On voit rarement les fournisseurs de cybersécurité mettre la compétition et leurs ambitions de côté et unir leurs forces dans un objectif commun qui profite à l’ensemble de la communauté de la cybersécurité. L’Open Cybersecurity Schema Framework (OCSF) est pourtant un prodigieux exemple de collaboration constructive à l’échelle de l’industrie. Ce cadre a pour but de favoriser un environnement plus sécurisé pour les entreprises, les gouvernements et les particuliers du monde entier.
En un an seulement, l’OCSF a vu son nombre d’organisations contributrices multiplié par plus de huit. Il a publié la version de production de son schéma de sécurité fondamental et nous avons assisté à l’essor de produits natifs OCSF, dont Amazon Security Lake et AWS AppFabric.
Créé par Splunk, AWS, IBM et 15 autres sociétés de sécurité et de technologie, OCSF est un projet open-source qui aide à défragmenter les données de sécurité en silos et à normaliser les formats de données dans l’ensemble des outils de sécurité pour aider les équipes de défense à éliminer la « taxe » de normalisation des données, et surtout à détecter et neutraliser les cybermenaces de façon plus rapide et plus complète. Pour atteindre cet objectif, OCSF fournit un framework extensible pour le développement de schémas de données, accompagné d’un schéma de sécurité de base indépendant du fournisseur.
Les fournisseurs de sécurité et autres producteurs de données adoptent et étendent le schéma OCSF pour leurs domaines spécifiques. Ils rapprochent également leurs schémas existants de celui d’OCSF afin de simplifier l’ingestion et l’échange de données entre les outils de sécurité. L’objectif : une détection et une exploration plus rapides et plus précises des menaces. Les organisations qui exploitent OCSF au sein de leurs projets de lacs de données internes disposent ainsi d’une cible standardisée et bien comprise pour leurs propres scénarios d’analyse.
OCSF bénéficie de la participation de centaines de personnes – non seulement des fournisseurs, mais aussi des entreprises, des établissements d’enseignement et des contributeurs individuels. Toutes affinent et étendent continuellement le schéma pour l’adapter à différents cas d’utilisation en sécurité et en IT. OCSF incarne pleinement les principes des logiciels open source : transparence, participation et collaboration.
L’intérêt d’OCSF
Il peut y avoir plus d’une centaine de solutions de sécurité dans l’arsenal d’une grande entreprise. Pour identifier avec précision les menaces sophistiquées, les équipes de sécurité doivent analyser les données de leur pile d’outils de sécurité dans leur globalité.
Mais les solutions de sécurité utilisent bien souvent des formats de données disparates, et les équipes d’ingénierie de sécurité et de détection finissent par perdre beaucoup de temps et de ressources à normaliser les données avant de pouvoir procéder aux analyses et aux enquêtes nécessaires pour détecter et prendre en charge les cyberattaques. Même si l’organisation est en mesure de créer et de maintenir des « traducteurs automatiques » pour permettre aux outils de sécurité d’échanger des données, elle a besoin d’un schéma. Et si ce schéma n’est pas complet et extensible, de nombreuses informations de sécurité risquent de se perdre ou de s’altérer au cours de la traduction.
OCSF aide les organisations à résoudre le problème de la disparité des données de sécurité. Les solutions de sécurité qui utilisent le schéma OCSF produisent des données dans un même format cohérent, tout en capturant sans ambiguïté la sémantique complète des informations de sécurité. Grâce à cela, les équipes de défense réduisent le temps, les efforts et le coût de la normalisation des données de sécurité et passent plus vite à l’analyse.
Le schéma OCSF
Comme je l’ai dit dans mes articles précédents, le schéma OCSF repose sur le framework OCSF. Le schéma est un ensemble de catégories, de classes d’événements, de profils, de dictionnaires et de types de données validables. Depuis la version candidate du schéma RC2, quelques améliorations ont été apportées au framework, comme les extensions de plateforme introduites avec la version candidate RC3. La première extension de plateforme a été développée pour Linux, bientôt suivie par la refactorisation du schéma spécifique à Windows en une extension de plateforme Windows.
Ces extensions présentent une structure identique à toutes les autres extensions de schéma – les extensions de fournisseur ou d’organisation, par exemple. Cependant, les extensions de plateforme sont fondamentalement considérées comme une part du schéma OCSF 1.0 normalisé.
Un grand nombre d’ajouts, de modifications et d’améliorations séparent les schémas de base RC2 et RC3, et ils sont trop nombreux pour être discutés ici. Quand la RC3 a été annoncée en mai dernier, elle était pressentie comme candidate finale pour la 1.0 GA, annoncée aujourd’hui. Seules les demandes de modifications les plus importantes, convenues par une pluralité de contributeurs, ont été prises en compte et acceptées pour la version 1.0. Dans leur grande majorité, il s’agissait d’améliorations de descriptions et d’exemples d’utilisation, mais très peu de choses se sont révélées absolument nécessaires lors d’une tentative de mise en œuvre. Si vous avez implémenté RC3, vous n’aurez sans doute aucune difficulté à passer à la version 1.0.
Si votre implémentation était basée sur RC2, je vous encourage à explorer le navigateur de schéma OCSF et à comparer les schémas RC2 et 1.0 pour étudier les changements avec attention, car la version 1.0 contient de nombreuses améliorations par rapport à RC2.
Plus loin, plus haut
En tant que cofondateur d’OCSF et membre du comité directeur aux côtés d’AWS et d’IBM, Splunk se réjouit de l’implication de plus de 145 organisations et de 435 contributeurs individuels. Cette dynamique a fait d’OCSF une initiative sectorielle axée sur la résolution d’un problème client critique. Aujourd’hui, les équipes de sécurité qui utilisent des solutions basées sur le schéma OCSF extraient davantage de valeur des données plus rapidement, et contribuent ainsi à la protection et à la résilience de leur entreprise.
Une chose est claire : avec la version 1.0, le projet a franchi un jalon essentiel. Mais il reste encore beaucoup à faire et nous vous invitons à participer aux prochains travaux de la version 1.1 actuellement en cours.
Tout membre de la communauté de la cybersécurité peut contribuer à OCSF et l’utiliser. Nous encourageons les équipes de défense à s’informer sur le projet OCSF et sur la manière de le rejoindre. Site GitHub d’OCSF.
Plus loin, plus haut pour le bien commun !
*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.
