September 27, 2022

Konferensi keamanan siber Black Hat USA diadakan di Las Vegas minggu ini, menampilkan berita dan demonstrasi keamanan siber yang menarik. Salah satu berita menarik yang paling menarik untuk dipecahkan adalah standar data umum baru untuk berbagi informasi keamanan siber yang disebut Open Cybersecurity Schema Framework (OCSF). Ini dikembangkan oleh 18 perusahaan teknologi dan keamanan siber besar, termasuk Amazon, Splunk, dan IBM.

Jadi mengapa hal seperti ini perlu? Memantau sistem komputer di bawah lingkup mereka merupakan tantangan utama bagi departemen keamanan siber. Untuk menghentikan peretasan—atau menyatukan apa yang terjadi setelah peretasan—departemen ini harus dapat melihat informasi tentang hal-hal seperti jumlah upaya masuk terakhir, file apa yang telah diakses, dan kapan semuanya terjadi. Untuk melakukan ini, mereka biasanya menggunakan banyak perangkat lunak yang berbeda—sebagian besar menggunakan struktur data miliknya sendiri.

Kurangnya interoperabilitas antara data sistem keamanan yang berbeda adalah masalah besar. Dalam siaran pers Amazon yang mengumumkan kerangka kerja OCSF, Mark Ryland, direktur kantor CISO AWS, mengatakan, “Tim keamanan harus menghubungkan dan menyatukan data di berbagai produk dari vendor yang berbeda dalam berbagai format kepemilikan… Alih-alih berfokus terutama pada pendeteksian dan menanggapi peristiwa, tim keamanan menghabiskan waktu untuk menormalkan data ini sebagai prasyarat untuk memahami dan merespons.”

Dengan kata lain, tim keamanan siber tidak memecahkan masalah keamanan siber: mereka menggunakan spreadsheet untuk mencoba dan mendapatkan data yang mereka butuhkan dari satu produk agar sesuai dengan data yang mereka butuhkan dari produk lain.

Misalnya, satu perangkat lunak mungkin melacak login dan upaya login, yang lain melacak apa yang dilakukan pengguna yang login dengan file di server, dan yang ketiga melacak akses admin dan permintaan tingkat tinggi lainnya. Kemudian, anggaplah seorang peretas membobol sistem komputer, memasang sedikit malware ke folder tertentu, dan menggunakan malware itu untuk mendapatkan akses admin—semuanya agar mereka dapat mengunduh banyak rahasia industri atau apa pun target mereka.

See also  Aksesori perjalanan untuk membuat perjalanan Anda tidak terlalu menegangkan

Untuk mengikuti atau membuat ulang rangkaian peristiwa yang kompleks (meskipun sangat disederhanakan, dalam contoh ini), tim keamanan siber harus menggabungkan data dari ketiga alat pencatatan. Aplikasi pelacakan login akan melaporkan bagaimana peretas masuk, aplikasi pelacakan file akan melaporkan pemasangan malware dan unduhan semua file penting, sementara aplikasi pelacakan admin akan melaporkan bagaimana dan kapan mereka melakukannya. Kecuali ketiga aplikasi menggunakan format data yang sama (yang saat ini tidak), itu akan melibatkan banyak manipulasi data.

Apa yang dilakukan OCSF adalah membuat format data terbuka yang dapat digunakan oleh vendor produk mana pun. Ini berarti bahwa keamanan, hosting, dan produk teknologi relevan lainnya yang berbeda semuanya dapat bekerja sama dengan lebih mudah. Alih-alih aplikasi login, file, dan pelacakan admin, semuanya memiliki cara mereka sendiri untuk mencatat cap waktu, mereka semua dapat menggunakan struktur data standar yang sama. Dengan begitu, tim keamanan siber dapat dengan mudah melacak—dan idealnya menghentikan—para peretas.

Meskipun menjadi sedikit abstrak dan kompleks, Anda dapat memeriksa kerangka kerja OCSF di Github sekarang. Anda juga dapat menjelajahi daftar kategori data saat ini di sini—atau bahkan berkontribusi padanya.

Kerangka kerja bukan hanya angan-angan. Ini telah diperkenalkan di salah satu konferensi keamanan siber paling penting di dunia oleh beberapa nama besar di bidang teknologi dan keamanan siber. Selain Amazon, Splunk, dan IBM, Broadcom, Salesforce, Rapid7, Tanium, Cloudflare, Palo Alto Networks, DTEX, CrowdStrike, JupiterOne, Zscaler, Sumo Logic, IronNet, Securonix, dan Trend Micro semuanya terlibat dalam pengembangan OCSF—dan semua bekerja untuk memasukkannya ke dalam produk mereka.

Seperti yang dikatakan Ryland dalam siaran pers Amazon, “Meskipun kami sebagai industri tidak dapat secara langsung mengontrol perilaku pelaku ancaman, kami dapat meningkatkan pertahanan kolektif kami dengan mempermudah tim keamanan untuk melakukan pekerjaan mereka secara lebih efisien.” Dan tim keamanan siber yang lebih efisien lebih baik dalam melakukan hal yang penting: menjaga semua data kami tetap aman.

See also  Sebuah rencana untuk memperkenalkan kembali serigala dan berang-berang tanpa konflik