De beveiligingsindustrie heeft het afgelopen jaar gesproken over modellen, copiloten en agenten, maar een laag daaronder vindt een stillere verschuiving plaats: leveranciers staan in de rij rond een gedeelde manier om beveiligingsgegevens te beschrijven. Het Open Cybersecurity Schema Framework (OCSF), komt naar voren als een van de sterkste kandidaten voor die functie.
Het geeft verkopers, bedrijven en praktijkmensen een gemeenschappelijke manier om te vertegenwoordigen veiligheidsgebeurtenissenbevindingen, objecten en context. Dat betekent minder tijd voor het herschrijven van veldnamen en aangepaste parsers en meer tijd voor het correleren van detecties, het uitvoeren van analyses en het bouwen van workflows die voor verschillende producten kunnen werken. In een markt waar elk beveiligingsteam eindpunt-, identiteits-, cloud-, SaaS- en AI-telemetrie aan elkaar plakt, voelde een gemeenschappelijke infrastructuur lange tijd als een luchtkasteel, en OCSF brengt deze nu binnen handbereik.
OCSF in duidelijke taal
OCSF is een open-source raamwerk voor cyberbeveiligingsschema’s. Het is qua ontwerp leveranciersneutraal en bewust agnostisch ten aanzien van opslagformaat, gegevensverzameling en ETL-keuzes. In praktische termen geeft het applicatieteams en data-ingenieurs een gedeelde structuur voor gebeurtenissen, zodat analisten met een consistentere taal kunnen werken voor het detecteren en onderzoeken van bedreigingen.
Dat klinkt droog totdat je kijkt naar het dagelijkse werk binnen een beveiligingsoperatiecentrum (SOC). Beveiligingsteams moeten veel moeite doen om gegevens uit verschillende tools te normaliseren, zodat ze gebeurtenissen kunnen correleren. Als u bijvoorbeeld detecteert dat een werknemer om 10.00 uur op zijn laptop inlogt vanuit San Francisco en vervolgens om 10.02 uur toegang krijgt tot een cloudbron vanuit New York, kan dit een gelekte inloggegevens aan het licht brengen.
Het opzetten van een systeem dat deze gebeurtenissen kan correleren is echter geen gemakkelijke taak: verschillende tools beschrijven hetzelfde idee met verschillende velden, neststructuren en aannames. OCSF is gebouwd om deze belasting te verlagen. Het helpt leveranciers hun eigen schema’s in een gemeenschappelijk model in kaart te brengen en helpt klanten gegevens door meren, pijplijnen en SIEM-tools (Security Incident and Event Management) te verplaatsen zonder dat bij elke hop een tijdrovende vertaling nodig is.
De afgelopen twee jaar zijn ongewoon snel gegaan
Het grootste deel van de zichtbare versnelling van OCSF heeft in de afgelopen twee jaar plaatsgevonden. Het project was aangekondigd in augustus 2022 door Amazon AWS en Splunk, voortbouwend op werk van Symantec, Broadcom en andere bekende infrastructuurgiganten Cloudflare, CrowdStrike, IBM, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro en Zscaler.
De OCSF-gemeenschap heeft de afgelopen twee jaar een gestage reeks releases gehandhaafd
De gemeenschap is snel gegroeid. AWS zei in augustus 2024 dat OCSF was uitgegroeid van een initiatief van 17 bedrijven tot een gemeenschap met meer dan 200 deelnemende organisaties en 800 bijdragers, die zich uitbreidde tot 900 toen OCSF in november 2024 lid werd van de Linux Foundation.
OCSF is zichtbaar in de hele sector
Op het gebied van waarneembaarheid en veiligheid is OCSF overal aanwezig. AWS Security Lake converteert native ondersteunde AWS-logboeken en -gebeurtenissen naar OCSF en slaat deze op in Parquet. AWS AppFabric kan OCSF uitvoeren: genormaliseerde auditgegevens. De bevindingen van AWS Security Hub maken gebruik van OCSF en AWS publiceert een extensie voor cloudspecifieke brondetails.
Splunk kan inkomende data vertalen naar OCSF met edge-processor en ingest-processor. Cribl ondersteunt het naadloos converteren van streaminggegevens naar OCSF en compatibele formaten.
Palo Alto Networks kan Strata sogging Service-gegevens doorsturen naar Amazon Security Lake in OCSF. CrowdStrike positioneert zichzelf aan beide kanten van de OCSF-pijp, waarbij Falcon-gegevens worden vertaald naar OCSF voor Security Lake en Falcon Next-Gen SIEM gepositioneerd om OCSF-geformatteerde gegevens op te nemen en te parseren. OCSF is een van die zeldzame standaarden die in de hele sector de kloof heeft overgestoken van een abstracte standaard naar standaard operationeel sanitair.
