¿Es OCSF la clave para la democratización de los lagos de datos de seguridad?

Importar y analizar datos de seguridad requiere mucho tiempo y recursos, pero Open Cybersecurity Schema Framework (OCSF) tiene como objetivo cambiar eso. Esto es lo que el equipo de detección y respuesta (DnR) de Salesforce encontró cuando realizó pruebas con OCSF.
¿Es OCSF la clave para la democratización de los lagos de datos de seguridad?

Detectar y detener los ataques cibernéticos de hoy en día requiere la coordinación de muchas y diversas herramientas de seguridad. Desafortunadamente, el tiempo y los recursos que los equipos han dedicado a unificar estos datos de registro de seguridad es el coste a pagar por la realización de los análisis necesarios para erradicar posibles ataques. El proyecto Open Cybersecurity Schema Framework (OSCF) tiene como objetivo cambiar eso para que los equipos puedan pasar menos tiempo analizando y más tiempo protegiendo sus entornos. Pero echemos un vistazo a lo que hace que este nuevo enfoque sea tan importante y oportuno.

Para que los datos de eventos del registro de seguridad sean útiles, cada registro debe tener un esquema que defina los campos disponibles para buscar, sumar o detectar, además del registro. Por ejemplo, un registro de conexión de red podría tener una IP de origen que inició la conexión y una IP de destino que recibió y entregó una respuesta a la solicitud; el esquema tendría campos como src y dest para que los analistas de seguridad sepan que pueden realizar consultas sobre dichos campos.

Sin embargo, hay poco acuerdo entre los tipos de registro o las herramientas para estos esquemas. Si utilizamos el mismo ejemplo, CrowdStrike extrae el origen de IP en los registros de red como ip y el destino como RemoteAddressIP4. Los cortafuegos PAN llaman a la IP de origen src y a la de destino dst. Algunos registros están completamente desestructurados, y las direcciones IP de origen y destino solo se pueden determinar si se comprende el formato del registro y la ubicación de la dirección IP desde el evento del registro. 

A menudo, los analistas querrán realizar consultas en grandes subconjuntos de registros. Por ejemplo, es posible que deseen saber, en todos los registros de la red, si algún host se conectó alguna vez a una dirección IP en particular. Para esto, no solo necesitamos un esquema para cada tipo de registro, sino que necesitamos que estos esquemas coincidan. ¡Si al menos hubiera una mejor manera de importar y analizar datos con menos esfuerzo manual!

Los desafíos de la normalización de registros

Hasta ahora, Salesforce abordaba esto con una solución interna compleja llamada "Events Data Dictionary" (DDI), que enumera todos los campos en todos los registros, y hemos definido reglas de extracción de campos de datos (DFE) que analizan los registros e imponen el diccionario como un esquema. En la arquitectura de detección y respuesta, este proceso ocurre en un sistema llamado "Normalizador". 

Tras la normalización, todos los registros, incluidos los que no estaban estructurados anteriormente, tienen esquemas coincidentes y un conjunto de campos desde los que podemos consultar. Extraemos RemoteAddressIP4 en los registros de CrowdStrike y cambiamos el nombre a IPDestination, igualmente, la dst de los registros PAN se convierte en IPDestination, y los analistas sencillamente escriben consultas si quieren ver si una IP en particular estaba conectada consultando todos los registros y preguntando dónde IPDestination == [...].

¡Esto es lo idóneo!, en principio. Los analistas pueden buscar. Sin embargo, la normalización de registros también genera sus propios desafíos:

  1. Hay cientos de campos en el diccionario de datos, muchos de los cuales son NULL (nulos), lo que supone desperdiciar mucho espacio.
  2. Cuando obtenemos un nuevo tipo de registro, los campos pueden no estar de acuerdo con lo que anteriormente hemos definido y, por lo tanto, generar casos límite, o casos de borde extraños (por ejemplo, usuario, nombre de usuario, correo electrónico de usuario, según el tipo de registro, significan cosas diferentes).
  3. Tenemos que analizar manualmente cada nuevo tipo o subtipo de registro como parte de la incorporación de un nuevo origen de registro; escribiendo expresiones regulares o reglas de análisis.
  4. Cualquier cambio en la estructura de los registros, adición o sustitución de campos, puede hacer que las reglas existentes no analicen los campos relevantes. Este es un importante problema de calidad de datos.
  5. Además, no existe una buena manera de validar o realizar un seguimiento de las reglas a escala. Es muy probable que las reglas se dupliquen; es un reto mantener o actualizar el conjunto de reglas porque la obsolescencia de las reglas conlleva un riesgo considerable. Esto puede conducir a regresiones en las que las reglas nuevas sobrescriben la funcionalidad de las reglas antiguas.

