À l’occasion de Black Hat 2022, AWS s’unissait à IBM et Splunk pour lancer l’initiative OCSF (Open Cybersecurity Schema Framework). Un an plus tard, l’OCSF lance son nouveau schéma de sécurité agnostique concrétisant sa promesse d’unifier la représentation des évènements de cybersécurité et de briser les silos avec un langage commin pour les SOCs…

Porté par 17 acteurs de la cybersécurité, le framework ouvert OCSF dérive des travaux réalisés par Symantec pour normaliser les sources de données de cybersécurité au travers de son initiative ICD. L’OCSF veille à définir en open source une taxonomie normalisée et indépendante des éditeurs pour simplifier l’ingestion et l’analyse des données de cybersécurité d’où qu’elles proviennent.

Un an après sa création, l’OCSF annonce la disponibilité générale (la GA) de son schéma de sécurité agnostique visant à briser les silos de données cyber et à standardiser les évènements cyber. Les solutions de sécurité s’appuyant sur ce schéma OCSF produisent des données dans un format cohérent et indépendant, permettant aux équipes de gagner du temps dans la normalisation des données pour simplifier et accélérer le temps d’ingestion des informations et de détection des menaces. Le Schéma OCSF est en quelque sorte un langage commun pour tous les SOC normalisant les logs, les évènements et les alertes.

Le schéma OCSF poursuit un objectif sensiblement différent du format STIX. Si le second se focalise sur la représentation des renseignements sur les menaces, le premier se concentre sur la représentation des évènements de cybersécurité dans leur ensemble (liés aux menaces, failles, erreurs, etc.)

Par ailleurs, l’OCSF annonce avoir considérablement pris de l’ampleur. Aux 17 membres fondateurs (AWS, Splunk, Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium , Trend Micro et Zscaler) sont venus s’ajouter 145 organisations et 435 contributeurs individuels.

Paul Agbabian, vice-président de la technologie de sécurité chez Splunk, explique ce succès en rappelant que « I’OCSF élimine un obstacle majeur à l’échange de données qui freine l’industrie de la sécurité depuis des années. Il libère les équipes de sécurité et les fournisseurs d’analyse de la lourdeur de la normalisation des données. »

Un an après sa création, l’OCSF concrétise donc ses promesses et s’affirme un peu plus comme une initiative déterminante dans la standardisation et l’amélioration des processus de cybersécurité, tout en encourageant la collaboration et la transparence dans le secteur. Reste à savoir si les deux grands absents de cette coalition, Google et Microsoft, finiront également par la rejoindre…

 

À lire également :

AWS et Splunk lancent OCSF, un framework de sécurité ouvert et universel

SentinelOne s’interface avec Amazon Security Lake

ExtraHop s’intègre avec Splunk pour alléger la tâche des SOC

Wallix rejoint l’initiative européenne OPEN XDR PLATFORM