De beveiligingsindustrie heeft het afgelopen jaar gesproken over modellen, copiloten en agenten, maar er vindt een stillere verandering plaats op een laag onder dat alles: leveranciers beginnen op dezelfde manier beveiligingsgegevens te beschrijven. Open het raamwerk voor cyberbeveiligingsregelingen (OCSF), kwam naar voren als een van de sterkste kandidaten voor de functie.
Dit geeft verkopers, bedrijven en praktijkmensen een gemeenschappelijke manier om te vertegenwoordigen veiligheidsgebeurtenisbevindingen, objecten en context. Dit betekent minder tijd voor het herschrijven van veldnamen en aangepaste parsers en meer tijd voor het verbinden van detecties, het uitvoeren van analyses en het bouwen van workflows die voor alle producten werken. In een markt waar elk beveiligingsteam eindpunt-, identiteits-, cloud-, SaaS- en AI-telemetrie samenbrengt, voelt een gemeenschappelijke infrastructuur lange tijd als een droom, en OCSF kan deze nu werkelijkheid maken.
OCSF in eenvoudige taal
OCSF is een open source-framework voor cyberbeveiligingsregelingen. Het ontwerp is leveranciersneutraal en negeert opzettelijk opslagformaten, gegevensverzameling en ETL-opties. In de praktijk geeft dit applicatieteams en data-ingenieurs een gedeelde structuur voor gebeurtenissen, zodat analisten met een consistentere taal kunnen werken om bedreigingen te detecteren en te onderzoeken.
Het klinkt droog totdat je het dagelijkse werk in een ziet beveiligingsoperatiecentrum (SOC). Beveiligingsteams moeten veel moeite doen om gegevens uit verschillende tools te normaliseren, zodat ze gebeurtenissen kunnen correleren. Als u bijvoorbeeld detecteert dat een werknemer om 10.00 uur ’s ochtends vanuit San Francisco inlogt op zijn laptop en vervolgens om 10.02 uur toegang krijgt tot cloudbronnen vanuit New York, kan dit een legitimatielek aan het licht brengen.
Het opzetten van een systeem dat deze gebeurtenissen in verband kan brengen, is echter geen gemakkelijke taak: verschillende tools beschrijven hetzelfde idee met verschillende velden, onderliggende structuren en aannames. OCSF is gebouwd om deze belastingen te verlagen. Dit helpt leveranciers hun eigen schema’s in een gemeenschappelijk model in kaart te brengen en helpt klanten gegevens door meren, pijplijnen en SIEM-tools (Security Incident and Event Management) te verplaatsen zonder dat bij elke hop een tijdrovende vertaling nodig is.
De afgelopen twee jaar zijn ontzettend snel voorbijgegaan
Het grootste deel van de werkelijke versnelling van OCSF vond plaats in de afgelopen twee jaar. Dat project is aangekondigd in augustus 2022 door Amazon AWS en Splunk, voortbouwend op werk van Symantec, Broadcom en andere bekende infrastructuurgiganten Cloudflare, CrowdStrike, IBM, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro en Zscaler.
De OCSF-gemeenschap is de afgelopen twee jaar doorgegaan met het maken van releases
De gemeenschap is snel gegroeid. AWS zei in augustus 2024 dat OCSF was gegroeid van een initiatief van 17 bedrijven naar een gemeenschap van meer dan 200 deelnemende organisaties en 800 bijdragers, en groeide uit tot 900 toen OCSF in november 2024 fuseerde met de Linux Foundation.
OCSF verschijnt in de hele branche
Op het gebied van waarneembaarheid en veiligheid is OCSF overal aanwezig. AWS Security Lake converteert native ondersteunde AWS-logboeken en -gebeurtenissen naar OCSF en slaat deze op in Parquet. AWS AppFabric kan OCSF uitvoeren: genormaliseerde auditgegevens. Bevindingen AWS Security Hub maakt gebruik van OCSF, en AWS publiceert extensies om cloudspecifieke bronnen te beschrijven.
Splunk kan binnenkomende gegevens vertalen naar OCSF met edge-processors en ingest-processors. Cribl ondersteunt naadloze conversie van streaminggegevens naar OCSF en compatibele formaten.
Palo Alto Networks kan Strata Sogging Service-gegevens doorsturen naar Amazon Security Lake in OCSF. CrowdStrike positioneert zich aan beide kanten van de OCSF-pijplijn, waarbij Falcon-gegevens worden vertaald naar OCSF voor Security Lake en Falcon Next-Gen SIEM gepositioneerd is om OCSF-geformatteerde gegevens op te nemen en te parseren. OCSF is een van de weinige standaarden die de kloof heeft overgestoken van een abstracte standaard naar een industriebrede operationele standaard voor pijpleidingen.
