığınızda, bu ortak noktaya sahip olmadığınız için ilişki kurmanın zor olabileceği anlamına geliyor. Standart bu sorunu çözüyor ve veri işleme araçları için yardımcı oluyor.”

Siber güvenlik ekiplerinin veri kümelerini analiz etmesinin şu anda zor olduğunu çünkü birçok farklı formatta geldiklerini ve sıklıkla hata mesajları ürettiğini söylüyor. Ancak OCSF ile ilgili harika olan şey, tüm siber güvenlik endüstrisi için verilerin erişilebilirliğini geliştirmek üzere tasarlanmış olmasıdır.

Duby şunları ekliyor: “OCSF’nin temel bileşenleri, makine tarafından okunabilir olması, şemanın tüm aynı öğelerine aynı adlarla çağrılabilmesi için ortaklık sağlaması ve endüstri genelinde tutarlılık sağlayacak bir birlikte çalışabilirlik standardı olmasıdır. En azından vizyon bu. Esasen, büyük miktarda veri çalıştıran herhangi bir şirket için veri hazırlama süresini kısaltacak ve tekrarlayan görevleri tamamlama zorunluluğunu ortadan kaldıracaktır.”

Başarının önündeki engeller

Ancak, OCSF’nin hedeflerine ulaşması için endüstri çapında benimsenmesi çok önemlidir. Duby, benzer çerçevelerin geçmişte başarısız olduğu için bunun zor olabileceğini söylüyor. “Çerçeve tüm endüstri için son derece faydalı olacak” diyor. “Ancak, yaygın olarak benimsenmesi, Ulusal Siber Güvenlik Merkezi gibi endüstrinin yasama ve düzenleyici kurumları tarafından uygun standart olarak zorunlu kılınmasına bağlı olacaktır.

“Bir kez FHIR ile bunun olduğunu gördük. [US] Medicaid ve Medicare Ofisi Merkezi bunu standart olarak benimsedi, bir sonraki seviyeye taşıdı ve bütün bir endüstri grubu ve topluluğu onun etrafında inşa edildi.”

Duby’nin CISO’lara tavsiyesi, standardı not etmeleri ve zaman içinde nasıl geliştiğini ve farklı araçları nasıl etkilediğini izlemeleridir. Daha sonra akranlarını birlikte çalışabilirlik formatlarını benimsemeye teşvik etmelidirler. “Ancak, bu yalnızca standart bir gereklilik haline getirilirse gerçekleşecektir, çünkü ürünleri bu biçimleri, arayüzleri ve veri toplama biçimlerini destekleyecek şekilde yeniden tasarlamak çok zaman, çaba ve kaynak gerektirir” diyor. .

OCSF’yi benimsemek isteyen kuruluşların ayrıca çalışanlarını çerçeve hakkında, özellikle de çerçevenin ne yaptığı, nasıl çalıştığı ve çerçeveyle uyumlu olduğu konusunda eğitmeleri gerekecektir. Duby şunları ekliyor: “Dolayısıyla, satıcıların bunu gerçekleştirmek için yapması gereken çok iş var. Ve bu sadece endüstrinin bunu gerektirmesi durumunda gerçekleşecek.”

“SOC ekipleri, ilgili tehdit istihbaratı olmadan aldıkları daha geniş ve daha derin algılama verileriyle boğulacak. Steroidler üzerinde bir köstebek vurmayı düşünün – daha fazla delikten daha fazla köstebek, daha da hızlı ortaya çıkıyor – ama çekiciniz hala aynı”

Steve Benton, Anomaliler

Anomali’deki tehdit araştırması başkan yardımcısı Steve Benton, OCSF’nin siber güvenlik endüstrisi için doğru yönde atılmış bir adım olduğunu kabul ediyor – ancak bunun güvenlik ekiplerinin büyük çoğunluğunu bunaltabileceğinden ve yönetilmesinin zorlaşabileceğinden endişe ediyor.

“SOC ekipleri, ilgili tehdit istihbaratı olmadan aldıkları daha geniş ve daha derin algılama verileriyle boğulacak” diyor. “Steroitlere bir köstebek vurduğunu düşünün – daha fazla delikten daha fazla köstebek, daha da hızlı ortaya çıkıyor – ama çekiciniz hala aynı. Ve şimdi çözmek için daha fazla yanlış pozitifiniz olacak ve tavşan deliklerinden aşağı kayma riskini alacaksınız.”

Çerçevenin başarısını engelleyebilecek başka bir şey de Mitre ATT&CK entegrasyonunun olmamasıdır. Benton, güvenlik ekiplerinin siber güvenlik açıklarını ve saldırılarını anlamak ve önlemek için Mitre ATT&CK’ya güvendiğini söylüyor.

“Herhangi bir güçlü güvenlik ekibi, nasıl çalıştıklarına ATT&CK’yi yerleştirecek ve standarttan şu anda yokluğunda kesinlikle bir kaştan fazlasını kaldıracak” diyor. “Standart, ürünlere uyarlandığında algılamayı birleştirecek, ancak kuruluşların yanıtlarını belirlemek ve altyapıları genelinde yürütmek için farklı veri ve bilgileri görüntülemek için ekrandan ekrana geçmeye güvenmeleri gerekecek. ideal olan.”

Veri toplama ve analiz, başarılı siber güvenlik ekiplerinin ayrılmaz bir parçasını oluşturur. Ve bugüne kadar, veri ve telemetri güvenlik araçlarının tenha ve dağıtık yapısı, CISO’ları ve ekiplerini siber suçlarla mücadelede geri tuttu. OCSF, siber güvenlik uzmanlarının ve ekiplerinin güvenlik verilerini anlamasını kesinlikle kolaylaştıracak, ancak benimseme zorlukları devam ediyor.

Read Previous

LinkedIn, kullanıcı gizliliğini ve güvenliğini korumak için yeni özellikler ekler

Read Next

NCSC’den Levy, 20 yıllık istihbarat kariyerinden sonra istifa etti

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

organik hit - iş fikirleri -