Open Cybersecurity Schema Framework of beter bekend onder de afkorting «OCSF» is een nieuw project dat is geboren uit de hand van AWS en Splunk. Dit nieuwe raamwerk is in een technologie bestaande open source software bekend als ICD Schema, dat op zijn beurt is gemaakt door de cyberbeveiligingseenheid Symantec van Broadcom.
Het OCSF-project werd gepresenteerd op Black Hat USA 2022 en het belangrijkste doel is om organisaties te helpen cyberaanvallen sneller en effectiever op te sporen, te onderzoeken en te stoppen.
OCSF omvat bijdragen van 15 initiële leden waaronder Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro en Zscaler. Alle leden van de cyberbeveiligingsgemeenschap worden uitgenodigd om de OCSF te gebruiken en eraan bij te dragen.
In de steeds veranderende beveiligingsomgeving van vandaag moeten beveiligingsprofessionals bestaande en nieuwe beveiligingsproblemen voortdurend bewaken, detecteren, erop reageren en verminderen. Hiervoor moeten beveiligingsteams beveiligingsrelevante log- en telemetriegegevens kunnen analyseren met behulp van meerdere tools, technologieën en leveranciers. Het complexe en heterogene karakter van deze taak verhoogt de kosten en kan de detectie- en reactietijden vertragen. Onze missie is om namens onze klanten te innoveren, zodat ze hun omgeving sneller kunnen analyseren en beschermen wanneer dat nodig is.
Met dat doel voor ogen kondigen we samen met verschillende partnerorganisaties de lancering aan van het Open Cybersecurity Schema Framework (OCSF)-project, dat een open specificatie omvat voor de standaardisatie van beveiligingstelemetrie voor een breed scala aan beveiligingsproducten en -diensten beveiliging, evenals open source-tools die het gebruik van het OCSF-schema ondersteunen en versnellen.
Over OCSF
OCSF is een open standaard die: kan worden toegepast in elke omgeving, applicatie of provider van oplossingen en voldoet aan bestaande beveiligingsnormen en -processen. Aangezien aanbieders van cyberbeveiligingsoplossingen OCSF-normen in hun producten inbedden, wordt het standaardiseren van beveiligingsgegevens eenvoudiger en minder belastend voor beveiligingsteams.
Door OCSF in te voeren, kunnen beveiligingsteams zich meer richten op gegevensanalyse, identificatie van bedreigingen en het verdedigen van hun organisaties tegen cyberaanvallen.
OCSF wil organisaties helpen reageren op cyberaanvallen effectiever door een van de meest gecompliceerde aspecten van de taak te vereenvoudigen: gegevensbeheer. Het project is met name bedoeld om het proces van gegevensverwerking over cyberaanvallen te stroomlijnen.
Organisaties gebruiken vaak niet één, maar meerdere cyberbeveiligingstools om kwaadaardige activiteiten op hun netwerken te detecteren. Het is vaak nuttig om gegevens tussen die tools te delen. Als een cyberbeveiligingsteam bijvoorbeeld twee afzonderlijke applicaties gebruikt om hackpogingen te onderzoeken, willen ze mogelijk technische informatie over kwaadaardige netwerkactiviteit tussen die twee applicaties delen.
Momenteel bewegende gegevens vaak van de ene cyberbeveiligingstool naar de andere vereist een aanzienlijke hoeveelheid handarbeid. De reden is dat verschillende tools vaak gegevens in verschillende formaten opslaan. Als gevolg hiervan moeten beheerders, wanneer een dataset tussen cyberbeveiligingstools wordt verplaatst, het formaat van de dataset handmatig wijzigen.
OCSF heeft tot doel de taak te vereenvoudigen. Volgens de projectsponsors is ontworpen om een gemeenschappelijke open source-standaard te bieden om informatie over cyberbeveiliging te organiseren. Als twee cyberbeveiligingstools gegevens in hetzelfde formaat opslaan, kunnen beheerders gegevens tussen hen verplaatsen zonder deze eerst handmatig te hoeven wijzigen, wat tijd bespaart.
Het wijzigen van het formaat van een dataset vereist vaak gespecialiseerde softwaretools. Omdat het proces veel handmatig werk kan vergen, is er ook een risico op menselijke fouten.
OCSF biedt een gestandaardiseerde manier om een hackpoging te beschrijven, omdat het specificeert welke datapunten een cyberbeveiligingstool moet bieden over een hackpoging, en ook hoe die datapunten moeten worden geformatteerd. Organisaties kunnen OCSF optioneel aanpassen als hun vereisten verder gaan dan de kernfuncties van het framework.
Eindelijk als u er meer over wilt weten, moet u weten dat de sponsors van het OCSF-project de kadercode hebben vrijgegeven op GitHub onder een open source-licentie.