Lors du Black Hat USA 2022 qui s’est tenu la semaine dernière, un consortium rassemblant 15 entreprises technologiques, dont des éditeurs et des fournisseurs IT, a dévoilé le projet OCSF (Open Cybersecurity Schema Framework). L’objectif est de créer un standard indépendant des fournisseurs afin de décloisonner les silos de données qui entravent les équipes de sécurité et aider les organisations à détecter, enquêter et arrêter les cyberattaques plus rapidement et plus efficacement.
L’OCSF est un environnement (framework) open-source visant à fournir une taxonomie simplifiée et indépendante des fournisseurs. Il s’agit de fournir aux équipes chargées de la sécurité des informations standardisées pour améliorer et accélérer l’ingestion et l’analyse des données, sans les tâches de normalisation initiales. Il fournit un cadre adaptable pour le développement de schémas, ainsi qu’un schéma de sécurité de base indépendant des fournisseurs. Les fournisseurs et autres producteurs de données peuvent adopter et étendre le schéma pour leurs domaines spécifiques.
Fournir une norme ouverte et agnostique
Les ingénieurs de données peuvent ainsi mettre en correspondance des schémas différents pour aider les équipes de sécurité à simplifier l’ingestion et la normalisation des données, afin que les scientifiques et les analystes de données puissent travailler avec un langage commun pour la détection et l’investigation des menaces. L’objectif est de fournir une norme ouverte, adoptée dans n’importe quel environnement, application ou solution, tout en complétant les normes et processus de sécurité existants.
L’environnement est constitué d’un ensemble de types de données, d’un dictionnaire d’attributs et de la taxonomie. Il n’est pas limité au domaine de la cybersécurité ni aux événements, mais l’objectif initial a été de lancer un schéma pour les événements de cybersécurité d’abord. L’OCSF est agnostique au format de stockage, à la collecte des données et aux processus ETL. Le schéma de base pour les événements de cybersécurité est destiné à être indépendant des implémentations. Les fichiers de définition du cadre de schéma et le schéma normatif qui en résulte seront écrits en JSON.
Conçu et lancé par AWS et Splunk, sur la base du travail effectué sur le schéma ICD par Symantec, une division de Broadcom, l’OCSF a attiré les contributions de 15 autres membres initiaux, dont Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro et Zscaler. Il reste ouvert à tous les membres de la communauté de la cybersécurité, qui sont invités à l’utiliser et à y contribuer.