Open Cybersecurity Schema Framework hoặc được biết đến nhiều hơn bằng từ viết tắt của nó «OCSF» là một dự án mới được sinh ra từ bàn tay của AWS và Splunk. Khung mới này là một công nghệ phần mềm nguồn mở hiện có được gọi là ICD Lược đồ, lần lượt được tạo ra bởi đơn vị an ninh mạng Symantec của Broadcom.
Dự án OCSF đã được trình bày tại Black Hat USA 2022 và mục tiêu chính của nó là giúp các tổ chức phát hiện, điều tra và ngăn chặn các cuộc tấn công mạng nhanh hơn và hiệu quả hơn.
OCSF bao gồm đóng góp từ 15 thành viên ban đầu bao gồm Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro và Zscaler. Tất cả các thành viên của cộng đồng an ninh mạng đều được mời sử dụng và đóng góp cho OCSF.
Trong môi trường bảo mật luôn thay đổi ngày nay, các chuyên gia bảo mật phải liên tục theo dõi, phát hiện, phản hồi và giảm thiểu các vấn đề bảo mật hiện có và mới. Để làm như vậy, các nhóm bảo mật phải có khả năng phân tích dữ liệu đo từ xa và nhật ký liên quan đến bảo mật bằng cách sử dụng nhiều công cụ, công nghệ và nhà cung cấp. Tính chất phức tạp và không đồng nhất của nhiệm vụ này làm tăng chi phí và có thể làm chậm thời gian phát hiện và phản hồi. Nhiệm vụ của chúng tôi là thay mặt khách hàng đổi mới để họ có thể nhanh chóng phân tích và bảo vệ môi trường của mình khi có nhu cầu.
Với mục tiêu đó, cùng với một số tổ chức đối tác, chúng tôi vui mừng thông báo ra mắt dự án Khung lược đồ an ninh mạng mở (OCSF), bao gồm một đặc điểm kỹ thuật mở để tiêu chuẩn hóa đo từ xa bảo mật trên một loạt các sản phẩm và dịch vụ bảo mật. . bảo mật, cũng như các công cụ mã nguồn mở hỗ trợ và đẩy nhanh việc sử dụng lược đồ OCSF.
Giới thiệu về OCSF
OCSF là một tiêu chuẩn mở có thể được chấp nhận trong bất kỳ môi trường, ứng dụng hoặc nhà cung cấp nào giải pháp và tuân thủ các tiêu chuẩn và quy trình bảo mật hiện có. Khi các nhà cung cấp giải pháp an ninh mạng nhúng các tiêu chuẩn OCSF vào sản phẩm của họ, việc tiêu chuẩn hóa dữ liệu bảo mật sẽ trở nên đơn giản hơn và ít gánh nặng hơn cho các nhóm bảo mật.
Việc áp dụng OCSF sẽ cho phép các nhóm bảo mật tăng cường tập trung vào phân tích dữ liệu, xác định mối đe dọa và bảo vệ tổ chức của họ khỏi các cuộc tấn công mạng.
OCSF tìm cách giúp các tổ chức ứng phó với các cuộc tấn công mạng hiệu quả hơn bằng cách đơn giản hóa một trong những khía cạnh phức tạp nhất của nhiệm vụ: quản lý dữ liệu. Đặc biệt, dự án được thiết kế nhằm hợp lý hóa quy trình xử lý dữ liệu về các cuộc tấn công mạng.
Các tổ chức thường không sử dụng một mà là một số công cụ an ninh mạng để phát hiện hoạt động độc hại trên mạng của họ. Thường có lợi khi chia sẻ dữ liệu giữa các công cụ đó. Ví dụ: nếu một nhóm an ninh mạng sử dụng hai ứng dụng riêng biệt để điều tra các nỗ lực tấn công, họ có thể muốn chia sẻ thông tin kỹ thuật về hoạt động mạng độc hại giữa hai ứng dụng đó.
Hiện đang di chuyển dữ liệu từ một công cụ an ninh mạng này sang một công cụ an ninh mạng khác thường xuyên đòi hỏi một lượng lao động chân tay đáng kể. Lý do là các công cụ khác nhau thường xuyên lưu trữ dữ liệu ở các định dạng khác nhau. Do đó, khi một tập dữ liệu được di chuyển giữa các công cụ an ninh mạng, quản trị viên phải thay đổi định dạng của tập dữ liệu theo cách thủ công.
OCSF nhằm mục đích đơn giản hóa nhiệm vụ. Theo các nhà tài trợ dự án, được thiết kế để cung cấp một tiêu chuẩn nguồn mở chung để tổ chức thông tin an ninh mạng. Nếu hai công cụ an ninh mạng lưu trữ dữ liệu ở cùng một định dạng, quản trị viên có thể di chuyển dữ liệu giữa chúng mà không cần phải sửa đổi thủ công trước, giúp tiết kiệm thời gian.
Việc thay đổi định dạng của tập dữ liệu thường yêu cầu các công cụ phần mềm chuyên dụng. Bởi vì quá trình này có thể liên quan đến một lượng lớn công việc thủ công, nên cũng có nguy cơ do lỗi của con người.
OCSF cung cấp một cách tiêu chuẩn hóa để mô tả một nỗ lực tấn công, vì nó chỉ định những điểm dữ liệu nào mà một công cụ an ninh mạng sẽ cung cấp về một nỗ lực tấn công, cũng như cách các điểm dữ liệu đó nên được định dạng. Các tổ chức có thể tùy chọn tùy chỉnh OCSF nếu các yêu cầu của họ vượt ra ngoài bộ tính năng cốt lõi của khuôn khổ.
Cuối cùng nếu bạn muốn biết thêm về nó, bạn nên biết rằng các nhà tài trợ dự án OCSF đã phát hành mã khung trên GitHub theo giấy phép nguồn mở.