Open Cybersecurity Schema Framework или более известная под ее аббревиатурой «OCSF» — новый проект это рождено руками AWS и Splunk. Эта новая структура находится в технологии существующее программное обеспечение с открытым исходным кодом, известное как ICD Схема, которая, в свою очередь, была создана подразделением кибербезопасности Broadcom Symantec.
Проект OCSF был представлен на выставке Black Hat USA 2022 и его основная цель — помочь организациям быстрее и эффективнее обнаруживать, расследовать и останавливать кибератаки.
OCSF включает вклады 15 первоначальных членов. включая Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro и Zscaler. Всем членам сообщества кибербезопасности предлагается использовать и вносить свой вклад в OCSF.
В сегодняшней постоянно меняющейся среде безопасности специалисты по безопасности должны постоянно отслеживать, обнаруживать, реагировать и устранять существующие и новые проблемы безопасности. Для этого группы безопасности должны иметь возможность анализировать относящиеся к безопасности журналы и данные телеметрии с использованием различных инструментов, технологий и поставщиков. Сложный и неоднородный характер этой задачи увеличивает затраты и может увеличить время обнаружения и реагирования. Наша миссия — внедрять инновации от имени наших клиентов, чтобы они могли быстрее анализировать и защищать свою среду, когда в этом возникает необходимость.
Помня об этом, вместе с несколькими партнерскими организациями мы рады объявить о запуске проекта Open Cybersecurity Schema Framework (OCSF), который включает открытую спецификацию для стандартизации телеметрии безопасности для широкого спектра продуктов и услуг безопасности. , безопасность, а также инструменты с открытым исходным кодом, которые поддерживают и ускоряют использование схемы OCSF.
О OCSF
OCSF — это открытый стандарт, может быть принят в любой среде, приложении или поставщике решений и соответствует существующим стандартам и процессам безопасности. Поскольку поставщики решений для кибербезопасности внедряют стандарты OCSF в свои продукты, стандартизация данных о безопасности станет проще и менее обременительной для специалистов по безопасности.
Внедрение OCSF позволит группам безопасности уделять больше внимания анализу данных, выявлению угроз и защите своих организаций от кибератак.
OCSF стремится помочь организациям реагировать на кибератаки более эффективно за счет упрощения одного из самых сложных аспектов задачи: управления данными. В частности, проект призван упростить процесс обработки данных о кибератаках.
Организации часто используют не один, а несколько инструментов кибербезопасности для обнаружения вредоносной активности в своих сетях. Часто полезно обмениваться данными между этими инструментами. Например, если группа кибербезопасности использует два отдельных приложения для расследования попыток взлома, им может потребоваться обмен технической информацией о вредоносной сетевой активности между этими двумя приложениями.
В настоящее время перемещаются данные от одного инструмента кибербезопасности к другому часто требует значительного объема ручного труда. Причина в том, что разные инструменты часто хранят данные в разных форматах. В результате, когда набор данных перемещается между инструментами кибербезопасности, администраторы должны вручную изменить формат набора данных.
OCSF стремится упростить задачу. По словам спонсоров проекта, предназначен для обеспечения общего стандарта с открытым исходным кодом систематизировать информацию о кибербезопасности. Если два инструмента кибербезопасности хранят данные в одном и том же формате, администраторы могут перемещать данные между ними, не изменяя их вручную, что экономит время.
Для изменения формата набора данных часто требуются специализированные программные инструменты. Поскольку процесс может включать значительный объем ручной работы, существует также риск человеческой ошибки.
OCSF предоставляет стандартизированный способ описания попытки взлома, поскольку он указывает, какие точки данных должен предоставлять инструмент кибербезопасности о попытке взлома, а также как эти точки данных должны быть отформатированы. Организации могут дополнительно настраивать OCSF, если их требования выходят за рамки основного набора функций платформы.
В конце концов если вам интересно узнать об этом больше, вы должны знать, что спонсоры проекта OCSF выпустили код фреймворка на GitHub под лицензией с открытым исходным кодом.