Il settore della sicurezza ha trascorso l’ultimo anno a parlare di modelli, copiloti e broker, ma sotto sotto si sta verificando un cambiamento più silenzioso: i fornitori si stanno allineando attorno a un modo comune per definire i dati sulla sicurezza. Aprire il framework dello schema di sicurezza informatica (OCSF) emerge come uno dei candidati più forti per il lavoro.
Fornisce a fornitori, organizzazioni e professionisti un modo comune per rappresentare eventi, risultati, oggetti e contesto di sicurezza. Ciò significa che trascorrerai meno tempo a riscrivere i nomi dei campi e i parser personalizzati e più tempo a correlare rilevamenti, eseguire analisi e creare flussi di lavoro che possono essere eseguiti su più prodotti. In un mercato in cui ogni team di sicurezza riunisce endpoint, identità, cloud, SaaS e telemetria AI, un’infrastruttura comune è sembrata a lungo un sogno irrealizzabile e OCSF ora la rende realizzabile.
OCSF in un linguaggio semplice
OCSF è un framework open source per gli schemi di sicurezza informatica. È indipendente dal fornitore per progettazione e deliberatamente indipendente dal formato di archiviazione, dalla raccolta dei dati e dalle scelte ETL. Da un punto di vista pratico, fornisce ai team applicativi e agli ingegneri dei dati una struttura comune per gli eventi; in questo modo gli analisti possono lavorare con un linguaggio più coerente per il rilevamento e l’indagine delle minacce.
Sembra una cosa banale finché non si guarda al lavoro quotidiano all’interno di un centro operativo di sicurezza (SOC). I team di sicurezza devono impegnarsi molto per normalizzare i dati provenienti da diversi strumenti in modo da poter correlare gli eventi. Ad esempio, rilevare che un dipendente ha effettuato l’accesso dal proprio laptop da San Francisco alle 10:00, quindi ha effettuato l’accesso a una risorsa cloud da New York alle 10:02, potrebbe rivelare una credenziale trapelata.
Tuttavia, costruire un sistema in grado di mettere in relazione questi eventi non è un compito facile: strumenti diversi spiegano la stessa idea con domini, strutture annidate e presupposti diversi. L’OCSF è stata creata per ridurre questa tassa. Aiuta i fornitori a mappare il proprio schema su un modello comune e aiuta i clienti a spostare i dati attraverso Lake, pipeline e strumenti SIEM (Security Incident and Event Management) senza richiedere lunghe traduzioni a ogni hop.
Gli ultimi due anni sono passati insolitamente velocemente
Gran parte dell’apparente accelerazione dell’OCSF si è verificata negli ultimi due anni. Il progetto è stato annunciato da Amazon AWS e Splunk nell’agosto 2022, sulla base del lavoro fornito da Symantec, Broadcom e altri noti giganti delle infrastrutture Cloudflare, CrowdStrike, IBM, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro e Zscaler.
La comunità OCSF ha mantenuto un ritmo costante di pubblicazioni negli ultimi due anni
La comunità è cresciuta rapidamente. AWS ha dichiarato nell’agosto 2024 che l’OCSF era passata da un’iniziativa di 17 aziende a una comunità di oltre 200 organizzazioni partecipanti e 800 contributori, arrivando a 900 quando l’OCSF si è unita alla Linux Foundation nel novembre 2024.
OCSF si distingue nel settore
Nel campo dell’osservabilità e della sicurezza, l’OCSF è ovunque. AWS Security Lake converte i log e gli eventi AWS supportati nativamente in OCSF e li archivia in Parquet. AWS AppFabric può generare dati di audit normalizzati OCSF. I risultati di AWS Security Hub utilizzano OCSF e AWS ha rilasciato un’estensione per i dettagli sulle risorse specifiche del cloud.
Splunk può tradurre i dati in entrata in OCSF con il processore periferico e il processore di ricezione. Cribl supporta la conversione continua dei dati in streaming in OCSF e formati compatibili.
Palo Alto Networks può trasmettere i dati del servizio di accumulo di Strata ad Amazon Security Lake presso OCSF. CrowdStrike si posiziona su entrambi i lati del canale OCSF; I dati Falcon vengono tradotti in OCSF per Security Lake e Falcon Next Generation SIEM è posizionato per acquisire e analizzare dati in formato OCSF. L’OCSF è uno dei rari standard che colma il divario tra uno standard astratto e installazioni operative standard a livello di settore.
