D
ans le mythe antique de la Tour de Babel, les gens travaillaient ensemble pour bâtir une tour qui devait atteindre les cieux, jusqu’à ce qu’une intervention divine leur fasse perdre la capacité de communiquer entre eux. Les groupes ont alors commencé à parler des langues différentes et n’ont pas pu terminer la tour. Mais pourquoi parlons-nous de mythes dans un blog sur la cybersécurité ? Il se trouve que c’est une excellente analogie avec un défi de longue date des opérations de sécurité : la normalisation des données sur plusieurs outils de sécurité.
On sait bien que les données sont la pierre angulaire des centres d’opérations de sécurité, mais elles doivent souvent être manipulées et normalisées pour être utilisables par les équipes et les outils du SOC. Selon le nombre d’outils et de formats et l’infrastructure de support, cette tâche peut devenir coûteuse en termes de personnel, de budget et de ressources.
L’industrie s’exprime largement en faveur de la simplification de la normalisation des données. En effet, l’ESG et l’ISSA ont publié un rapport en juillet 2022 intitulé « Perspectives technologiques des professionnels de la cybersécurité » qui met en lumière cet appel. Dans le rapport, Jon Oltsik, Analyste principal senior et membre de l’ESG, fait état de deux conclusions sans appel :
- « 77 % des personnes interrogées souhaiteraient voir davantage de coopération industrielle et technologique sous la forme d’un soutien aux normes ouvertes »,
- « 85 % des personnes interrogées pensent que les capacités d’intégration d’un produit sont importantes ».
La cybersécurité est prête à passer des silos à une ère ouverte et intégrée d’interopérabilité et de coopération.
C’est pourquoi nous sommes ravis d’annoncer notre participation au projet Open Cybersecurity Schema Framework (OCSF). Je travaille personnellement sur ce problème sous une forme ou une autre depuis 20 ans, tant du point de vue du producteur de données que du point de vue du consommateur et de l’analyste, et je pense qu’il s’agit du plus bel effort accompli à ce jour pour résoudre ce dilemme digne de la Tour de Babel.
OCSF est un projet open source offrant un framework extensible pour le développement de schémas, ainsi qu’un schéma de sécurité de base, indépendant du fournisseur. Les fournisseurs et autres producteurs de données peuvent adopter et étendre le schéma pour les besoins de leurs domaines spécifiques. Les ingénieurs de données peuvent appliquer les schémas existants pour aider les équipes de sécurité à simplifier l’ingestion et la normalisation des données. Les data scientists et les analystes pourront ainsi travailler à la détection et à l’investigation des menaces avec un langage commun.
Bien que le cadre lui-même ne soit pas lié au domaine de la cybersécurité, le schéma de base et le dictionnaire sont axés sur les événements de sécurité. L’objectif est de fournir une norme ouverte, applicable à n’importe quel environnement, application ou solution, tout en complétant les normes et processus de sécurité existants.
Le projet OCSF a été conçu et lancé par AWS et Splunk, en s’appuyant sur le travail effectué sur le schéma ICD chez Symantec, une division de Broadcom. Grâce à une collaboration avec des clients communs et à une analyse des besoins du marché des opérations de sécurité, le groupe de départ s’est agrandi pour inclure un total de 18 organisations fondatrices de technologie et de sécurité, toutes contribuant à la version publique initiale.
La coalition fondatrice initiale d’organisations comprend AWS, Broadcom, Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Splunk, Sumo Logic, Tanium, Trend Micro et Zscaler.
La création et l’adoption d’une norme de schéma de données de sécurité open source par les producteurs et les consommateurs de données utiles à la sécurité suppriment un obstacle de longue date rencontré par les équipes de sécurité du monde entier. Aujourd’hui, les équipes consacrent beaucoup de temps et de ressources à unifier les données des différents outils et fournisseurs sur lesquels elles s’appuient. Elles sont obligées de le faire pour mettre efficacement ces données au service de la détection et de l’investigation des menaces de sécurité.
Avec l’Open Cybersecurity Schema Framework, l’industrie unit ses forces pour soulager les équipes de sécurité de l’effort de collecte et de normalisation des données, et lui permettre de se concentrer sur l’analyse. Comparable à STIX/TAXII qui encadre la threat intelligence et au framework MITRE ATT&CK qui catégorise les tactiques, OCSF simplifie la tâche de détection et d’investigation des menaces pour les équipes de sécurité du monde entier. Nous pensons que le moment est venu et OCSF est le véhicule idéal pour favoriser l’unification des données d’événements de sécurité au profit de toutes les équipes et organisations de cybersécurité.
Pour en savoir plus sur la version publique d’OCSF, consultez le communiqué de presse d’annonce à Black Hat 2022. Cliquez ici pour savoir comment participer au projet OCSF.
*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.
