O que é o Quadro de Indicadores Abertos de Compromisso (OpenIOC) ?
OpenIOC é uma estrutura aberta, destinada a compartilhar informações de inteligência de ameaças em um formato legível por máquina. Foi desenvolvido pela empresa americana de cibersegurança MANDIANT em novembro de 2011. Ele é escrito em xml (eXtensible Markup Language, linguagem de marcação eXtensible) e pode ser facilmente personalizado para inteligência adicional para que os respondentes de incidentes possam traduzir seus conhecimentos em um formato padrão. As organizações podem aproveitar esse formato para compartilhar os últimos Indicadores de Compromisso (IoCs) relacionados a ameaças com outras organizações, permitindo proteção em tempo real contra as ameaças mais recentes.
Qual é o esquema do OpenIOC?
O esquema base do OpenIOC é uma estrutura simples que está escrita em XML, que pode ser usada para documentar e classificar artefatos forenses de uma intrusão ocorrendo em qualquer rede ou host. O quadro vem com um conjunto de 500 indicadores base pré-definidos, conforme fornecido pelo MANDIANT. Esses conjuntos de ambientes pré-definidos podem ser usados para rastrear ameaças avançadas. O esquema base pode ser estendido ainda mais para incluir indicadores adicionais de múltiplas fontes. Os usuários do OpenIOC são livres para criar e adicionar seus próprios conjuntos de indicadores e amplie-os conforme bem entenderem.
Por que as organizações devem usar o OpenIOC?
Os métodos convencionais de detecção de falhas de segurança não são mais adequados, pois assinaturas simples tornaram-se muito fáceis para um intruso superar. Várias organizações em setores iguais ou mesmo diferentes precisam ser capazes de se comunicar sobre como identificar intrusos em seus hosts e redes usando um formato digestível de máquina que pode se livrar de um atraso humano do compartilhamento de inteligência. A OpenIOC fornece uma plataforma comum para permitir essa comunicação.
Por que os benefícios do OpenIOC?
Usando a estrutura OpenIOC, as organizações terão acesso às últimas IOCs compartilhadas por outras organizações. Esses IOCs podem ser facilmente aproveitados por várias ferramentas de detecção de ameaças, permitindo recursos de detecção de ameaças em tempo real. Com isso, as organizações podem se beneficiar do efeito colaborativo da inteligência de ameaças compartilhadas em seu setor, bem como das empresas globais da Fortune 1000. Com recursos como personalização e extensões, a estrutura também oferece os Indicadores de Compromissos (IoCs) testados em campo da MANDIANT, bem como a opção para criar os próprios conjuntos personalizados de indicadores do usuário.