Open Cybersecurity Schema Framework ou mais conhecido por sua sigla «OCSF» é um novo projeto que nasce da mão de AWS e Splunk. Este novo framework está em uma tecnologia software de código aberto existente conhecido como ICD Schema, que por sua vez foi criado pela unidade de segurança cibernética Symantec da Broadcom.
O Projeto OCSF foi apresentado na Black Hat USA 2022 e seu principal objetivo é ajudar as organizações a detectar, investigar e interromper ataques cibernéticos de forma mais rápida e eficaz.
OCSF inclui contribuições de 15 membros iniciais incluindo Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro e Zscaler. Todos os membros da comunidade de segurança cibernética são convidados a usar e contribuir com o OCSF.
No ambiente de segurança em constante mudança de hoje, os profissionais de segurança devem monitorar, detectar, responder e mitigar continuamente problemas de segurança novos e existentes. Para fazer isso, as equipes de segurança devem ser capazes de analisar dados de log e telemetria relevantes para a segurança usando várias ferramentas, tecnologias e fornecedores. A natureza complexa e heterogênea dessa tarefa aumenta os custos e pode diminuir os tempos de detecção e resposta. Nossa missão é inovar em nome de nossos clientes para que eles possam analisar e proteger mais rapidamente seu ambiente quando necessário.
Com esse objetivo em mente, juntamente com várias organizações parceiras, temos o prazer de anunciar o lançamento do projeto Open Cybersecurity Schema Framework (OCSF), que inclui uma especificação aberta para a padronização da telemetria de segurança em uma ampla gama de produtos e serviços de segurança .segurança, bem como ferramentas de código aberto que suportam e aceleram o uso do esquema OCSF.
Sobre a OCSF
OCSF é um padrão aberto que pode ser adotado em qualquer ambiente, aplicação ou provedor de soluções e está em conformidade com os padrões e processos de segurança existentes. À medida que os provedores de soluções de segurança cibernética incorporam os padrões OCSF em seus produtos, a padronização dos dados de segurança se tornará mais simples e menos onerosa para as equipes de segurança.
A adoção do OCSF permitirá que as equipes de segurança aumentem o foco na análise de dados, identificação de ameaças e defesa de suas organizações contra ataques cibernéticos.
OCSF procura ajudar as organizações a responder a ataques cibernéticos de forma mais eficaz, simplificando um dos aspectos mais complicados da tarefa: o gerenciamento de dados. Em particular, o projeto foi desenvolvido para agilizar o processo de processamento de dados sobre ataques cibernéticos.
As organizações geralmente usam não uma, mas várias ferramentas de segurança cibernética para detectar atividades maliciosas em suas redes. Muitas vezes é benéfico compartilhar dados entre essas ferramentas. Por exemplo, se uma equipe de segurança cibernética usa dois aplicativos separados para investigar tentativas de hackers, eles podem querer compartilhar informações técnicas sobre atividades de rede maliciosas entre esses dois aplicativos.
Dados em movimento no momento de uma ferramenta de segurança cibernética para outra, muitas vezes requer uma quantidade significativa de trabalho manual. A razão é que ferramentas diferentes frequentemente armazenam dados em formatos diferentes. Como resultado, quando um conjunto de dados é movido entre ferramentas de segurança cibernética, os administradores devem alterar manualmente o formato do conjunto de dados.
O OCSF visa simplificar a tarefa. De acordo com os patrocinadores do projeto, é projetado para fornecer um padrão comum de código aberto para organizar as informações de segurança cibernética. Se duas ferramentas de cibersegurança armazenam dados no mesmo formato, os administradores podem mover dados entre elas sem precisar modificá-los manualmente primeiro, economizando tempo.
Alterar o formato de um conjunto de dados geralmente requer ferramentas de software especializadas. Como o processo pode envolver uma quantidade significativa de trabalho manual, também existe o risco de erro humano.
O OCSF fornece uma maneira padronizada de descrever uma tentativa de hack, pois especifica quais pontos de dados uma ferramenta de segurança cibernética deve fornecer sobre uma tentativa de hack, bem como como esses pontos de dados devem ser formatados. As organizações podem personalizar opcionalmente o OCSF se seus requisitos se estenderem além do conjunto de recursos principais da estrutura.
Finalmente se você estiver interessado em saber mais sobre isso, você deve saber que os patrocinadores do projeto OCSF lançaram o código do framework no GitHub sob uma licença de código aberto.