Open Cybersecurity Schema Framework או ידוע יותר בראשי התיבות שלה «OCSF» הוא פרויקט חדש שנולד מידם של AWS ו-Splunk. המסגרת החדשה הזו נמצאת בטכנולוגיה תוכנת קוד פתוח קיימת המכונה ICD Schema, אשר בתורה נוצרה על ידי יחידת אבטחת הסייבר של ברודקום של ברודקום.
פרויקט OCSF הוצג ב-Black Hat USA 2022 ומטרתו העיקרית היא לעזור לארגונים לזהות, לחקור ולעצור מתקפות סייבר בצורה מהירה ויעילה יותר.
OCSF כולל תרומות מ-15 חברים ראשוניים כולל Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro ו-Zscaler. כל חברי קהילת אבטחת הסייבר מוזמנים להשתמש ולתרום ל-OCSF.
בסביבת האבטחה המשתנה של ימינו, אנשי אבטחה חייבים לפקח ללא הרף, לזהות, להגיב ולמתן בעיות אבטחה קיימות וחדשות. לשם כך, צוותי אבטחה חייבים להיות מסוגלים לנתח נתוני יומן וטלמטריה רלוונטיים לאבטחה באמצעות כלים, טכנולוגיות וספקים מרובים. האופי המורכב וההטרוגני של משימה זו מגדיל עלויות ויכול להאט את זמני הזיהוי והתגובה. המשימה שלנו היא לחדש בשם הלקוחות שלנו כדי שיוכלו לנתח מהר יותר ולהגן על הסביבה שלהם כאשר יתעורר הצורך.
מתוך מחשבה על מטרה זו, יחד עם מספר ארגונים שותפים, אנו שמחים להכריז על השקת פרויקט Open Cybersecurity Schema Framework (OCSF), הכולל מפרט פתוח לסטנדרטיזציה של טלמטריית אבטחה על פני מגוון רחב של מוצרי ושירותי אבטחה. אבטחה, כמו גם כלי קוד פתוח התומכים ומאיצים את השימוש בסכימת OCSF.
לגבי OCSF
OCSF הוא תקן פתוח ש ניתן לאמץ בכל סביבה, יישום או ספק של פתרונות ו תואם את תקני האבטחה והתהליכים הקיימים. ככל שספקי פתרונות אבטחת סייבר מטמיעים תקני OCSF במוצרים שלהם, תקנון נתוני אבטחה יהפוך לפשוט יותר ופחות מכביד על צוותי אבטחה.
אימוץ OCSF יאפשר לצוותי אבטחה להגביר את המיקוד בניתוח נתונים, זיהוי איומים והגנה על הארגונים שלהם מפני התקפות סייבר.
OCSF מבקש לסייע לארגונים להגיב למתקפות סייבר בצורה יעילה יותר על ידי פישוט אחד ההיבטים המסובכים ביותר של המשימה: ניהול נתונים. בפרט, הפרויקט נועד לייעל את תהליך עיבוד הנתונים על התקפות סייבר.
ארגונים משתמשים לרוב לא אחד, אלא במספר כלי אבטחת סייבר כדי לזהות פעילות זדונית ברשתות שלהם. לעתים קרובות זה מועיל לשתף נתונים בין כלים אלה. לדוגמה, אם צוות אבטחת סייבר משתמש בשני יישומים נפרדים כדי לחקור ניסיונות פריצה, ייתכן שהוא ירצה לשתף מידע טכני על פעילות זדונית ברשת בין שני היישומים הללו.
כרגע מעביר נתונים מכלי אבטחת סייבר אחד לאחר לעתים קרובות דורש כמות משמעותית של עבודת כפיים. הסיבה היא שכלים שונים מאחסנים לעתים קרובות נתונים בפורמטים שונים. כתוצאה מכך, כאשר מערך נתונים מועבר בין כלי אבטחת סייבר, מנהלי מערכת חייבים לשנות באופן ידני את הפורמט של מערך הנתונים.
OCSF שואף לפשט את המשימה. לדברי נותני החסות של הפרויקט, נועד לספק תקן קוד פתוח משותף לארגן מידע על אבטחת סייבר. אם שני כלי אבטחת סייבר מאחסנים נתונים באותו פורמט, מנהלי מערכת יכולים להעביר נתונים ביניהם ללא צורך בשינוי ידני תחילה, ולחסוך זמן.
שינוי הפורמט של מערך נתונים דורש לעתים קרובות כלי תוכנה מיוחדים. מכיוון שהתהליך יכול לכלול כמות משמעותית של עבודה ידנית, קיים גם סיכון לטעויות אנוש.
OCSF מספק דרך סטנדרטית לתאר ניסיון פריצה, שכן הוא מציין אילו נקודות נתונים צריך לספק כלי אבטחת סייבר לגבי ניסיון פריצה, וכן כיצד יש לעצב את נקודות הנתונים הללו. ארגונים יכולים אופציונלי להתאים אישית את OCSF אם הדרישות שלהם חורגות מקבוצת התכונות הליבה של המסגרת.
בסופו של דבר אם אתה מעוניין לדעת יותר על כך, עליך לדעת שהספונסרים לפרויקט OCSF פרסמו את קוד המסגרת ב-GitHub תחת רישיון קוד פתוח.