简说开源网络安全构架(OCSF)

攻防
1年前

spot_cybersecurity.jpg

  当前安全环境最常见的挑战之一,就是安全厂商太多,并且每一家都会监测数据,这些数据还都是他们自己原生的格式或者是某些使用不多的格式。随着组织当中对安全可视化的需求增长,团队需要整合、部署和治理的安全厂商与工具的数量也在提升。网络安全专家必须花时间让这些工具像一个整体一样合作,但结果就会让安全专家自己从识别和解决网络安全漏洞与威胁的本职工作当中分神。

  这个问题其实并没有被忽视。最近,AWS和Splunk、CrowdStrike、Palo Alto、Rapid7和JupiterOne等厂商联合宣布了开源网络安全架构框架(Open Cybersecurity Schema Framework, OCSF)项目。这一动作直面了安全人员需要纠缠于各种私有数据格式和输出,从而无法解决他们真正需要处理的风险和威胁的问题。在当前行业已经面临人员缺乏的挑战下,显得更为麻烦。通过对安全产品的模式和格式进行标准化,安全从业人员可以花更多的时间在解决企业面临的威胁上。

  以下是OSCF的一些说明,包括像数据类型、属性字典、分类方式等核心内容。

何为OCSF?

  OCSF的目的是实现一个厂商无关的解决方案,从而让行业和安全工具厂商群体能够团结一致,使安全集合能更无缝地协同。同时,还要能够提供一个定制化以及有效的架构,能够被各类组织实践的同时,也能够改进以符合特殊的情况、需求和环境。

  这个框架目标是标准化并优化安全工具生成的数据。尽管说当前最初的重点是在安全领域,但是未来来看并不局限于此。有兴趣的读者可以通过OCSF浏览页面进行查看。

  如果浏览该页面,可以看到当前的扩展,现在只限于开发。也能看到当前OSCF支持的领域:云、域名安全、文件安全、主机、恶意软件、名誉和用户。OCSF围绕四种关键角色建立:

  • 创作者(author):架构的创建者或者扩展者。
  • 生产者(producer):给架构生成原生事件的人。
  • 映射者(mapper):将其他来源的事件创建或者转换到架构中的人。
  • 分析者(analyst):搜索数据、根据框架构建规则或者分析、或者基于框架生成报告的终端用户。

  这些角色转化到现实的职业中可以是使用SIEM的SOC分析师,或者基于OCSF架构格式产生遥测数据的厂商。

  OCSF分录为上述的技术领域提供主流技术和活动的支持。比如,在浏览页面查看容器生命周期活动事件类,可以看到OCSF支持如活动、分类和类等核心内容,同时还能提供像次数、持续时间、甚至使用的HTTP方式等额外信息。

  这些被OCSF称为标题(caption)的东西会用各种开箱即用的元数据域输出容器的安装、移除、启动或者终止等相关信息。这同样也适用于云,可以提供云API、存储活动和虚拟机事件的详细信息。这些框架中的域可以用于收集和丰富像云控制和数据计划活动信息、相关存储以及对应的底层虚拟机、用于支撑云工作负载的算力等核心信息。

OCSF分类

  OCSF的分类围绕六种基础结果:

  • 数据类型(data types)
  • 属性和行列(attributes and arrays)
  • 属性字典(attribute dictionary)
  • 事件类(event classes)
  • 分录(categories)
  • 领域和扩展(profiles and extensions)

  数据类型包括像字符、整数等常见类型,同样也有像时间戳和IP地址的数据类型。

  属性是域和它们相关数据类型的唯一识别名。

  OCSF的属性字典包括了所有可用属性以及他们和框架核心中相关的类型。

  事件类包括了特定活动和指标的分录,比如系统和网络活动,或者安全发现。

  领域就像上述提到的那样,和云这类的分类,以及事件类与对象之上的额外属性相匹配,从而辅助过滤。最后,扩展允许框架进一步延伸的同时,依然保持核心框架。这在试图增加新的属性和事件类的时候很有用,能够让框架更动态以及灵活。

OCSF富集(enrichment)以及分录支持

  OCSF同样支持富集功能,允许在一个基础对象上在项目的收集和处理阶段添加额外信息,但是需要在存储阶段前。这个功能可以在存储之前的处理阶段,给IoC提供像IP地址和MAC地址之类的关联信息。

  OCSF框架还支持项目分录功能,从而更好地组织和理解整体安全。一些特定的分录包括系统、网络、审计活动,以及云活动等。

  OCSF和著名的MITRE ATT&CK之间大有联系。像恶意软件之类的领域可以将MITRE ATT&CK中的信息加到系统活动类中。还有一些其他和MITRE ATT&CK类似的地方,比如,OCSF中“分录”就和ATT&CK中的“战术(tactics)”有关联,或者说OCSF中的“事件类”和ATT&CK中的“技术(techniques)”相关。而这两者的不同之处,有ATT&CK对子技术的支持有所不同;另外,ATT&CK本质上还是被MITRE私有的,而OCSF则是开源的,能够在厂商和更大的安全社区中进行扩展的。

人人都可参与OCSF

  对厂商无关的安全框架的需求已经成为了许多安全人员以及其所属组织的共识。尽管说OCSF最初的项目贡献者包括了网络安全厂商中一些大厂,但它也同样希望有其他人能够对其添砖加瓦。

  多变的威胁态势使得许多组织盲目地堆砌安全工具。如果围绕一个行业标准框架并进行数据优化,能够让SIEM和SOC更加有效地工作,并且帮助操作人员将识别相关威胁的机会最大化。

数世点评

  安全公司之间相互抢占市场的时代可以过去了——各用各的数据格式虽然看似有利于企业安全产品的市场占有,但是对客户来说并不是一件好事:因为客户未必愿意按照安全公司的算盘将所有安全能力依靠在某几家供应商上。那么,未来自然而言就需要一个能够将各种厂商的安全能力集成统一的能力。国外大型安全厂商联手制定OCSF,也是一种安全厂商之间一定程度上放下竞争,携手合作的信号,或许下一个时代是真正的网络安全合作时代。


参考阅读
数据集成推动企业投资API安全
宽广、集成、自动化:新型安全平台需求日益增长
用户需要综合性解决方案:网络安全架构集成的价值凸显