Selama bertahun-tahun, tim keamanan berjuang dengan data yang terfragmentasi. Setiap alat menggunakan bahasa yang sedikit berbeda, sehingga memaksa analis untuk menghabiskan waktu yang berharga untuk menormalkan informasi dibandingkan mendeteksi ancaman. Kini, Open Cybersecurity Schema Framework (OCSF) muncul sebagai solusi terdepan, yang menyediakan struktur umum untuk kejadian, temuan, dan konteks keamanan. Pergeseran ini bukan hanya soal efisiensi teknis; ini tentang menjadikan operasi keamanan lebih efektif di dunia dengan ancaman yang semakin kompleks.
Masalah Inti: Fragmentasi Data dalam Keamanan
Lanskap keamanan dibangun berdasarkan lapisan alat—deteksi titik akhir, manajemen identitas, keamanan cloud, dan kini, analisis yang didukung AI. Masing-masing menghasilkan format datanya sendiri. Mengkorelasikan informasi ini untuk mendeteksi kebocoran kredensial sederhana (seorang karyawan masuk dari satu lokasi lalu segera mengakses sumber daya dari lokasi lain) memerlukan terjemahan manual yang sulit. OCSF mengatasi hal ini dengan menawarkan kerangka kerja netral vendor yang memungkinkan alat memetakan skema mereka ke dalam model bersama. Hal ini mengurangi gesekan di setiap tahap, mulai dari penyerapan data hingga respons insiden.
Aksi OCSF: Adopsi di Dunia Nyata
Kerangka kerja ini telah berubah dengan cepat dari sebuah konsep menjadi pipa ledeng standar industri selama dua tahun terakhir. Apa yang dimulai sebagai inisiatif antara Amazon AWS dan Splunk, dengan kontribusi dari pemain besar seperti Cloudflare, CrowdStrike, dan Palo Alto Networks, kini memiliki komunitas yang terdiri lebih dari 200 organisasi dan 900 kontributor.
Integrasi utama meliputi:
- AWS Security Lake: Mengonversi log dan peristiwa ke dalam format OCSF untuk penyimpanan terpusat.
- Splunk: Menerjemahkan data masuk ke OCSF menggunakan prosesor edge dan ingestnya.
- Palo Alto Networks: Meneruskan data Layanan logging Strata ke Amazon Security Lake di OCSF.
- CrowdStrike: Menerjemahkan data Falcon ke dalam OCSF untuk Security Lake, dan menyerap data berformat OCSF di Falcon Next-Gen SIEM.
Ini bukan hanya sekedar teori; OCSF secara aktif digunakan untuk menyederhanakan aliran data di seluruh infrastruktur keamanan penting.
Bangkitnya AI dan Kebutuhan Mendesak akan Standardisasi
Integrasi Kecerdasan Buatan (AI) ke dalam operasi keamanan menjadikan OCSF semakin penting. LLM, runtime agen, dan penyimpanan vektor menghasilkan telemetri baru yang mencakup batasan produk. Daripada hanya mengetahui apa yang dikatakan oleh asisten AI, tim keamanan kini perlu memahami apa yang dilakukannya. Apakah itu menyebut alat yang salah? Apakah itu mengambil data sensitif? Skema bersama sangat penting untuk menelusuri keseluruhan rangkaian tindakan dan mengidentifikasi pelanggaran.
Pembaruan OCSF terkini (versi 1.5.0, 1.6.0, dan 1.7.0) telah membantu tim menyelidiki insiden yang disebabkan oleh AI. Rilis mendatang (1.8.0) menjanjikan visibilitas yang lebih terperinci ke dalam interaksi AI, termasuk jumlah token dan detail penyedia. Tingkat detail ini dapat membantu mendeteksi perintah tersembunyi atau respons panjang yang tidak biasa yang mengindikasikan kebocoran data.
Mengapa Ini Penting
Adopsi OCSF yang cepat menandakan perubahan mendasar dalam cara pengelolaan data keamanan. Mengumpulkan kayu saja tidak lagi cukup; organisasi memerlukan cara untuk menghubungkan mereka secara lancar. Di dunia di mana AI memperluas jangkauan serangan, OCSF menyediakan infrastruktur untuk tetap terdepan dalam menghadapi ancaman yang muncul. Kerangka kerja ini tidak hanya sekedar upaya komunitas, tetapi juga menjadi standar nyata yang digunakan produk keamanan setiap hari.
Standardisasi ini sangat penting untuk melindungi data dalam lingkungan yang semakin kompleks dan otomatis.
