A revolução silenciosa na segurança cibernética está em andamento
Enquanto o mundo da tecnologia se deslumbra com modelos de IA, copilotos e agentes, uma transformação mais discreta, mas igualmente poderosa, está acontecendo nos bastidores da segurança cibernética. Fornecedores e equipes de segurança estão convergindo para uma linguagem comum para descrever dados de segurança, um avanço que promete simplificar enormemente a detecção e resposta a ameaças.
Nesse cenário de fragmentação de informações e ferramentas, o Open Cybersecurity Schema Framework, ou OCSF, emerge como o candidato mais forte para essa missão. Ele oferece a empresas e profissionais uma maneira padronizada de representar eventos, descobertas, objetos e contextos de segurança, tornando a correlação de dados e a construção de fluxos de trabalho muito mais eficientes.
O que é OCSF e por que ele importa?
O OCSF é um framework de código aberto para esquemas de cibersegurança, projetado para ser neutro em relação a fornecedores e agnóstico a formatos de armazenamento, coleta de dados e escolhas de ETL (Extração, Transformação e Carga). Em termos práticos, ele fornece uma estrutura compartilhada para `eventos de segurança`, permitindo que analistas trabalhem com uma linguagem mais consistente para detecção e investigação de ameaças.
A importância do OCSF fica clara ao observarmos o dia a dia de um Centro de Operações de Segurança (SOC). Equipes de segurança gastam um tempo considerável normalizando dados de diferentes ferramentas para correlacionar eventos. Por exemplo, detectar um funcionário logando de São Francisco às 10h e acessando um recurso na nuvem de Nova York às 10h02 pode indicar uma credencial comprometida. Configurar um sistema que correlacione esses eventos é uma tarefa hercúlea, pois cada ferramenta descreve a mesma ideia com campos, estruturas e suposições distintas. O OCSF foi criado para mitigar essa complexidade, ajudando fornecedores a mapear seus próprios esquemas para um modelo comum e facilitando o movimento de dados entre diferentes ferramentas sem a necessidade de traduções demoradas a cada etapa.
Aceleração e adoção no mercado de segurança
A ascensão do OCSF tem sido notavelmente rápida nos últimos dois anos. O projeto foi anunciado em agosto de 2022 por gigantes como Amazon AWS e Splunk, com base em contribuições de empresas como Symantec e Broadcom. Desde então, a iniciativa cresceu exponencialmente, atraindo grandes nomes como Cloudflare, CrowdStrike, IBM, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro e Zscaler.
A comunidade do OCSF expandiu-se de uma iniciativa inicial de 17 empresas para mais de 200 organizações participantes e 800 colaboradores. Em novembro de 2024, o OCSF deu um passo crucial ao se juntar à `Linux Foundation`, consolidando ainda mais seu status como um padrão da indústria. Hoje, o OCSF está presente em toda a paisagem de observabilidade e segurança, com serviços como AWS Security Lake convertendo logs nativos para o formato OCSF, e empresas como Splunk, Cribl e Palo Alto Networks oferecendo suporte robusto para a tradução e ingestão de dados compatíveis com o framework. O OCSF deixou de ser um conceito abstrato para se tornar um componente operacional fundamental.
A urgência do OCSF na era da inteligência artificial
A proliferação da infraestrutura de inteligência artificial confere ao OCSF uma urgência renovada. Modelos de linguagem grande (LLMs) são o coração dessa nova era, mas são cercados por sistemas distribuídos complexos, como gateways de modelo, runtimes de agentes, armazenamentos de vetores, chamadas de ferramentas e motores de políticas. Todos esses componentes geram novas formas de `telemetria de IA`, que muitas vezes se estendem por várias fronteiras de produtos.
Equipes de segurança em todo o SOC estão cada vez mais focadas em capturar e analisar esses dados. A questão central frequentemente se torna o que um sistema de IA realmente fez, e não apenas o texto que produziu, e se suas ações levaram a alguma violação de segurança. Isso aumenta a pressão sobre o modelo de dados subjacente. Um assistente de IA que chama a ferramenta errada, recupera dados incorretos ou encadeia uma sequência de ações arriscadas cria um evento de segurança que precisa ser compreendido em vários sistemas. Um esquema de segurança compartilhado, como o OCSF, torna-se inestimável nesse cenário, especialmente quando a IA também é usada no lado da análise para correlacionar mais dados, e mais rapidamente.
OCSF em ação: Detecção de anomalias em sistemas de IA
Para ilustrar a aplicação prática do OCSF, imagine uma empresa que utiliza um assistente de IA para ajudar funcionários a consultar documentos internos e acionar ferramentas como sistemas de tickets ou repositórios de código. Um dia, o assistente começa a puxar arquivos errados, chamar ferramentas que não deveria usar e expor informações sensíveis em suas respostas. As atualizações nas versões 1.5.0, 1.6.0 e 1.7.0 do OCSF ajudam as equipes de segurança a reconstruir o que aconteceu.
Essas versões permitem sinalizar comportamentos incomuns, mostrar quem tinha acesso aos sistemas conectados e rastrear as chamadas de ferramentas do assistente passo a passo. Em vez de apenas ver a resposta final que a IA deu, a equipe pode investigar a cadeia completa de ações que levou ao problema. Essa capacidade de rastreamento detalhado é crucial para entender e mitigar incidentes de segurança relacionados à IA.
O futuro da segurança com OCSF 1.8.0 e além
As futuras evoluções do OCSF prometem ir ainda mais longe na proteção contra ameaças impulsionadas pela IA. Com as mudanças que estão sendo desenvolvidas para o OCSF 1.8.0, as equipes de segurança poderão, por exemplo, monitorar um bot de suporte ao cliente de IA que começa a fornecer respostas longas e detalhadas, incluindo orientações de solução de problemas internas destinadas apenas à equipe.
Nesse cenário, o OCSF 1.8.0 permitiria ver qual modelo lidou com a troca, qual provedor o forneceu, qual papel cada mensagem desempenhou e como as contagens de tokens mudaram ao longo da conversa. Um aumento repentino nos tokens de prompt ou conclusão poderia sinalizar que o bot foi alimentado com um prompt oculto excepcionalmente grande, puxou muitos dados de fundo de um banco de dados de vetores ou gerou uma resposta excessivamente longa que aumentou a chance de vazamento de informações sensíveis. Isso oferece aos investigadores uma pista prática sobre onde a interação saiu do curso, em vez de deixá-los apenas com a resposta final.
O impacto duradouro no mercado de segurança
A história maior é que o OCSF evoluiu rapidamente de um esforço comunitário para um padrão real que os produtos de segurança usam diariamente. Nos últimos dois anos, ele ganhou governança mais forte, lançamentos frequentes e suporte prático em data lakes, pipelines de ingestão, fluxos de trabalho SIEM e ecossistemas de parceiros.
Em um mundo onde a IA expande o cenário de segurança através de golpes, abusos e novos caminhos de ataque, as `operações de segurança` dependem do OCSF para conectar dados de muitos sistemas sem perder o contexto ao longo do caminho, garantindo que suas informações permaneçam seguras. É um passo fundamental para uma cibersegurança mais coesa e eficaz no futuro.
