OCSF, un proyecto open source de la mano de AWS, Splunk y otras empresas para detectar y enfrentar ciberataques
Open Cybersecurity Schema Framework o mejor conocido por sus siglas «OCSF» es un nuevo proyecto que nace de la mano de AWS y Splunk. Este nuevo marco es en una tecnología de código abierto existente conocida como ICD Schema, que a su vez fue creada por la unidad de ciberseguridad Symantec de Broadcom.
El proyecto OCSF fue presentado en el Black Hat USA 2022 y tiene como principal objetivo el ayudar a las organizaciones a detectar, investigar y detener los ataques cibernéticos de manera más rápida y efectiva.
OCSF incluye contribuciones de 15 miembros iniciales adicionales, incluidos Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro y Zscaler. Todos los miembros de la comunidad de seguridad cibernética están invitados a utilizar y contribuir al OCSF.
En el entorno de seguridad cambiante de hoy en día, los profesionales de la seguridad deben monitorear, detectar, responder y mitigar continuamente los problemas de seguridad nuevos y existentes. Para hacerlo, los equipos de seguridad deben poder analizar datos de registro y telemetría relevantes para la seguridad mediante el uso de múltiples herramientas, tecnologías y proveedores. La naturaleza compleja y heterogénea de esta tarea aumenta los costos y puede ralentizar los tiempos de detección y respuesta. Nuestra misión es innovar en nombre de nuestros clientes para que puedan analizar y proteger más rápidamente su entorno cuando surja la necesidad.
Con ese objetivo en mente, junto con varias organizaciones asociadas, nos complace anunciar el lanzamiento del proyecto Open Cybersecurity Schema Framework (OCSF)., que incluye una especificación abierta para la normalización de la telemetría de seguridad en una amplia gama de productos y servicios de seguridad, así como herramientas de código abierto que respaldan y aceleran el uso del esquema OCSF.
Sobre OCSF
OCSF es un estándar abierto que se puede adoptar en cualquier entorno, aplicación o proveedor de soluciones y se ajusta a los estándares y procesos de seguridad existentes. A medida que los proveedores de soluciones de ciberseguridad incorporen los estándares OCSF en sus productos, la normalización de los datos de seguridad será más simple y menos onerosa para los equipos de seguridad.
La adopción de OCSF permitirá a los equipos de seguridad aumentar el enfoque en el análisis de datos, la identificación de amenazas y la defensa de sus organizaciones de los ataques cibernéticos.
OCSF busca ayudar a las organizaciones a responder a los ataques cibernéticos de manera más efectiva simplificando uno de los aspectos más complicados de la tarea: la gestión de datos. En particular, el proyecto está diseñado para agilizar el proceso de procesamiento de datos sobre ciberataques.
Las organizaciones suelen utilizar no una, sino varias herramientas de ciberseguridad para detectar actividades maliciosas en sus redes. A menudo es beneficioso compartir datos entre esas herramientas. Por ejemplo, si un equipo de seguridad cibernética usa dos aplicaciones separadas para investigar los intentos de piratería, es posible que desee compartir información técnica sobre la actividad de red maliciosa entre esas dos aplicaciones.
Actualmente, mover datos de una herramienta de ciberseguridad a otra a menudo requiere una cantidad significativa de trabajo manual. La razón es que diferentes herramientas frecuentemente almacenan datos en diferentes formatos. Como resultado, cuando un conjunto de datos se mueve entre herramientas de ciberseguridad, los administradores deben cambiar manualmente el formato del conjunto de datos.
OCSF tiene como objetivo simplificar la tarea. Según los patrocinadores del proyecto, está diseñado para proporcionar un estándar común de código abierto para organizar la información de ciberseguridad. Si dos herramientas de ciberseguridad almacenan datos en el mismo formato, los administradores pueden mover datos entre ellos sin tener que modificarlos manualmente primero, lo que ahorra tiempo.
Cambiar el formato de un conjunto de datos a menudo requiere herramientas de software especializadas. Debido a que el proceso puede involucrar una cantidad significativa de trabajo manual, también existe el riesgo de error humano.
OCSF proporciona una forma estandarizada de describir un intento hackeo, ya que specifica qué puntos de datos debe proporcionar una herramienta de ciberseguridad sobre un intento de piratería, así como también cómo se deben formatear esos puntos de datos. Las organizaciones pueden personalizar opcionalmente OCSF si sus requisitos se extienden más allá del conjunto de características principales del marco.
Finalmente si estás interesado en poder conocer más al respecto, debes saber que los patrocinadores del proyecto OCSF han publicado el código del marco en GitHub bajo una licencia de código abierto.