Sigurnosna industrija provela je prošlu godinu pričajući o modelima, kopilotima i agentima, ali tiši pomak se događa jedan sloj ispod svega toga: dobavljači se okupljaju oko zajedničkog načina opisivanja sigurnosnih podataka. Open Cybersecurity Schema Framework (OCSF), nameće se kao jedan od najjačih kandidata za taj posao.
Dobavljačima, poduzećima i praktičarima daje zajednički način predstavljanja sigurnosnih događaja, nalaza, objekata i konteksta. To znači manje vremena za ponovno pisanje naziva polja i prilagođenih parsera i više vremena za korelaciju otkrivanja, izvođenje analitike i izgradnju radnih tijekova koji mogu funkcionirati na više proizvoda. Na tržištu gdje svaki tim za sigurnost spaja krajnju točku, identitet, oblak, SaaS i AI telemetriju, zajednička infrastruktura dugo se činila kao pusti san, a OCSF je sada stavlja na dohvat ruke.
Sadržaj objave
OCSF jednostavnim jezikom
OCSF je okvir otvorenog koda za sheme kibernetičke sigurnosti. Po dizajnu je neutralan prema dobavljaču i namjerno ne ovisi o formatu pohrane, prikupljanju podataka i izboru ETL-a. U praktičnom smislu, daje aplikacijskim timovima i podatkovnim inženjerima zajedničku strukturu za događaje kako bi analitičari mogli raditi s dosljednijim jezikom za otkrivanje prijetnji i istragu.
To zvuči suhoparno dok ne pogledate svakodnevni rad unutar sigurnosno operativnog centra (SOC). Sigurnosni timovi moraju uložiti puno truda u normalizaciju podataka iz različitih alata kako bi mogli povezati događaje. Na primjer, detektiranje zaposlenika koji se prijavljuje iz San Francisca u 10 ujutro na svom prijenosnom računalu, zatim pristup resursu u oblaku iz New Yorka u 10:02 ujutro moglo bi otkriti procurjelu vjerodajnicu.
Međutim, postavljanje sustava koji može povezati te događaje nije lak zadatak: različiti alati opisuju istu ideju s različitim poljima, strukturama ugniježđenja i pretpostavkama. OCSF je napravljen da smanji ovaj porez. Pomaže dobavljačima mapirati vlastite sheme u zajednički model i pomaže korisnicima premjestiti podatke kroz jezera, cjevovode, alate za upravljanje sigurnosnim incidentima i događajima (SIEM) bez potrebe za dugotrajnim prijevodom pri svakom skoku.
Posljednje dvije godine bile su neobično brze
Većina vidljivog ubrzanja OCSF-a dogodila se u posljednje dvije godine. Projekt su u kolovozu 2022. najavili Amazon AWS i Splunk, nadovezujući se na rad Symanteca, Broadcoma i drugih poznatih infrastrukturnih divova Cloudflare, CrowdStrike, IBM, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro i Zscaler.
Zajednica OCSF-a održava stabilan ritam izdanja u posljednje dvije godine
Zajednica je brzo rasla. AWS je u kolovozu 2024. objavio da se OCSF proširio iz inicijative 17 kompanija u zajednicu s više od 200 organizacija sudionica i 800 suradnika, koja se proširila na 900 kada se OCSF pridružio Linux Foundationu u studenom 2024.
OCSF se pojavljuje u cijeloj industriji
U prostoru vidljivosti i sigurnosti, OCSF je posvuda. AWS Security Lake pretvara izvorno podržane AWS zapisnike i događaje u OCSF i pohranjuje ih u Parquet. AWS AppFabric može ispisati OCSF — normalizirane revizijske podatke. Nalazi AWS Security Huba koriste OCSF, a AWS objavljuje proširenje za pojedinosti resursa specifičnih za oblak.
Splunk može prevesti dolazne podatke u OCSF s rubnim procesorom i procesorom za unos. Cribl podržava besprijekorno pretvaranje strujanja podataka u OCSF i kompatibilne formate.
