Open Cybersecurity Schema Framework lub lepiej znany pod jego akronimem «OCSF» to nowy projekt który narodził się z ręki AWS i Splunk. Ten nowy framework jest w technologii istniejące oprogramowanie open source znane jako ICD Schemat, który z kolei został stworzony przez jednostkę cyberbezpieczeństwa firmy Broadcom firmy Symantec.
Projekt OCSF został zaprezentowany na Black Hat USA 2022 a jego głównym celem jest pomoc organizacjom w szybszym i skuteczniejszym wykrywaniu, badaniu i powstrzymywaniu cyberataków.
OCSF obejmuje składki od 15 początkowych członków w tym Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro i Zscaler. Wszyscy członkowie społeczności cyberbezpieczeństwa są zaproszeni do korzystania i wnoszenia wkładu w OCSF.
W dzisiejszym, ciągle zmieniającym się środowisku bezpieczeństwa, specjaliści od zabezpieczeń muszą nieustannie monitorować, wykrywać, reagować i łagodzić istniejące i nowe problemy związane z bezpieczeństwem. W tym celu zespoły ds. bezpieczeństwa muszą być w stanie analizować dane telemetryczne związane z bezpieczeństwem i rejestrować dane przy użyciu wielu narzędzi, technologii i dostawców. Złożony i niejednorodny charakter tego zadania zwiększa koszty i może spowolnić czas wykrywania i reakcji. Naszą misją jest wprowadzanie innowacji w imieniu naszych klientów, aby mogli szybciej analizować i chronić swoje środowisko, gdy zajdzie taka potrzeba.
Mając to na uwadze, wraz z kilkoma organizacjami partnerskimi, mamy przyjemność ogłosić uruchomienie projektu Open Cybersecurity Schema Framework (OCSF), który obejmuje otwartą specyfikację standaryzacji telemetrii bezpieczeństwa w szerokim zakresie produktów i usług bezpieczeństwa bezpieczeństwa, a także narzędzia open source, które wspierają i przyspieszają korzystanie ze schematu OCSF.
O OCSF
OCSF to otwarty standard, który można zaadoptować w dowolnym środowisku, aplikacji lub dostawcy rozwiązań i jest zgodny z obowiązującymi normami i procesami bezpieczeństwa. Ponieważ dostawcy rozwiązań z zakresu cyberbezpieczeństwa wbudowują standardy OCSF do swoich produktów, standaryzacja danych dotyczących bezpieczeństwa stanie się prostsza i mniej uciążliwa dla zespołów ds. bezpieczeństwa.
Przyjęcie OCSF umożliwi zespołom ds. bezpieczeństwa większą koncentrację na analizie danych, identyfikacji zagrożeń i ochronie organizacji przed cyberatakami.
OCSF stara się pomóc organizacjom w reagowaniu na cyberataki efektywniej poprzez uproszczenie jednego z najbardziej skomplikowanych aspektów zadania: zarządzania danymi. W szczególności projekt ma na celu usprawnienie procesu przetwarzania danych o cyberatakach.
Organizacje często używają nie jednego, ale kilku narzędzi cyberbezpieczeństwa do wykrywania złośliwej aktywności w swoich sieciach. Często korzystne jest udostępnianie danych między tymi narzędziami. Na przykład, jeśli zespół ds. cyberbezpieczeństwa używa dwóch oddzielnych aplikacji do badania prób włamań, może chcieć udostępnić informacje techniczne o złośliwej aktywności sieciowej między tymi dwiema aplikacjami.
Obecnie przenoszę dane często z jednego narzędzia cyberbezpieczeństwa do drugiego wymaga znacznej ilości pracy ręcznej. Powodem jest to, że różne narzędzia często przechowują dane w różnych formatach. W rezultacie, gdy zbiór danych jest przenoszony między narzędziami cyberbezpieczeństwa, administratorzy muszą ręcznie zmienić format zbioru danych.
OCSF ma na celu uproszczenie zadania. Według sponsorów projektu ma na celu zapewnienie wspólnego standardu open source organizować informacje dotyczące cyberbezpieczeństwa. Jeśli dwa narzędzia cyberbezpieczeństwa przechowują dane w tym samym formacie, administratorzy mogą przenosić dane między nimi bez konieczności ich uprzedniej ręcznej modyfikacji, co oszczędza czas.
Zmiana formatu zbioru danych często wymaga specjalistycznych narzędzi programowych. Ponieważ proces ten może wiązać się ze znacznym nakładem pracy ręcznej, istnieje również ryzyko błędu ludzkiego.
OCSF zapewnia ustandaryzowany sposób opisywania próby włamania, ponieważ określa, jakie punkty danych narzędzie cyberbezpieczeństwa powinno dostarczyć na temat próby włamania, a także jak te punkty danych powinny być sformatowane. Organizacje mogą opcjonalnie dostosować OCSF, jeśli ich wymagania wykraczają poza podstawowy zestaw funkcji platformy.
W końcu jeśli chcesz dowiedzieć się więcej na ten temat, powinieneś wiedzieć, że sponsorzy projektu OCSF wydali kod frameworka na GitHub na licencji open source.