Es kommt nicht oft vor, dass Anbieter von Cybersicherheitslösungen über jegliches Konkurrenzdenken und sämtliche Ambitionen hinwegsehen und auf ein gemeinsames Ziel hinarbeiten, das der gesamten Cybersicherheitswelt zugutekommt. Das Open Cybersecurity Schema Framework (OCSF) hat sich als gutes Beispiel für eine produktive, branchenweite Zusammenarbeit erwiesen, die zu einem sichereren Umfeld für Unternehmen, Regierungen und Einzelpersonen auf der ganzen Welt führt.
Innerhalb nur eines Jahres seit der Gründung des OCSF hat sich die Anzahl der beteiligten Organisationen mehr als verachtfacht, die Produktionsversion des Kern-Sicherheitsschemas wurde veröffentlicht und es entstanden OCSF-native Produkte wie Amazon Security Lake und AWS AppFabric.
OCSF ist ein Open Source-Projekt, das von Splunk, AWS, IBM und 15 weiteren Sicherheits- und Technologieunternehmen ins Leben gerufen wurde. Es trägt dazu bei, abgeschottete Silostrukturen bei Sicherheitsdaten zu beseitigen und Datenformate über Sicherheits-Tools hinweg zu standardisieren, um Verteidigern den bei der Datennormalisierung zu bezahlenden „Tribut“ zu ersparen und ihnen zu ermöglichen, Cyberbedrohungen schneller und ganzheitlicher zu erkennen und zu neutralisieren. OCSF erreicht dieses Ziel, indem es ein erweiterbares Framework für die Entwicklung von Datenschemata zusammen mit einem anbieterunabhängigen Kern-Sicherheitsschema bereitstellt.
Sicherheitsanbieter und andere Datenproduzenten nutzen und erweitern das OCSF-Schema für ihre spezifischen Bereiche und ordnen ihre bestehenden Schemata dem OCSF-Schema zu, um Sicherheitsteams die Aufnahme und den Austausch von Daten zwischen Sicherheitstools zu erleichtern. Dies ermöglicht dann eine schnellere und genauere Erkennung und Untersuchung von Bedrohungen. Unternehmen, die OCSF für ihre internen Data Lake-Projekte nutzen, verfügen damit über ein wohlbekanntes, standardisiertes Ziel für ihre eigenen Use Cases in Sachen Analyse.
OCSF kommen die Hunderte von Teilnehmern zugute – zu denen inzwischen nicht nur Anbieter, sondern auch Unternehmen, Bildungseinrichtungen und Einzelpersonen gehören – die das Schema kontinuierlich verfeinern und erweitern, um es an verschiedene Use Cases aus den Bereichen Security und IT anzupassen. OCSF steht ganz im Zeichen der Grundsätze von Open Source-Software: Transparenz, Beteiligung und Zusammenarbeit.
Der Mehrwert von OCSF
Bei großen Unternehmen kann das Toolset schnell über hundert Sicherheitslösungen umfassen. Um komplexe Bedrohungen exakt erkennen zu können, müssen Sicherheitsteams Daten aus ihrem gesamten Bestand an Sicherheitstools ganzheitlich analysieren.
Da verschiedene Sicherheitslösungen unterschiedliche Datenformate verwenden, müssen die für Sicherheit und Erkennung zuständigen Engineering-Teams Zeit und Ressourcen für die Normalisierung der Daten aufwenden, bevor sie die Analysen und Untersuchungen durchführen können, die für die Identifizierung und Abwehr von Cyberangriffen erforderlich sind. Selbst wenn das Unternehmen automatische „Übersetzer“ entwickeln und pflegen kann, die den Datenaustausch zwischen Sicherheitstools erleichtern, ist ein Schema erforderlich. Wenn dieses Schema nicht umfassend und erweiterbar ist, gehen viele sicherheitsrelevante Informationen bei der Übersetzung verloren oder werden verzerrt.
