Industri keamanan telah menghabiskan setahun terakhir membahas tentang model, asisten, dan agen, tetapi ada pergeseran lebih dalam yang terlihat dengan lebih tenang. Para penyedia layanan berkumpul untuk menemukan cara bersama dalam menggambarkan data keamanan. Open Cybersecurity Schema Framework (OCSF) muncul sebagai salah satu kandidat terkuat untuk misi tersebut.
OCSF memberikan cara umum bagi penyedia, perusahaan, dan praktisi untuk merepresentasikan kejadian, temuan, objek, dan konteks keamanan. Hal ini mengurangi waktu yang dihabiskan untuk menulis kembali nama kolom dan pemrograman parser kustom, sehingga lebih banyak waktu tersedia untuk menghubungkan deteksi, melakukan analisis, dan membangun alur kerja yang dapat beroperasi di berbagai produk. Di pasar di mana setiap tim keamanan mengintegrasikan data dari endpoint, identitas, cloud, SaaS, dan telemetry AI, memiliki infrastruktur yang seragam sudah lama terasa seperti mimpi, dan kini OCSF menjadikannya lebih mudah dicapai.
OCSF dalam bahasa biasa
OCSF adalah kerangka kerja sumber terbuka untuk skema keamanan siber. Desainnya netral terhadap vendor dan dengan sengaja tidak terikat pada format penyimpanan, pengumpulan data, dan pilihan ETL. Dalam praktiknya, OCSF memberikan struktur bersama untuk tim aplikasi dan insinyur data sehingga para analis dapat bekerja dengan bahasa yang lebih konsisten dalam deteksi dan penyelidikan ancaman.
Kedengarannya biasa saja sampai kita melihat pekerjaan harian di pusat operasi keamanan (SOC). Tim keamanan harus banyak mengeluarkan usaha untuk menormalkan data dari berbagai alat supaya dapat menghubungkan berbagai kejadian. Contohnya, mendeteksi seorang karyawan yang login dari San Francisco pada pukul 10 pagi, kemudian mengakses sumber daya cloud dari New York pada pukul 10:02 pagi, bisa menunjukkan kredensial yang bocor.
Membangun sistem yang dapat menghubungkan kejadian tersebut bukanlah hal yang mudah. Setiap alat memiliki cara berbeda dalam menggambarkan konsep yang sama dengan kolom yang berbeda, struktur bersarang, dan asumsi masing-masing. OCSF hadir untuk mengurangi beban tersebut. Sistem ini membantu para penyedia menghubungkan skema mereka dengan model yang umum dan memudahkan pelanggan untuk memindahkan data melalui berbagai danau data, pipeline, dan alat manajemen insiden serta peristiwa keamanan tanpa perlu menerjemahkan dengan cara yang memakan waktu di setiap proses.
Dua tahun terakhir berjalan dengan cepat
Kebanyakan percepatan OCSF dapat dilihat dalam dua tahun terakhir. Proyek ini diumumkan pada Agustus 2022 oleh Amazon AWS dan Splunk, berlandaskan pada kerja yang disumbangkan oleh Symantec, Broadcom, dan raksasa infrastruktur terkenal lainnya seperti Cloudflare, CrowdStrike, IBM, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro, dan Zscaler.
Komunitas OCSF berkembang pesat. AWS mengumumkan pada Agustus 2024 bahwa OCSF telah berkembang dari inisiatif 17 perusahaan menjadi komunitas dengan lebih dari 200 organisasi partisipan dan 800 kontributor, yang kemudian meningkat menjadi 900 ketika OCSF bergabung dengan Linux Foundation pada November 2024.
OCSF hadir di seluruh industri
Di sektor observabilitas dan keamanan, OCSF hadir di mana-mana. AWS Security Lake mengubah log dan kejadian yang didukung secara native menjadi format OCSF dan menyimpannya dalam format Parquet. AWS AppFabric dapat mengeluarkan data audit yang dinormalkan dalam format OCSF. Temuan dari AWS Security Hub menggunakan OCSF, dan AWS juga menerbitkan ekstensi untuk detail sumber daya cloud yang spesifik.
Splunk mampu menerjemahkan data masuk ke dalam OCSF menggunakan edge processor dan ingest processor. Cribl mendukung konversi data streaming ke OCSF dan format yang kompatibel secara mulus.
