为了打击网络攻击，科技公司正在联合起来

本周，Black Hat USA 网络安全大会在拉斯维加斯举行，大会上发布了激动人心的网络安全新闻和演示。其中最有趣的消息之一是用于共享网络安全信息的新通用数据标准，称为开放网络安全架构框架 (OCSF)。它由 18 家大型科技和网络安全公司开发，其中包括亚马逊、Splunk 和 IBM。

那么为什么这样的事情是必要的呢？监控其管辖范围内的计算机系统是网络安全部门面临的一项重大挑战。为了阻止黑客攻击，或者拼凑出黑客攻击后发生的事情，这些部门需要能够查看有关最近登录尝试次数、访问过哪些文件以及发生时间等信息。为此，他们通常使用许多不同的软件，其中大多数使用自己的专有数据结构。

不同安全系统数据之间缺乏互操作性是一个大问题。在亚马逊宣布 OCSF 框架的新闻稿中，AWS 首席信息安全官办公室主任 Mark Ryland 表示：“安全团队必须将来自不同供应商的多种产品中的一系列专有格式的数据关联起来并统一起来……安全团队不是主要关注检测和响应事件，而是花时间将这些数据标准化，这是理解和响应的先决条件。”

换句话说，网络安全团队并没有解决网络安全问题：他们正在使用电子表格来尝试从一个产品中获取他们需要的数据，以便与从另一个产品中获取他们需要的数据保持一致。

例如，一个软件可能会跟踪登录和登录尝试，另一个软件可能会跟踪登录用户对服务器上的文件的操作，第三个软件可能会跟踪管理员访问权限和其他高级请求。然后，假设黑客闯入计算机系统，将一些恶意软件安装到特定文件夹中，并使用该恶意软件获取管理员访问权限——所有这些都是为了下载大量行业机密或任何可能的目标。

为了跟踪或重现这一复杂（尽管在本例中非常简单）的事件序列，网络安全团队必须整合所有三个日志工具的数据。登录跟踪应用程序将报告黑客如何进入，文件跟踪应用程序将报告恶意软件安装和所有重要文件的下载，而管理跟踪应用程序将报告他们如何以及何时进行这些操作。除非这三个应用程序都使用相同的数据格式（目前它们并不使用相同的数据格式），否则这将涉及大量的数据操作。

OCSF 所做的就是创建一种任何产品供应商都可以使用的开放数据格式。这意味着不同的安全、托管和其他相关技术产品都可以更轻松地协同工作。登录、文件和管理跟踪应用程序不再都有自己专有的记录时间戳的方式，而是都可以使用相同的标准化数据结构。这样，网络安全团队就可以轻松追踪黑客，最好是阻止黑客。

虽然有点抽象和复杂，但您现在可以在 Github 上查看 OCSF 框架。您还可以在此处探索当前的数据类别列表，甚至可以为其做出贡献。

该框架并非一厢情愿。它是由科技和网络安全领域的一些大公司在全球最重要的网络安全会议之一上推出的。除了亚马逊、Splunk 和 IBM，Broadcom、Salesforce、Rapid7、Tanium、Cloudflare、Palo Alto Networks、DTEX、CrowdStrike、JupiterOne、Zscaler、Sumo Logic、IronNet、Securonix 和 Trend Micro 都参与了 OCSF 的开发，并且都在努力将其纳入其产品中。

正如 Ryland 在亚马逊的新闻稿中所说，“尽管我们作为一个行业无法直接控制威胁行为者的行为，但我们可以通过让安全团队更轻松、更高效地完成工作来改善我们的集体防御。”更高效的网络安全团队更擅长做重要的事情：保护我们所有数据的安全。