Palo Alto Networks može proslijediti podatke usluge Strata sogging u Amazon Security Lake u OCSF-u. CrowdStrike se pozicionira s obje strane OCSF cijevi, s podacima Falcona prevedenim u OCSF za Security Lake i Falcon Next-Gen SIEM pozicioniranim za unos i analizu podataka formatiranih u OCSF-u. OCSF je jedan od onih rijetkih standarda koji je prešao ponor od apstraktnog standarda do standardnog operativnog vodovoda u cijeloj industriji.
AI daje priči o OCSF-u novu hitnost
Kada poduzeća postavljaju infrastrukturu umjetne inteligencije, veliki jezični modeli (LLM) nalaze se u jezgri, okruženi složenim distribuiranim sustavima kao što su pristupnici modela, vremena izvršavanja agenata, vektorske pohrane, pozivi alata, sustavi za dohvaćanje i motori politika. Ove komponente stvaraju nove oblike telemetrije, od kojih velik dio nadilazi granice proizvoda. Sigurnosni timovi diljem SOC-a sve su više usredotočeni na prikupljanje i analizu tih podataka. Središnje pitanje često postaje što je agentski AI sustav zapravo radio, a ne samo tekst koji je proizveo, i jesu li njegove radnje dovele do bilo kakvog kršenja sigurnosti.
To stavlja veći pritisak na temeljni podatkovni model. Pomoćnik umjetne inteligencije koji poziva pogrešan alat, dohvaća pogrešne podatke ili povezuje rizične nizove radnji stvara sigurnosni događaj koji treba razumjeti u svim sustavima. Zajednička sigurnosna shema postaje vrijednija u tom svijetu, posebno kada se AI koristi i na analitičkoj strani za bržu korelaciju više podataka.
Za OCSF je 2025. bila u znaku umjetne inteligencije
Zamislite da tvrtka koristi pomoćnika s umjetnom inteligencijom kako bi zaposlenicima pomogla u traženju internih dokumenata i pokrenula alate kao što su sustavi izdavanja ulaznica ili spremišta kodova. Jednog dana, pomoćnik počinje povlačiti pogrešne datoteke, pozivati alate koje ne bi trebao koristiti i izlagati osjetljive informacije u svojim odgovorima.
Ažuriranja u verzijama OCSF-a 1.5.0, 1.6.0 i 1.7.0 pomažu sigurnosnim timovima da spoje što se dogodilo označavajući neobično ponašanje, pokazujući tko je imao pristup povezanim sustavima i prateći pozive alata pomoćnika korak po korak. Umjesto da vidi samo konačni odgovor koji je dala umjetna inteligencija, tim može istražiti cijeli lanac radnji koje su dovele do problema.
Što je na horizontu
Zamislite da tvrtka koristi AI bot za korisničku podršku, a jednog dana bot počne davati dugačke, detaljne odgovore koji uključuju interne smjernice za rješavanje problema namijenjene samo osoblju. S vrstama promjena koje su se razvijale za OCSF 1.8.0, sigurnosni tim je mogao vidjeti koji je model upravljao razmjenom, koji ju je dobavljač isporučio, koju ulogu ima svaka poruka i kako se broj tokena mijenjao tijekom razgovora.
Iznenadni skok tokena upita ili dovršetka mogao bi signalizirati da je bot dobio neuobičajeno veliki skriveni upit, da je izvukao previše pozadinskih podataka iz vektorske baze podataka ili da je generirao predug odgovor koji je povećao mogućnost curenja osjetljivih informacija. To daje istražiteljima praktičan trag o tome gdje je interakcija skrenula s kursa, umjesto da im ostane samo konačni odgovor.
Zašto je to važno za šire tržište
Veća priča je da se OCSF brzo pomaknuo od napora zajednice do stvarnog standarda koji sigurnosni proizvodi koriste svaki dan. Tijekom posljednje dvije godine dobio je jače upravljanje, česta izdanja i praktičnu podršku preko podatkovnih jezera, cjevovoda za unos, tijekova rada SIEM-a i partnerskih ekosustava.
U svijetu u kojem umjetna inteligencija proširuje sigurnosni krajolik prijevarama, zlouporabama i novim putevima napada, sigurnosni se timovi oslanjaju na OCSF za povezivanje podataka iz mnogih sustava bez gubljenja konteksta na putu kako bi vaši podaci bili sigurni.
Nikhil Mungel gradi distribuirane sustave i AI timove u SaaS tvrtkama više od 15 godina.