OCSF hilft Unternehmen, das Problem der uneinheitlichen Sicherheitsdaten zu lösen. Sicherheitslösungen, die das OCSF-Schema verwenden, erzeugen Daten im gleichen konsistenten Format und erfassen dabei die gesamte Semantik der Sicherheitsinformationen ohne jede Mehrdeutigkeit. Verteidiger können daher Zeit, Aufwand und Kosten für die Normalisierung unterschiedlicher Sicherheitsdaten einsparen und schneller mit ihrer Analyse beginnen.
Das OCSF-Schema
Wie ich bereits in früheren Blogs beschrieben habe, basiert das OCSF-Schema auf dem OCSF-Framework. Das Schema wird als Gruppe von Kategorien, Event-Klassen, Profilen, Wörterbüchern und validierbaren Datentypen entwickelt. Seit dem Release Candidate RC2 des Schemas wurden einige Verbesserungen am Framework vorgenommen, wobei hier vor allem die mit dem Release Candidate RC3 eingeführten Plattformerweiterungen hervorzuheben sind. Die erste Plattformerweiterung wurde für Linux entwickelt und bald darauf folgte die Refaktorierung des Windows-spezifischen Schemas in eine Windows-Plattformerweiterung.
Diese Erweiterungen sind von der Struktur her identisch mit allen anderen Schemaerweiterungen, wie etwa Hersteller- oder Unternehmenserweiterungen, die Plattformerweiterungen des Kerns werden jedoch als Teil des standardisierten OCSF 1.0-Schemas betrachtet.
Es gibt zu viele Ergänzungen, Änderungen und Verbesserungen zwischen den Kern-Schemata RC2 und RC3, um sie hier zu erörtern. Der Release Candidate RC3, der im Mai letzten Jahres angekündigt wurde, sollte der endgültige Kandidat für die allgemein verfügbare Version 1.0 sein, die heute angekündigt wurde. Nur die wichtigsten Änderungswünsche, denen eine Mehrheit der Projektteilnehmer zugestimmt hatte, wurden berücksichtigt und für Version 1.0 akzeptiert. Beim Großteil dieser Änderungen handelte es sich um verbesserte Beschreibungen und Verwendungsbeispiele, es gab aber auch einige wenige Dinge, die sich bei der Implementierung dann als notwendige Änderungen herausstellten. Wenn eure Implementierung auf RC3 basiert, seid ihr höchstwahrscheinlich bereit für 1.0.
Basiert eure Implementierung dagegen auf RC2, solltet ihr euch den OCSF-Schema-Browser ansehen und die Schemata von RC2 und 1.0 vergleichen, um alle Änderungen zu prüfen, da 1.0 viele Verbesserungen gegenüber RC2 enthält.
Höher und weiter
Als Mitbegründer von OCSF und Mitglied des Lenkungsausschusses mit AWS und IBM ist Splunk begeistert, wie OCSF durch die Beteiligung von über 145 Unternehmen und 435 Einzelteilnehmern zu einer branchenweiten Initiative wurde, die ein wichtiges Kundenproblem löst. Sicherheitsteams, die auf dem OSCF-Schema basierende Lösungen verwenden, können heute schneller größeren Nutzen aus Daten ziehen und ihre Unternehmen dadurch besser schützen und resilienter machen.
Release 1.0 ist ganz klar ein wichtiger Meilenstein, aber das ist erst der Anfang. Ihr seid herzlich eingeladen, euch an den Arbeiten an der geplanten Version 1.1 zu beteiligen, die derzeit im Gange sind!
Jedes Mitglied der Cybersicherheits-Community kann von OCSF profitieren und zu diesem Projekt beitragen. Wir möchten alle Verteidiger ermutigen, sich über das OCSF-Projekt und die Mitwirkung auf der GitHub-Site OCSF zu informieren.
Höher und weiter – zum Wohl aller!
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
