数据是任何组织安全策略的命脉。来自分布在企业广泛的多云基础设施中的数十种安全和 IT 工具的数据为组织提供了关键的可视性 当今的威胁形势。然而,由于无法将这些散乱的数据拼接在一起并将其置于适当的环境中,导致效率低下,难以及时识别潜在威胁。
使用不兼容格式的安全数据流迫使安全团队投入时间和资源来将不同的数据归结为一个共同点。这使得在更大的背景下分析网络事件变得具有挑战性,可能会屏蔽涵盖多个攻击向量的复杂攻击模式。
为了解决这个问题,行业领导者联手建立了一个新的与供应商无关的网络和网络安全标准,该标准具有超过 660 个企业组织的 197XNUMX 名个人贡献者 帮助机构掌握其安全数据,以更好地检测和调查威胁。该项目于 2022 年 XNUMX 月推出 开放网络安全模式框架 (OCSF) 一直在整个行业中受到客户、研究人员和供应商的关注,他们现在发现自己正在与同行合作解决这一数据标准化问题。
然而,仍然需要做一些工作来确保该标准在整个行业内得到采用,以便它能够为当今的企业提供更强大的安全策略。
解决企业网络中的安全漏洞
过去,解决安全领域数据互操作性问题的责任落在安全信息和事件管理 (SIEM) 供应商和最终用户身上,他们使用应用程序编程接口 (API) 和其他连接器跨各种工具收集数据。然而,随着攻击面的扩大,跨不同工具集规范、清理和调整数据结构的时间和精力已经变得不可持续。对不同系统之间的数据收集进行标准化可以使识别和调查威胁变得更容易、更快捷。
跨行业合作的机会
OCSF 架构消除了数据安全孤岛,并标准化了跨不同网络安全工具收集和管理安全数据的方式。这有效地创建了安全遥测的通用语言,使其成为任何供应商都可以使用的开放标准。 OCSF 可以在任何环境、应用程序或解决方案中采用,补充现有的安全标准和流程。
OCSF 为供应商提供了一个可扩展的框架来开发自己的模式。供应商和其他数据生产者可以采用和扩展其特定领域的架构,允许工程师映射不同的架构,帮助简化安全工具之间的数据摄取和管理,从而更快、更准确地检测和调查威胁。
然而,为了使标准化发挥作用,整个行业需要团结起来。这需要网络和安全行业的合作者抛开分歧,采用共同的语言、模式和标准。这符合客户的最大利益,但通过供应商合作改善客户体验也将促进整个行业的增长和繁荣。
要扩大 OCSF 的采用并帮助组织更快地响应威胁并降低数据标准化成本,需要做以下五件事:
1. 与客户互动。
最终,客户将推动采用,供应商必须强调转向开放且可扩展的安全架构的技术和业务优势。第一步是认识到数据工程师、安全运营团队和其他利益相关者在管理和保护跨各种云和数据中心基础设施的现代网络时日常处理的痛点。
消除对来自分布式来源的数据进行标准化的需要将使安全团队能够专注于真正重要的事情——威胁检测和调查。
2.说服更多供应商合作。
成功还取决于行业标准的采用,但同行之间的合作至关重要。许多人仍然认为标准可以让客户更容易地从他们的平台上迁移出来,但这是一种危险的想法。供应商锁定最终会阻碍整个行业,并使市场发展变得更加困难。
事实上,OCSF 等标准可以更轻松地将供应商的产品集成到完整的安全和网络堆栈中,从而增强供应商解决方案的采用 - 作为单个集成的生态系统而不是孤立的独立产品,可以简化安全操作为客户。
3. 寻求联邦政府的帮助。
联邦政府始终通过资金、研发和标准化来支持创新。网络安全和基础设施安全局在所有征求意见 (RFC) 中强制要求遵守 OCSF 和其他框架(CISA)将显着促进这种新模式的采用。此外,联邦政府可以将专业知识或遵守 OCSF 作为希望与联邦机构合作的供应商和承包商的要求。
4. 促进开放式沟通。
任何项目的启动——更不用说全行业的标准化工作——都需要所有利益相关者的持续沟通。 OCSF 鼓励供应商、研究人员和客户通过为核心模式做出贡献来参与这一过程。该组织的 Slack 频道拥有超过 660 名成员,而几个月前只有 100 多名成员。
5.鼓励企业用例。
一些大型企业已经在其内部网络中采用了 OCSF 标准,开发了一个系统,将各种威胁检测和调查数据集中在他们内部开发的单个管理仪表板中。
齐心协力迈向更安全的明天
安全团队被迫花费过多的时间来规范和清理来自日益复杂的安全堆栈中数十个来源的遥测数据。新的 OCSF 架构旨在跨工具标准化安全数据,让安全团队能够花更多时间主动应对和预防威胁。
行业中的其他人需要通过客户、供应商和联邦政府的支持和更好的合作来支持与供应商无关的举措。这需要 促进参与 并展示具体的企业用例。
我们现在有机会向前迈出一大步,扭转局势,应对当今日益复杂的威胁。团结起来将为行业带来急需的信任,帮助我们在今天和未来继续保护人民、组织和政府。