AI geeft nieuwe urgentie aan het OCSF-verhaal
Wanneer bedrijven een AI-infrastructuur inzetten, vormen grote taalmodellen (LLM’s) de kern, omgeven door complexe gedistribueerde systemen zoals modelgateways, agentruntimes, vectorstores, tooloproepen, ophaalsystemen en beleidsengines. Deze componenten genereren nieuwe vormen van telemetrie, waarvan de meeste productgrenzen bestrijken. Beveiligingsteams in het hele SOC zijn steeds meer gefocust op het vastleggen en analyseren van deze gegevens. De belangrijkste vragen zijn vaak wat het AI-systeem van de agent feitelijk doet, en niet alleen de tekst die het produceert, en of zijn acties een inbreuk op de beveiliging veroorzaken.
Dit legt een grotere nadruk op het onderliggende datamodel. AI-assistenten die de verkeerde tool aanroepen, de verkeerde gegevens ophalen of een reeks acties aan elkaar rijgen, lopen het risico beveiligingsgebeurtenissen te creëren die door het hele systeem moeten worden begrepen. Gedeelde beveiligingssystemen worden steeds waardevoller in deze wereld, vooral wanneer AI ook aan de analysekant wordt gebruikt om meer gegevens sneller te verbinden.
Voor OCSF staat 2025 in het teken van AI
Stel je een bedrijf voor dat AI-assistenten gebruikt om werknemers te helpen interne documenten te doorzoeken en tools zoals ticketingsystemen of codeopslagplaatsen te activeren. Op een dag begon de assistent de verkeerde bestanden op te halen, tools aan te roepen die hij niet zou moeten gebruiken, en gevoelige informatie bloot te leggen in zijn reacties.
Updates voor OCSF-versies 1.5.0, 1.6.0 en 1.7.0 helpen beveiligingsteams bij elkaar te brengen wat er gebeurt door ongebruikelijk gedrag te signaleren, te laten zien wie toegang heeft tot verbonden systemen en stapsgewijze assistent-tooloproepen te volgen. In plaats van alleen te kijken naar het uiteindelijke antwoord dat de AI biedt, kunnen teams de hele keten van acties onderzoeken die tot het probleem hebben geleid.
Wat staat er aan de horizon
Stel je voor dat een bedrijf een AI-klantenondersteuningsbot gebruikt, en op een dag begint de bot lange, gedetailleerde antwoorden te geven, inclusief een interne probleemoplossingsgids die alleen bedoeld is voor het personeel. Met de soorten wijzigingen die voor OCSF 1.8.0 zijn ontwikkeld, kunnen beveiligingsteams zien welke modellen uitwisselingen afhandelen, welke providers deze aanbieden, welke rol elk bericht speelt en hoe het aantal tokens verandert tijdens gesprekken.
Een plotselinge piek in het aantal prompttokens of voltooiingen kan erop duiden dat de bot een zeer grote verborgen prompt te zien kreeg, te veel achtergrondgegevens uit de vectordatabase haalde of een te lang antwoord genereerde, waardoor de kans op het lekken van gevoelige informatie groter werd. Dit geeft onderzoekers praktische aanwijzingen over waar de interactie naartoe gaat, in plaats van simpelweg een definitief antwoord te geven.
Waarom dit belangrijk is voor de bredere markt
Het grotere verhaal is dat OCSF snel is getransformeerd van een gemeenschapsinspanning tot een echte standaard die beveiligingsproducten dagelijks gebruiken. De afgelopen twee jaar heeft het bedrijf een sterker bestuur, frequentere releases en praktische ondersteuning gekregen via datameren, opnamepijplijnen, SIEM-workflows en partnerecosystemen.
In een wereld waarin AI het beveiligingslandschap uitbreidt door fraude, misbruik en nieuwe aanvalspaden, vertrouwen beveiligingsteams op OCSF om gegevens uit meerdere systemen met elkaar te verbinden zonder de context te verliezen om uw gegevens veilig te houden.
Nikhil Mungel bouwt al meer dan 15 jaar gedistribueerde systemen en AI-teams in SaaS-bedrijven.
Welkom bij de VentureBeat-community!
In ons gastenprogramma delen technische experts inzichten en geven ze onpartijdige, diepgaande uitleg over AI, data-infrastructuur, cyberbeveiliging en andere geavanceerde technologieën die de toekomst van ondernemingen vormgeven.
Lees meer uit ons gastenpostprogramma — en bekijk het eens richtlijnen als u geïnteresseerd bent om uw eigen artikel bij te dragen!
