De beveiligingsindustrie heeft het afgelopen jaar gesproken over modellen, co-piloten en agenten, maar onder dit alles vindt een stillere verschuiving plaats: leveranciers staan in de rij rond een gemeenschappelijke manier om beveiligingsgegevens te beschrijven. Het Open Cybersecurity Schema Framework (OCSF), komt naar voren als een van de sterkste kandidaten voor die functie.
Het geeft leveranciers, bedrijven en praktijkmensen een gemeenschappelijke manier van vertegenwoordiging veiligheidsincidentenbevindingen, objecten en context. Dat betekent minder tijd voor het herschrijven van veldnamen en aangepaste parsers en meer tijd voor het correleren van records, het uitvoeren van analyses en het bouwen van workflows die voor verschillende producten kunnen werken. In een markt waar elk beveiligingsteam eindpunten, identiteit, cloud, SaaS en AI-telemetrie samenvoegt, voelde een gemeenschappelijke infrastructuur lange tijd als een luchtkasteel, en OCSF brengt deze nu binnen handbereik.
OCSF in duidelijke taal
OCSF is een open source-framework voor cyberbeveiligingsschema’s. Het is qua ontwerp leveranciersneutraal en bewust agnostisch ten aanzien van opslagformaat, gegevensverzameling en ETL-keuzes. In praktische termen geeft het applicatieteams en data-ingenieurs een gemeenschappelijke structuur voor gebeurtenissen, waardoor analisten met een consistentere taal kunnen werken voor het detecteren en onderzoeken van bedreigingen.
Dat klinkt droog totdat je naar het dagelijkse werk in één kijkt beveiligingsoperatiecentrum (SOC). Beveiligingsteams moeten veel moeite doen om gegevens uit verschillende tools te normaliseren, zodat ze incidenten met elkaar in verband kunnen brengen. Als u bijvoorbeeld ontdekt dat een werknemer om 10.00 uur vanuit San Francisco inlogt op zijn laptop en vervolgens om 10.02 uur toegang krijgt tot een cloudbron vanuit New York, worden gelekte inloggegevens onthuld.
Het opzetten van een systeem dat deze gebeurtenissen kan correleren is echter geen gemakkelijke taak: verschillende tools beschrijven hetzelfde idee met verschillende velden, neststructuren en aannames. OCSF is gebouwd om deze belasting te verlagen. Het helpt leveranciers hun eigen schema’s in kaart te brengen in een gemeenschappelijk model en helpt klanten gegevens door meren, pijplijnen, beveiligingsgebeurtenissen en SIEM-tools te verplaatsen zonder dat bij elke hop een tijdrovende vertaling nodig is.
De afgelopen twee jaar zijn ongewoon snel gegaan
Het grootste deel van de zichtbare versnelling van OCSF heeft in de afgelopen twee jaar plaatsgevonden. Het project was aangekondigd in augustus 2022 door Amazon AWS en Splunk, voortbouwend op het werk van Symantec, Broadcom en andere bekende infrastructuurgiganten Cloudflare, CrowdStrike, IBM, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro en Zscaler.
De OCSF-gemeenschap heeft de afgelopen twee jaar een gestage reeks releases gehandhaafd
De gemeenschap is snel gegroeid. AWS zei in augustus 2024 dat OCSF was uitgegroeid van een initiatief van 17 bedrijven naar een gemeenschap van meer dan 200 deelnemende organisaties en 800 bijdragers, tot 900 keer dat OCSF zich in november 2024 bij de Linux Foundation aansloot.
OCSF duikt op in de hele sector
Op het gebied van waarneembaarheid en veiligheid is OCSF overal aanwezig. AWS Security Lake converteert ondersteunde AWS-logboeken en gebeurtenissen naar OCSF en slaat deze op in Parquet. AWS AppFabric kan OCSF uitzenden: genormaliseerde auditgegevens. De resultaten van AWS Security Hub gebruiken OCSF en AWS publiceert een extensie voor cloudspecifieke brondetails.
Splunk kan binnenkomende gegevens vertalen naar OCSF met een edge-processor en een ingest-processor. Cribl ondersteunt naadloze conversie van streaminggegevens naar OCSF en compatibele formaten.
Palo Alto Networks kan gegevens van Strata Sogging Service doorsturen naar Amazon Security Lake in OCSF. CrowdStrike positioneert zichzelf aan beide kanten van de OCSF-pijp, waarbij Falcon-gegevens worden vertaald naar OCSF voor Security Lake en de Falcon Next-Gen SIEM is gepositioneerd om OCSF-geformatteerde gegevens op te nemen en te parseren. OCSF is een van de weinige normen die in de sector de kloof heeft overschreden van een abstracte standaard naar standaard operationeel sanitair.