L’intelligenza artificiale dà nuova urgenza alla storia dell’OCSF
Quando le organizzazioni costruiscono un’infrastruttura AI, i modelli linguistici di grandi dimensioni (LLM) sono al centro e circondati da sistemi distribuiti complessi come gateway di modelli, runtime di agenti, repository di vettori, chiamate di strumenti, sistemi di accesso e motori di policy. Questi componenti creano nuove forme di telemetria, molte delle quali abbracciano i confini del prodotto. I team di sicurezza del SOC si concentrano sempre più sull’acquisizione e sull’analisi di questi dati. La domanda chiave spesso diventa cosa fa effettivamente un sistema di intelligenza artificiale di un’agenzia, piuttosto che solo il testo che produce, e se le sue azioni portano a violazioni della sicurezza.
Ciò esercita una maggiore pressione sul modello di dati sottostante. Un assistente AI che richiama lo strumento sbagliato, recupera i dati errati o concatena una sequenza rischiosa di azioni crea un incidente di sicurezza che deve essere compreso in tutti i sistemi. Uno schema di sicurezza condiviso diventa più prezioso in questo mondo, soprattutto quando l’intelligenza artificiale viene utilizzata anche dal lato dell’analisi per correlare più dati più velocemente.
Per l’OCSF, il 2025 è incentrato sull’intelligenza artificiale
Immagina che un’azienda utilizzi un assistente AI per aiutare i dipendenti a cercare documenti interni e attivare strumenti come sistemi di ticketing o repository di codici. Un giorno, l’assistente inizia a recuperare i file sbagliati, a richiamare strumenti che non dovrebbe utilizzare e a rivelare informazioni sensibili nelle sue risposte.
Gli aggiornamenti nelle versioni OCSF 1.5.0, 1.6.0 e 1.7.0 aiutano i team di sicurezza a ricostruire ciò che è accaduto segnalando comportamenti insoliti, mostrando chi ha accesso ai sistemi connessi e monitorando passo dopo passo le chiamate agli strumenti dell’assistente. Invece di limitarsi a vedere la risposta finale dell’IA, il team può indagare sull’intera catena di azioni che hanno portato al problema.
cosa c’è all’orizzonte
Immagina che un’azienda utilizzi un bot di assistenza clienti basato sull’intelligenza artificiale e che un giorno il bot inizi a fornire risposte lunghe e dettagliate che includono indicazioni per la risoluzione dei problemi riservate solo al personale interno. Con i tipi di modifica sviluppati per OCSF 1.8.0, il team di sicurezza ha potuto vedere quale modello stava eseguendo la modifica, quale fornitore la stava fornendo, quale ruolo giocava ogni messaggio e come cambiavano i conteggi dei token durante la conversazione.
Un aumento improvviso dei prompt o dei token di completamento può segnalare che al bot viene fornito un prompt segreto insolitamente grande, che estrae troppi dati in background da un database vettoriale o che genera una risposta eccessivamente lunga che aumenta la probabilità che vengano divulgate informazioni sensibili. Ciò fornisce ai ricercatori un indizio pratico su dove sta andando l’interazione, piuttosto che lasciare semplicemente la risposta finale.
Perché questo è importante per il mercato più ampio?
La storia più importante è che l’OCSF è cresciuto rapidamente dall’essere uno sforzo comunitario fino a diventare un vero e proprio standard utilizzato ogni giorno dai prodotti di sicurezza. Negli ultimi due anni, ha ottenuto una gestione più forte, rilasci frequenti e supporto pratico su data Lake, pipeline di acquisizione, flussi di lavoro SIEM ed ecosistemi di partner.
In un mondo in cui l’intelligenza artificiale sta espandendo il panorama della sicurezza attraverso frodi, abusi e nuovi percorsi di attacco, i team di sicurezza si affidano a OCSF per connettersi ai dati di molti sistemi senza perdere il contesto e mantenere i dati al sicuro.
Nikhil Mungel crea sistemi distribuiti e team di intelligenza artificiale presso aziende SaaS da oltre 15 anni.