Palo Alto Networks mengirimkan data Strata Logging Service ke Amazon Security Lake dalam OCSF. CrowdStrike berada di kedua sisi pipa OCSF, dengan data Falcon yang diterjemahkan menjadi OCSF untuk Security Lake dan Falcon Next-Gen SIEM yang dirancang untuk mengolah dan mem-parsing data dalam format OCSF. OCSF adalah salah satu standar langka yang telah melampaui batas menjadi infrastruktur operasional standar di seluruh industri.
AI memberikan urgensi baru pada cerita OCSF
Ketika perusahaan menerapkan infrastruktur AI, model bahasa besar (LLM) menjadi inti, dikelilingi oleh sistem terdistribusi yang kompleks seperti gateway model, runtime agen, penyimpanan vektor, panggilan alat, sistem pengambilan, dan mesin kebijakan. Komponen ini menghasilkan bentuk telemetry baru, banyak di antaranya melintasi batas produk. Tim keamanan di seluruh SOC semakin fokus pada pengambilan dan analisis data tersebut. Pertanyaan penting menjadi seberapa luas sistem AI yang berperan, bukan hanya informasi yang dihasilkannya, dan apakah aksinya mengarah pada pelanggaran keamanan.
Hal ini menambah tekanan pada model data yang mendasari. Asisten AI yang memanggil alat yang salah, mengambil data yang keliru, atau menggabungkan urutan tindakan berisiko menciptakan kejadian keamanan yang perlu dipahami di berbagai sistem. Skema keamanan bersama menjadi lebih berharga di dunia ini, terutama ketika AI juga digunakan di sisi analitik untuk menghubungkan lebih banyak data dengan lebih cepat.
Untuk OCSF, tahun 2025 adalah tentang AI
Bayangkan sebuah perusahaan menggunakan asisten AI untuk membantu karyawan mencari dokumen internal dan mengaktifkan alat seperti sistem tiket atau repositori kode. Suatu hari, asisten ini mulai menarik berkas yang salah, memanggil alat yang seharusnya tidak digunakan, dan mengekspos informasi sensitif dalam jawabannya.
Pembaruan pada OCSF versi 1.5.0, 1.6.0, dan 1.7.0 membantu tim keamanan merapikan apa yang terjadi dengan menandai perilaku yang tidak biasa, menunjukkan siapa yang memiliki akses ke sistem yang terhubung, dan melacak panggilan alat asisten langkah demi langkah. Alih-alih hanya melihat jawaban akhir yang diberikan AI, tim dapat menyelidiki seluruh rangkaian tindakan yang mengarah pada masalah tersebut.
Apa yang ada di depan
Bayangkan sebuah perusahaan menggunakan bot dukungan pelanggan AI, dan suatu hari bot itu mulai memberikan jawaban panjang yang termasuk panduan pemecahan masalah internal yang seharusnya hanya untuk staf. Dengan perubahan yang sedang dikembangkan untuk OCSF 1.8.0, tim keamanan bisa melihat model mana yang menangani pertukaran tersebut, penyedia mana yang menawarkannya, peran setiap pesan, dan bagaimana jumlah token berubah sepanjang percakapan.
Peningkatan mendadak dalam jumlah token permintaan atau token penyelesaian bisa jadi tanda bahwa bot tersebut diberikan permintaan tersembunyi yang tidak biasa, menarik terlalu banyak data latar dari database vektor, atau menghasilkan respons yang terlalu panjang yang meningkatkan risiko kebocoran informasi sensitif. Ini memberikan petunjuk praktis bagi penyelidik mengenai di mana interaksi menyimpang, alih-alih hanya meninggalkan mereka dengan jawaban akhir.
Mengapa ini penting untuk pasar yang lebih luas
Cerita yang lebih besar adalah bahwa OCSF telah bergerak cepat dari sekadar upaya komunitas menjadi standar nyata yang digunakan oleh produk keamanan setiap hari. Selama dua tahun terakhir, OCSF telah mendapatkan tata kelola yang lebih kuat, rilis yang lebih sering, dan dukungan praktis di seluruh danau data, pipeline ingest, alur kerja SIEM, serta ekosistem mitra.
Di dunia di mana AI memperluas lanskap keamanan melalui penipuan, penyalahgunaan, dan jalur serangan baru, tim keamanan mengandalkan OCSF untuk menghubungkan data dari banyak sistem tanpa kehilangan konteks di sepanjang jalan untuk menjaga data Anda tetap aman.