AI geeft het OCSF-verhaal nieuwe urgentie
Wanneer ondernemingen een AI-infrastructuur inzetten, vormen grote taalmodellen (LLM’s) de kern, omgeven door complexe gedistribueerde systemen zoals modelgateways, agentruntimes, vectorstores, tooloproepen, ophaalsystemen en beleidsengines. Deze componenten genereren nieuwe vormen van telemetrie, waarvan een groot deel productgrenzen overschrijdt. Beveiligingsteams in het hele SOC zijn steeds meer gefocust op het vastleggen en analyseren van deze gegevens. De centrale vraag wordt vaak wat een agentisch AI-systeem feitelijk heeft gedaan, in plaats van alleen de tekst die het produceerde, en of zijn acties tot inbreuken op de beveiliging hebben geleid.
Het legt meer druk op het onderliggende datamodel. Een AI-assistent die de verkeerde tool aanroept, de verkeerde gegevens ophaalt of een riskante reeks acties aan elkaar koppelt, creëert een beveiligingsincident dat door alle systemen heen moet worden begrepen. Een gedeeld beveiligingsplan wordt in die wereld waardevoller, vooral wanneer AI ook aan de analysekant wordt gebruikt om meer gegevens sneller te correleren.
Voor OCSF stond 2025 in het teken van kunstmatige intelligentie
Stel je voor dat een bedrijf een AI-assistent gebruikt om werknemers te helpen interne documenten op te zoeken en tools zoals ticketingsystemen of codeopslagplaatsen te activeren. Op een dag begint de assistent de verkeerde bestanden op te halen, tools aan te roepen die hij niet zou moeten gebruiken, en in zijn reacties gevoelige informatie te onthullen.
Updates in OCSF versies 1.5.0, 1.6.0 en 1.7.0 helpen beveiligingsteams bij het in kaart brengen van wat er is gebeurd door ongebruikelijk gedrag te signaleren, te laten zien wie toegang had tot de verbonden systemen en stap voor stap de oproepen van assistent-tools te traceren. In plaats van alleen het uiteindelijke antwoord te zien dat de AI gaf, kan het team de hele keten van acties onderzoeken die tot het probleem hebben geleid.
Wat staat er aan de horizon
Stel je voor dat een bedrijf een AI-klantenondersteuningsbot gebruikt, en op een dag begint de bot lange, gedetailleerde antwoorden te geven, inclusief interne richtlijnen voor probleemoplossing die alleen bedoeld zijn voor het personeel. Met het soort veranderingen dat voor OCSF 1.8.0 werd ontwikkeld, kon het beveiligingsteam zien welk model de uitwisseling afhandelde, welke provider deze verzorgde, welke rol elk bericht speelde en hoe het aantal tokens veranderde tijdens het gesprek.
Een plotselinge toename van het aantal prompt- of voltooiingstokens kan erop wijzen dat de bot een ongewoon grote verborgen prompt heeft gekregen, te veel achtergrondgegevens uit een vectordatabase heeft opgehaald of een buitensporig lang antwoord heeft gegenereerd waardoor de kans op het lekken van gevoelige informatie groter werd. Het geeft onderzoekers een handige aanwijzing over waar de interactie uit de hand is gelopen, in plaats van dat ze alleen het definitieve antwoord hebben.
Waarom dit belangrijk is voor de bredere markt
Het grotere verhaal is dat OCSF snel is geëvolueerd van een inspanning van de gemeenschap tot een echte standaard die beveiligingsproducten dagelijks gebruiken. De afgelopen twee jaar heeft het een sterker beheer, frequentere releases en praktische ondersteuning gekregen voor datameren, ingest-pijplijnen, SIEM-workflows en partnerecosystemen.
In een wereld waarin AI het beveiligingslandschap uitbreidt door fraude, misbruik en nieuwe aanvalspaden, vertrouwen beveiligingsteams op OCSF om gegevens uit vele systemen met elkaar te verbinden zonder onderweg de context te verliezen om uw gegevens veilig te houden.
Nikhil Mungel bouwt al meer dan 15 jaar gedistribueerde systemen en AI-teams bij SaaS-bedrijven.
Welkom bij de VentureBeat-community!
In ons gastpostprogramma delen technische experts inzichten en bieden ze neutrale, onbevooroordeelde diepgaande inzichten in AI, data-infrastructuur, cyberbeveiliging en andere geavanceerde technologieën die de toekomst van het bedrijfsleven vormgeven.
Lees meer uit ons gastpostprogramma – en bekijk ons richtlijnen als u geïnteresseerd bent om uw eigen artikel bij te dragen!
