Open Cybersecurity Schema Framework или по-известен с акронима си «OCSF» е нов проект който е роден от ръката на AWS и Splunk. Тази нова рамка е в технология съществуващ софтуер с отворен код, известен като ICD Schema, която от своя страна е създадена от звеното за киберсигурност на Symantec на Broadcom.
Проектът OCSF беше представен на Black Hat USA 2022 и основната му цел е да помогне на организациите да откриват, разследват и спират кибератаки по-бързо и по-ефективно.
OCSF включва принос от 15 първоначални членове включително Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro и Zscaler. Всички членове на общността за киберсигурност са поканени да използват и да допринасят за OCSF.
В днешната непрекъснато променяща се среда на сигурност специалистите по сигурността трябва непрекъснато да наблюдават, откриват, реагират и смекчават съществуващи и нови проблеми със сигурността. За да направят това, екипите по сигурността трябва да могат да анализират регистрационни и телеметрични данни от значение за сигурността, като използват множество инструменти, технологии и доставчици. Сложният и хетерогенен характер на тази задача увеличава разходите и може да забави времето за откриване и реакция. Нашата мисия е да правим иновации от името на нашите клиенти, така че те да могат по-бързо да анализират и защитават своята среда, когато възникне необходимост.
Имайки предвид тази цел, заедно с няколко партньорски организации, имаме удоволствието да обявим стартирането на проекта Open Cybersecurity Schema Framework (OCSF), който включва отворена спецификация за стандартизация на телеметрията за сигурност в широка гама от продукти и услуги за сигурност сигурност, както и инструменти с отворен код, които поддържат и ускоряват използването на схемата OCSF.
Относно OCSF
OCSF е отворен стандарт, който може да бъде приет във всяка среда, приложение или доставчик на решения и отговаря на съществуващите стандарти и процеси за сигурност. Тъй като доставчиците на решения за киберсигурност вграждат OCSF стандарти в своите продукти, стандартизирането на данните за сигурност ще стане по-просто и по-малко натоварващо за екипите по сигурността.
Приемането на OCSF ще позволи на екипите по сигурността да се съсредоточат повече върху анализа на данни, идентифицирането на заплахи и защитата на техните организации от кибератаки.
OCSF се стреми да помогне на организациите да реагират на кибератаки по-ефективно чрез опростяване на един от най-сложните аспекти на задачата: управление на данни. По-специално, проектът е предназначен да рационализира процеса на обработка на данни за кибератаки.
Организациите често използват не един, а няколко инструмента за киберсигурност, за да открият злонамерена дейност в своите мрежи. Често е полезно да споделяте данни между тези инструменти. Например, ако екип за киберсигурност използва две отделни приложения, за да разследва опити за хакване, те може да искат да споделят техническа информация за злонамерена мрежова активност между тези две приложения.
В момента се преместват данни от един инструмент за киберсигурност към друг често изисква значително количество ръчен труд. Причината е, че различните инструменти често съхраняват данни в различни формати. В резултат на това, когато набор от данни се премества между инструменти за киберсигурност, администраторите трябва ръчно да променят формата на набора от данни.
OCSF има за цел да опрости задачата. Според спонсорите на проекта, е предназначен да осигури общ стандарт с отворен код да организира информация за киберсигурност. Ако два инструмента за киберсигурност съхраняват данни в един и същи формат, администраторите могат да преместват данни между тях, без да се налага първо да ги променят ръчно, спестявайки време.
Промяната на формата на набор от данни често изисква специализирани софтуерни инструменти. Тъй като процесът може да включва значително количество ръчна работа, съществува и риск от човешка грешка.
OCSF предоставя стандартизиран начин за описание на опит за хакване, тъй като указва какви точки от данни трябва да предостави инструментът за киберсигурност относно опит за хакване, както и как трябва да бъдат форматирани тези точки от данни. Организациите могат по желание да персонализират OCSF, ако техните изисквания надхвърлят основния набор от функции на рамката.
Накрая ако се интересувате да научите повече за това, трябва да знаете, че спонсорите на проекта OCSF пуснаха рамковия код на GitHub под лиценз с отворен код.