Todo este trabajo conlleva un coste creciente asociado. En lugar de centrarse principalmente en detectar y responder a los eventos, los equipos dedican tiempo a normalizar manualmente estos datos como requisito previo.

Adopción de OCSF

El Open Cybersecurity Schema Framework (OCSF), anunciado públicamente como un estándar de esquema abierto en BlackHat (agosto de 22) es el primer proyecto de este tipo; un esfuerzo significativo para generalizar datos a través de múltiples fuentes de ciberseguridad. Este marco tiene como objetivo ofrecer una taxonomía simplificada e independiente del proveedor para ayudar a todos los equipos de seguridad a realizar importaciones y análisis de datos más rápidos y mejores sin la tarea de normalización inicial que requiere mucho tiempo. 

El objetivo es tener un estándar abierto que se ajuste a los estándares y procesos de seguridad existentes y que se pueda adoptar en cualquier entorno, en cualquier aplicación y por parte de cualquier proveedor de soluciones. OCSF es un marco de código abierto similar a nuestro enfoque de diccionario de datos en el sentido de que tiene como objetivo resolver el problema inicial descrito anteriormente y que además trata los puntos débiles que surgen de nuestro enfoque mediante la definición de un subconjunto de campos que se esquematizarán en función del uso por parte de los analistas.

Nuestro Chief Trust Officer, Vikram Rao, comentó que "Todas las empresas se están enfrentando a la necesidad imperiosa de digitalizarse a la mayor brevedad. Pero desarrollar una postura de seguridad para cumplir con los niveles de confianza digital a escala de Internet puede ser un gran desafío. Los nuevos estándares como OCSF reducen la complejidad para los equipos de seguridad, permitiéndoles centrarse en trabajos más significativos como el análisis de amenazas y la prevención de ataques".

La prueba de funcionamiento

El equipo de ingeniería de detección y respuesta de Salesforce evaluó OCSF, considerando aplicar este esquema en los registros generados por Salesforce y adaptando nuestro enfoque actual a la normalización para generar registros con los esquemas definidos por OCSF, en lugar de nuestros esquemas definidos personalizados provenientes del diccionario de datos de eventos, Events Data Dictionary.

Para comprender mejor OCSF, primero realizamos un ejercicio para transformar y evaluar un evento hipotético de detección de seguridad de Salesforce en formato OCSF. A continuación se muestran las capturas de pantalla del evento en nuestro formato DDI actual frente al formato OCSF. 

image
Evento de seguridad de Salesforce - DDI esquematizado
image
Evento de seguridad de Salesforce - OCSF esquematizado

Mientras trabajábamos en este ejercicio y explorábamos el esquema OCSF, encontramos campos interesantes que potencialmente podríamos usar; p.ej., el objeto de corrección, este campo ayuda a vincular los artículos de la base de conocimientos, la descripción que será útil para los analistas posteriores mientras clasifican los incidentes y les ayuda a tomar medidas adicionales.

Comenzamos trabajando en equipos internos y creando prototipos, evaluando la transformación de nuestros registros de aplicaciones internas sfdc_applog, para que eventualmente sean productores de registros compatibles con OCSF. Esperamos continuar colaborando de cara al futuro. Si desea colaborar y usar este esquema para estandarizar sus registros, puede comenzar y bifurcar el OCSF GitHub [aquí].

Un gran reconocimiento

El proyecto Open Cybersecurity Schema Framework, destinado a simplificar la clasificación de datos en un marco independiente del proveedor para ayudar a los equipos de seguridad a dedicar menos tiempo a normalizar los datos y más tiempo a la defensa, merece un aplauso. El proyecto OCSF incluye contribuciones de Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro y Zscaler.

En Salesforce estamos entusiasmados y hemos sido los primeros en adoptar OCSF. Estos primeros ejercicios que hemos realizado para transformar nuestros principales eventos de tipo de registro en OCSF han supuesto un excelente primer paso y nos han ayudado a incorporar diferentes equipos internos para conocer el marco y su paradero. Dado que OCSF es el estándar abierto y el esfuerzo de colaboración en todo el sector de la seguridad, con diversas partes interesadas adoptando el estándar y ayudándole a evolucionar, tiene el potencial de democratizar los lagos de datos de seguridad en todas las organizaciones.

Por último, para que OCSF tenga el mayor impacto, necesitamos que los proveedores de nube y los proveedores de seguridad se unan y proporcionen registros en el esquema OCSF. Si usted está en este espacio, ¡ayúdenos a derribar los límites y hacer de esto un estándar en la comunidad de la seguridad informática!

Historias recomendadas