I
n der alten Sage über den Turmbau zu Babel arbeiten Menschen zusammen, um einen Turm in den Himmel zu bauen. Durch göttliche Intervention verlieren sie dann jedoch die Fähigkeit, miteinander zu kommunizieren. Die verschiedenen Gruppen beginnen letztlich, eigene Sprachen zu sprechen, und können den Turm daher nicht fertig stellen. Sicher fragt ihr euch jetzt: „Was hat ein Blog über Cybersicherheit mit einer uralten Sage zu tun?" Ganz einfach: Diese Erzählung ist eine sehr treffende Analogie zu einer seit langem bestehenden Herausforderung im Bereich Security Operations - der Normalisierung von Daten über mehrere Sicherheitstools hinweg.
Es ist allgemein bekannt, dass Daten das Lebenselixier jedes Security Operations Center (SOC) sind. Diese Daten müssen aber oftmals bearbeitet und normalisiert werden, um sie in eine Form zu bringen, die von den Teams und Tools des SOC verwendet werden können. Abhängig von der Zahl der Tools, der Formate und der Support-Infrastruktur kann diese Aufgabe sehr aufwendig sein, vor allem hinsichtlich Personal, Budget und Ressourcen.
In der Branche herrscht der vielfache Wunsch nach Vereinfachung der Datennormalisierung. ESG und ISSA haben im Juli 2022 sogar einen Bericht mit dem Titel „Technology Perspectives from Cybersecurity Professionals“ veröffentlicht, der diesen Wunsch unterstreicht. In diesem Bericht nennt Jon Oltsik, Senior Principal Analyst und ESG Fellow, zwei wichtige Erkenntnisse:
- „77 % der Befragten wünschen sich eine stärkere Kooperation von Industrie und Technologie in Form von Unterstützung offener Standards.“
- „85 % der Befragten sind der Ansicht, dass die Integrationsmöglichkeiten eines Produkts wichtig sind.“
Und der Sektor der Cybersicherheit ist bereit, abgeschottete Silostrukturen hinter sich zu lassen und den Weg in ein offenes, integriertes Zeitalter der Interoperabilität und Zusammenarbeit einzuschlagen.
Aus diesem Grund freuen wir uns ganz besonders, unsere Mitwirkung beim Projekt „Open Cybersecurity Schema Framework“ (OCSF) bekanntzugeben. Ich persönlich beschäftige mich bereits seit über 20 Jahren in der einen oder anderen Form mit dieser Thematik – und zwar sowohl aus der Sicht des Datenproduzenten als auch aus der des Datenkonsumenten und -analysten – und meiner Meinung nach ist dies der bisher beste Versuch, die Turm-von-Babel-Analogie rund um das Problem der "Sprachverwirrung" zu lösen.
OCSF ist ein Open-Source-Projekt, das ein erweiterbares Framework zur Entwicklung von Schemata sowie ein anbieterunabhängiges Kern-Sicherheitsschema bietet. Anbieter und andere Datenproduzenten können das Schema für ihre spezifischen Bereiche übernehmen und erweitern. Dateningenieure können vorhandene Schemata zuordnen, um Sicherheitsteams bei der Vereinfachung der Datenerfassung und -normalisierung zu unterstützen, damit Data Scientists und Analysten eine gemeinsame Sprache für die Erkennung und Untersuchung von Bedrohungen zur Verfügung steht.
Während das Framework selbst nicht auf den Bereich Cybersicherheit fixiert ist, liegt bei Kernschema und Wörterbuch der Fokus dagegen auf Sicherheits-Events. Ziel ist es, einen offenen Standard zu schaffen, der in jeder Umgebung, Anwendung oder Lösung eingesetzt werden kann und bestehende Sicherheitsstandards und -prozesse ergänzt.
Das OCSF-Projekt wurde von AWS und Splunk gemeinsam konzipiert und initiiert. Es basiert auf dem ICD-Schema (Integrated Cyber Defense) von Symantec, einer Broadcom-Tochter. Durch die Zusammenarbeit mit gemeinsamen Kunden und eine Bedarfsanalyse für den SecOps-Markt wuchs die Kerngruppe der Projektgründer auf insgesamt 18 Technologie- und Security-Unternehmen, die alle an der ersten öffentlichen Version beteiligt sind.
Die Gründungsmitglieder sind AWS, Broadcom, Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Splunk, Sumo Logic, Tanium, Trend Micro und Zscaler.
Dieser gemeinsam von Produzenten und Verbrauchern sicherheitsrelevanter Daten entwickelte und eingesetzte Open-Source-Standard für Sicherheitsdatenschemata beseitigt ein Hindernis, mit dem Sicherheitsteams in aller Welt seit langem kämpfen: Sie müssen zu viel Zeit und Ressourcen aufwenden, um Daten der verschiedenen, von ihnen genutzten Tools und Anbieter zu vereinheitlichen, bevor sie diese Daten tatsächlich für die Erkennung und Untersuchung von Sicherheitsbedrohungen nutzen können.
Beim Open Cybersecurity Schema Framework (OCSF) arbeitet die Branche zusammen, um Sicherheitsteams die Erfassung und Normalisierung von Daten abzunehmen, damit sie sich ganz auf die Analyse der Daten konzentrieren können. Ähnlich wie STIX/TAXII für Threat Intelligence und das MITRE ATT&CK-Framework für die Klassifizierung von Taktiken vereinfacht OCSF die Bedrohungserkennung und -untersuchung für Sicherheitsteams rund um den Globus. Wir glauben, dass die Zeit reif und OCSF das richtige Mittel ist, um die Vereinheitlichung von Daten zu Sicherheits-Events voranzutreiben, sodass alle Cybersicherheitsteams und -organisationen davon profitieren.
Wenn ihr mehr über die Veröffentlichung von OCSF erfahren möchtet, dann lest am besten die entsprechende Pressemitteilung von der Black Hat 2022. Informationen dazu, wie ihr euch selbst am OCSF-Projekt beteiligen könnt, findet ihr hier.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