AI geeft het OCSF-verhaal nieuwe urgentie
Wanneer bedrijven een AI-infrastructuur inzetten, vormen grote taalmodellen (LLM’s) de kern, omgeven door complexe gedistribueerde systemen zoals modelgateways, agentruntimes, vectorstores, tooloproepen, ophaalsystemen en beleidsengines. Deze componenten genereren nieuwe vormen van telemetrie, waarvan een groot deel productgrenzen overschrijdt. Beveiligingsteams in het hele SOC zijn steeds meer gefocust op het vastleggen en analyseren van deze gegevens. De centrale vraag wordt vaak wat een agentisch AI-systeem feitelijk heeft gedaan, in plaats van alleen de tekst die het produceerde, en of zijn acties tot inbreuken op de beveiliging hebben geleid.
Dat legt meer druk op het onderliggende datamodel. Een AI-assistent die de verkeerde tool aanroept, de verkeerde gegevens ophaalt of een riskante reeks acties aan elkaar koppelt, creëert een beveiligingsgebeurtenis die door alle systemen heen moet worden begrepen. Een gedeeld beveiligingsschema wordt in die wereld waardevoller, vooral wanneer AI ook aan de analysekant wordt gebruikt om meer gegevens sneller te correleren.
Voor OCSF stond 2025 in het teken van AI
Stel je voor dat een bedrijf een AI-assistent gebruikt om werknemers te helpen interne documenten op te zoeken en tools zoals ticketingsystemen of codeopslagplaatsen te activeren. Op een dag begint de assistent de verkeerde bestanden op te halen, tools aan te roepen die hij niet mag gebruiken, en gevoelige informatie bloot te leggen in zijn reacties.
Updates in OCSF versies 1.5.0, 1.6.0 en 1.7.0 helpen beveiligingsteams bij het in kaart brengen van wat er is gebeurd door ongebruikelijk gedrag te signaleren, te laten zien wie toegang had tot de verbonden systemen en stap voor stap de tooloproepen van de assistent te traceren. In plaats van alleen het uiteindelijke antwoord te zien dat de AI gaf, kan het team de volledige reeks acties onderzoeken die tot het probleem hebben geleid.
Wat staat er aan de horizon
Stel je voor dat een bedrijf een AI-klantenondersteuningsbot gebruikt, en op een dag begint de bot lange, gedetailleerde antwoorden te geven met interne richtlijnen voor probleemoplossing die alleen bedoeld zijn voor het personeel. Met het soort wijzigingen dat voor OCSF 1.8.0 werd ontwikkeld, kon het beveiligingsteam zien welk model de uitwisseling afhandelde, welke provider deze leverde, welke rol elk bericht speelde en hoe het aantal tokens veranderde tijdens het gesprek.
Een plotselinge piek in het aantal prompt- of voltooiingstokens kan erop wijzen dat de bot een ongewoon grote verborgen prompt heeft gekregen, te veel achtergrondgegevens uit een vectordatabase heeft opgehaald of een te lange reactie heeft gegenereerd die de kans op het lekken van gevoelige informatie vergroot. Dat geeft onderzoekers een praktische aanwijzing over waar de interactie uit de hand liep, in plaats van dat ze alleen maar het definitieve antwoord hebben.
Waarom dit belangrijk is voor de bredere markt
Het grotere verhaal is dat OCSF snel is geëvolueerd van een inspanning van de gemeenschap tot een echte standaard die beveiligingsproducten dagelijks gebruiken. De afgelopen twee jaar heeft het een sterker bestuur, frequentere releases en praktische ondersteuning gekregen voor datameren, ingest-pijplijnen, SIEM-workflows en partnerecosystemen.
In een wereld waarin AI het beveiligingslandschap uitbreidt door oplichting, misbruik en nieuwe aanvalspaden, vertrouwen beveiligingsteams op OCSF om gegevens uit vele systemen met elkaar te verbinden zonder onderweg de context te verliezen om uw gegevens veilig te houden.
Nikhil Mungel bouwt al meer dan 15 jaar gedistribueerde systemen en AI-teams bij SaaS-bedrijven.
Welkom bij de VentureBeat-community!
In ons gastpostprogramma delen technische experts inzichten en bieden ze neutrale, niet-gevestigde diepgaande inzichten over AI, data-infrastructuur, cyberbeveiliging en andere geavanceerde technologieën die de toekomst van het bedrijfsleven vormgeven.
Lees meer uit ons gastpostprogramma — en bekijk ons richtlijnen als u geïnteresseerd bent om een eigen artikel bij te dragen!
