ウェイター、シェフ、コックが同じ言語を話しながらも、メニューに載っているものに対して異なる言葉を使うレストランでは、ロブスタービスクを注文したのにステーキフリットが出てくるかもしれません。同様のバベルの塔の問題はサイバーセキュリティにも存在し、特に2023年の脅威の増大を考えると、それは顕著です。異なるセキュリティベンダーが、イベントや日付、エンドポイントなどのパラメータを定義する際に、同じJavaScript文字列を使用することは稀です。
Splunk と AWS が主導するコンソーシアムは、ログにイベントを記録する方法を標準化し、複数のツールやベンダーから受け取るアラートを解読するセキュリティ チームの負担を軽減することで、この問題を解決したいと考えています。
ジャンプ先:
- オープンサイバーセキュリティスキーマフレームワークが一般公開されました
- JSON以外では、どんな名前で呼んでもバラと同じ
- OCSFが以前のスキーマをどのように構築するか
- 雑然とした議論を打破し、適切なサイバーソリューションを見つける
オープンサイバーセキュリティスキーマフレームワークが一般公開されました
先週のBlack Hatにおいて、Splunk、AWS、IBMからなる運営委員会が、Open Cybersecurity Schema Frameworkの一般公開を発表しました。これはGitHubでホストされているオープンソースプロジェクトで、セキュリティデータのサイロ化を解消し、ベンダーやアプリケーション間でイベントフォーマットを標準化することを目的としています。
参照:Black Hatで何が起こるか… 2023年のカンファレンスの詳細(TechRepublic)
OCSFがBlack Hat 2022で初めて発表された際、参加組織は18社でした。現在、OCSFはAWSやIBMを含む145社のセキュリティ企業と435人の個人貢献者で構成されています。Splunkは、OCSFをオープンで拡張可能なフレームワークであり、組織があらゆる環境、アプリケーション、ソリューションに統合して既存のセキュリティ標準やプロセスを補完できると説明しています。
JSON以外では、どんな名前で呼んでもバラと同じ
OCSFは本質的にJavaScriptオブジェクト記法スキーマです。JavaScriptでは、データは引用符と括弧で囲まれた一連のコード文字列で表現されます。JavaScriptログにはJSONと呼ばれるオープンスタンダード記法がありますが、様々なイベントのJSON名は標準化されていません。OCSFはまさにこの問題に対処することを目的としています。
AWSのCISOオフィスディレクター、マーク・ライランド氏は次のように述べています。「グリニッジ標準時(GMT)が良い例です。どのツールもGMTをエンコードしますが、その方法は同じではありません。そのため、日付を比較しようとすると、特定のGMT日付に対して複数の表現が表示される可能性があります。各ツールは、情報を共有する方法に応じて、わずかに異なるバリエーションで現実を表現しているのです。」
このため、アナリストは複数の画面を確認し、事実上、切り取りと貼り付けを行って非正規化された方法でデータを提示することになると彼は述べた。
「Splunkや他のベンダーと協力する中で、データのクレンジング、加工、変換に費やす時間を短縮できれば、すべてのテレメトリにわたる共通フォーマットで問題が解決されるため、セキュリティチームの生産性を向上できることに気づきました」と彼は語った。
参照: Black Hat での AI の「マンジング」:サイバーセキュリティにとっての脅威か恩恵か? (TechRepublic)
Splunk のテクニカル GTM 担当 VP の Patrick Coughlin 氏は、組織のセキュリティ チームは、それぞれ構造、形式、アラートの表示方法が異なる最大 100 個のツールを使用していることが多いと述べています。
「アラート疲れは深刻な問題です」と彼は言います。「アラートについて異なる方法で処理する複数のシステムと通信しなければならないとしたら、状況はさらに悪化します。OCSFはこれらすべてを統合し、はるかに理解しやすく、自動化も可能にします。」
Splunk の著名なセキュリティ戦略家であり、同社の SURGe 脅威インテリジェンスおよび分析ユニットのディレクターを務めるライアン・コバー氏は、たとえば、ランサムウェアの攻撃者がファイル システムを暗号化した場合、このランサムウェアの暗号化イベントがイベント ログで認識される方法は、あるベンダーによって別のベンダーによって認識される方法とは大きく異なる可能性があると述べています。
「セキュリティベンダーごとにアラートの分類法が複数存在する場合、同じイベントに対してアラートを発しているのかどうかを見分けることが難しくなります。一方、OCSFスキーマを活用するセキュリティソリューションは、一貫した形式でデータを生成するため、セキュリティチームはデータの正規化にかかる時間と労力を削減し、より早く分析に着手して、検知までの時間を短縮できます。」
OCSFが以前のスキーマをどのように構築するか
OCSF には、Symantec で行われた ICD スキーマ作業を基に、Cloudflare、CrowdStrike、DTEX、IronNet、JupiterOne、Okta、Palo Alto Networks、Rapid7、Salesforce、Securonix、Sumo Logic、Tanium、Trend Micro、Zscaler を含む 15 の追加初期メンバーからの貢献が含まれています。
Couphlin 氏は、過去 10 年間にわたって、STIX (Structured threat Information eXpressioin、サイバー脅威用の標準化された XML プログラミング言語) や TAXII (Trusted Automated eXchange of Indicator Information、組織間で脅威情報を共有するためのトランスポート プロトコル) など、データとサイバーに関するいくつかの標準や取り組みがあったが、OCSF の採用率には驚いていると説明しました。
「OCSFの導入が著しく加速しています」と彼は述べた。「12ヶ月前にここにいた時に聞かれたら、標準が厳しく、企業には縄張り意識があるため、普及には時間がかかるだろうと答えていたでしょう。例えばバラクーダはOCSFにネイティブに統合された最初の製品を既にリリースしており、この1年で桁違いに成長したと最近知りました。この12ヶ月間の大きな根本的な変化は、昨年にはなかったOCSF準拠の製品や機能を市場に提供できるようになったことです。」
雑然とした議論を打破し、適切なサイバーソリューションを見つける
セキュリティソリューションの急増は、購入者を困惑させる可能性があります。サイバー攻撃をブロックし、許可されたトラフィックを脅威から保護できるサイバーセキュリティソリューションの選定基準について詳しく知りたい方は、この決定版ガイドをダウンロードしてください。提案依頼プロセスを通じてサイバーセキュリティソリューションを効果的に評価する方法を解説します。
