Mi az az OCSF és hogyan működik?
Az OCSF egy nyílt forráskódú, gyártófüggetlen adatleíró keretrendszer. Úgy tervezték, hogy ne függjön sem a tárolási formátumtól, sem attól, hogyan gyűjtjük vagy alakítjuk át az adatokat. Az OCSF célja, hogy egységes szerkezetet adjon a biztonsági események, objektumok és környezeti információk leírására, így az elemzőknek nem kell minden alkalommal egyedi megfeleltetéseket készíteniük vagy mezőneveket átírniuk. Ezzel megszűnik a bonyolult, időigényes fordítási folyamat, helyette több idő marad az elemzésre és a riasztások összekapcsolására.
A gyakorlatban ez azt jelenti, hogy a biztonsági operációs központban (SOC) dolgozók sokkal hatékonyabban tudják összefésülni a különböző rendszerekből származó incidenseket, például gyorsan kiszűrhetik, ha valaki szokatlan módon két különböző helyről jelentkezik be rövid időn belül.
Villámgyors terjedés az iparágban
A kezdeményezést először az Amazon AWS és a Splunk indította el két éve, a Symantec, Broadcom, Cloudflare, CrowdStrike, IBM, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro és Zscaler fejlesztőivel együttműködve. Azóta az OCSF közössége elképesztő ütemben nőtt: 2024 augusztusára 17-ről több mint 200 szervezetre és 800 fejlesztőre bővült, majd novemberben, amikor az OCSF a Linux Foundationhöz csatlakozott, 900-ra nőtt a közreműködők száma.
A szabványt mára rengeteg termék támogatja mind az adatok normalizálásában, mind az átjárhatóság javításában. Például az AWS Security Lake natívan OCSF-formátumba alakítja a naplókat és eseményeket, az AppFabric auditadatai OCSF-kompatibilisek, a Security Hub riasztásai szintén ezt az egységes leírást használják. A Splunk, a Cribl, a Palo Alto Networks, a CrowdStrike és sok más vezető piaci szereplő szintén támogatják az OCSF-et az adatok feldolgozása során – az adatok így minden rendszerben könnyedén átjárhatók.
A MI új kihívás elé állítja a biztonsági szakmát
A mesterséges intelligencia vállalati felhasználása teljesen átalakította az infrastruktúrát: nagy nyelvi modellek, összetett ügynökök, elosztott rendszerek készítenek telemetriai adatokat, amelyek különböző termékeken és rendszereken ívelnek át. Ezek elemzéséhez elengedhetetlen az átfogó, összefüggéseiben is értelmezhető nézet – ebben is kulcsszereplő az egységes adatnyelv.
Egy MI-rendszer például rövid idő alatt érzékeny információkat szivárogtathat ki, vagy hibás eszközláncot aktiválhat. Csak az OCSF-fel válik lehetővé, hogy az MI tevékenységét teljes kontextusában visszakövessük, és az összetett műveletek minden lépését rekonstruáljuk – nemcsak a kimeneti szöveg alapján ítéljük meg a történteket.
Az OCSF fejlődése MI-központúvá vált
2025 újabb fejlesztései – az 1.5.0, 1.6.0, 1.7.0 verziók – egyre inkább az MI-alapú rendszerek biztonsági naplózásának fejlesztésére koncentrálnak. Lehetővé teszik például annak részletes visszakövetését, hogy egy asszisztens milyen eszközöket használt, milyen szokatlan viselkedést tanúsított, és pontosan mely felhasználók fértek hozzá az érintett rendszerekhez. Az OCSF 1.8.0 fejlesztései már azt is lehetővé teszik, hogy egy részletes MI-ügyfélszolgálati beszélgetés során az adatvédelmi incidensekhez vezető tényezőket – például a túlzott tokenhasználatot, a nagyméretű rejtett promptokat – észleljük.
A piac gyorsan alkalmazkodik
Következésképpen az OCSF két év alatt hobbifejlesztésből átfogó, iparági szabvánnyá vált, amely egyre több biztonsági termék alapszintű funkciója. A gyakori frissítések, a világvezető gyártók támogatása, a tömeges részvétel és a gyakorlati megvalósítás együttese teszi lehetővé, hogy a biztonsági csapatok egyszerűen, adatvesztés nélkül fésüljék össze a különböző rendszerek naplóit.
Ahogy a mesterséges intelligencia új kockázatokat, visszaéléseket és támadási lehetőségeket teremt, az OCSF adja meg azt a kiindulópontot, amely nélkülözhetetlen az adatok biztonságos és átlátható elemzéséhez és kezeléséhez minden vállalati szegmensben.
