Open Cybersecurity Schema Framework ou mieux connu sous son acronyme «OCSF» est un nouveau projet qui est né de la main d'AWS et de Splunk. Ce nouveau cadre est dans une technologie logiciel open source existant connu sous le nom d'ICD Schema, qui à son tour a été créé par l'unité de cybersécurité Symantec de Broadcom.
Le projet OCSF a été présenté à Black Hat USA 2022 et son objectif principal est d'aider les organisations à détecter, enquêter et arrêter les cyberattaques plus rapidement et plus efficacement.
OCSF comprend les contributions de 15 membres initiaux y compris Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro et Zscaler. Tous les membres de la communauté de la cybersécurité sont invités à utiliser et à contribuer à l'OCSF.
Dans l'environnement de sécurité en constante évolution d'aujourd'hui, les professionnels de la sécurité doivent continuellement surveiller, détecter, répondre et atténuer les problèmes de sécurité existants et nouveaux. Pour ce faire, les équipes de sécurité doivent être en mesure d'analyser les données de journalisation et de télémétrie pertinentes pour la sécurité à l'aide de plusieurs outils, technologies et fournisseurs. La nature complexe et hétérogène de cette tâche augmente les coûts et peut ralentir les temps de détection et de réponse. Notre mission est d'innover pour le compte de nos clients afin qu'ils puissent plus rapidement analyser et protéger leur environnement lorsque le besoin s'en fait sentir.
Avec cet objectif à l'esprit, en collaboration avec plusieurs organisations partenaires, nous sommes heureux d'annoncer le lancement du projet Open Cybersecurity Schema Framework (OCSF), qui comprend une spécification ouverte pour la normalisation de la télémétrie de sécurité sur une large gamme de produits et services de sécurité. sécurité, ainsi que des outils open source qui prennent en charge et accélèrent l'utilisation du schéma OCSF.
À propos de l'OCSF
OCSF est une norme ouverte qui peut être adopté dans n'importe quel environnement, application ou fournisseur de solutions et est conforme aux normes et processus de sécurité existants. À mesure que les fournisseurs de solutions de cybersécurité intègrent les normes OCSF dans leurs produits, la normalisation des données de sécurité deviendra plus simple et moins contraignante pour les équipes de sécurité.
L'adoption d'OCSF permettra aux équipes de sécurité de se concentrer davantage sur l'analyse des données, l'identification des menaces et la défense de leurs organisations contre les cyberattaques.
OCSF cherche à aider les organisations à répondre aux cyberattaques plus efficacement en simplifiant l'un des aspects les plus compliqués de la tâche : la gestion des données. En particulier, le projet vise à rationaliser le processus de traitement des données sur les cyberattaques.
Les organisations utilisent souvent non pas un, mais plusieurs outils de cybersécurité pour détecter les activités malveillantes sur leurs réseaux. Il est souvent avantageux de partager des données entre ces outils. Par exemple, si une équipe de cybersécurité utilise deux applications distinctes pour enquêter sur des tentatives de piratage, elle peut souhaiter partager des informations techniques sur l'activité malveillante du réseau entre ces deux applications.
Données en cours de déplacement d'un outil de cybersécurité à un autre souvent nécessite un travail manuel important. La raison en est que différents outils stockent fréquemment des données dans différents formats. Par conséquent, lorsqu'un ensemble de données est déplacé entre des outils de cybersécurité, les administrateurs doivent modifier manuellement le format de l'ensemble de données.
OCSF vise à simplifier la tâche. Selon les porteurs du projet, est conçu pour fournir une norme open source commune pour organiser les informations de cybersécurité. Si deux outils de cybersécurité stockent des données dans le même format, les administrateurs peuvent déplacer des données entre eux sans avoir à les modifier manuellement au préalable, ce qui permet de gagner du temps.
Changer le format d'un ensemble de données nécessite souvent des outils logiciels spécialisés. Étant donné que le processus peut impliquer une quantité importante de travail manuel, il existe également un risque d'erreur humaine.
OCSF fournit une manière standardisée de décrire une tentative de piratage, car il spécifie les points de données qu'un outil de cybersécurité doit fournir sur une tentative de piratage, ainsi que la façon dont ces points de données doivent être formatés. Les organisations peuvent éventuellement personnaliser OCSF si leurs exigences s'étendent au-delà de l'ensemble de fonctionnalités de base du cadre.
Enfin si vous souhaitez en savoir plus, vous devez savoir que les sponsors du projet OCSF ont publié le code cadre sur GitHub sous une licence open source.