本周,在美国拉斯维加斯举办了黑帽安全大会 (Black Hat USA),会上展示了令人兴奋的网络安全新闻和演示。其中一个最有趣的新闻是,一项名为开放网络安全模式框架 (Open Cybersecurity Schema Framework) (OCSF) 的新型通用数据标准,用于共享网络安全信息。该框架由包括亚马逊 (Amazon)、Splunk和IBM在内的 18 家主要科技和网络安全公司共同开发。
那么,为什么需要这样的东西呢?监控其管辖范围内的计算机系统对网络安全部门来说是一项重大挑战。为了阻止黑客攻击——或者在攻击发生后拼凑出事件经过——这些部门需要能够看到关于近期登录尝试次数、访问了哪些文件以及何时发生这些事件等信息。为了做到这一点,他们通常会使用许多不同的软件——其中大多数使用自己的专有数据结构。
不同安全系统数据之间缺乏互操作性是一个大问题。在亚马逊宣布 OCSF 框架的新闻稿中,AWS 首席信息安全官办公室主任 Mark Ryland 表示:“安全团队必须在不同供应商的多个产品之间,以各种专有格式关联和统一数据……安全团队没有将精力主要集中在检测和响应事件上,而是花费时间对这些数据进行规范化,作为理解和响应的前提。”
换句话说,网络安全团队没有解决网络安全问题:他们正在使用电子表格来尝试获取他们从一个产品所需的数据,以便与他们从另一个产品所需的数据进行匹配。
例如,一个软件可能跟踪登录和登录尝试,另一个跟踪已登录用户对服务器上文件的操作,第三个跟踪管理员访问和其他高级请求。然后,假设一个黑客闯入了计算机系统,将恶意软件安装到某个特定文件夹,并利用该恶意软件获得管理员权限——这一切都是为了下载大量行业机密或他们可能的目标。
为了追踪或重现这一复杂(尽管在这个例子中已极大地简化)的事件顺序,网络安全团队将不得不整合来自所有三个日志工具的数据。登录跟踪应用程序将报告黑客如何进入,文件跟踪应用程序将报告恶意软件的安装以及所有重要文件的下载,而管理员跟踪应用程序将报告他们如何以及何时执行此操作。除非这三个应用程序使用相同的数据格式(目前它们不使用),否则这将涉及大量的数据处理。
OCSF 的作用是创建一个开放的数据格式,任何产品供应商都可以使用。这意味着不同的安全、托管和其他相关技术产品可以更轻松地协同工作。不再是登录、文件和管理员跟踪应用程序各自拥有自己的专有日志时间戳记录方式,它们都将能够使用相同的数据结构。这样,网络安全团队就可以轻松追踪——并最终阻止——黑客。
虽然这有点抽象和复杂,但您现在就可以在 GitHub 上查看OCSF 框架。您也可以在此处查看当前数据类别列表——甚至为其做出贡献。
该框架并非空想。它已被世界上最重要的网络安全会议之一,由科技和网络安全领域的一些巨头所推出。除了亚马逊、Splunk 和 IBM 之外,Broadcom、Salesforce、Rapid7、Tanium、Cloudflare、Palo Alto Networks、DTEX、CrowdStrike、JupiterOne、Zscaler、Sumo Logic、IronNet、Securonix 和 Trend Micro 都参与了 OCSF 的开发——并且都在努力将其纳入其产品中。
正如 Ryland 在亚马逊的新闻稿中所说:“尽管我们作为一个行业无法直接控制威胁行为者的行为,但通过让安全团队更轻松、更高效地完成工作,我们可以改善我们的集体防御能力。”而更高效的网络安全团队能更好地做好最重要的事情:保护我们所有的数据安全。
