OCSF : vers un langage commun pour l’analyse d’événements de sécurité ?

Verra-t-on émerger, avec l’OCSF, un langage commun pour l’échange d’informations entre produits et services de cybersécurité ? IBM veut croire que le projet, officiellement ouvert au public ce mois-ci, réunit la « masse critique » nécessaire.

Le groupe américain n’en est effectivement pas le seul soutien déclaré. Ils sont près d’une vingtaine dans la boucle. Avec AWS et Splunk en cofondateurs. Et, parmi les participants, des poids lourds tels que Broadcom, Cloudflare, Salesforce, Trend Micro et Zscaler.

La présence de Broadcom se justifie d’autant plus que l’entreprise a repris les activités B2B de Symantec. Et que ce dernier a fourni la brique de base de l’OCSF. À savoir son schéma ICD (Integrated Cyber Defense).

L’OCSF (Open Cybersecurity Schema Framework) a repris ce schéma, l’a rendu extensible et l’a publié sous licence Apache 2. La promesse : les produits et les services qui s’y connecteront généreront des logs et des alertes normalisés.

Associant une taxonomie, des structures de données et un dictionnaire d’attributs, le framework permet de développer d’autres schémas que celui livré. Il a donc une visée plus large que la cybersécurité… qui reste toutefois pour l’heure son principal terrain d’action.

Trend Micro, comme Crowdstrike, établit le parallèle avec STIX/TAXII dans le domaine du renseignement sur les menaces et avec MITRE ATT&CK pour la classification des tactiques d’attaque. IBM cite aussi OSSEM et la taxonomie Sigma… en soulignant qu’aucun n’a été largement adopté.

Certains membres du consortium ont annoncé une feuille de route pour l’intégration de l’OCSF. AWS prévoit notamment de l’intégrer dans ses produits GuardDuty, Inspector et Security Hub. Rapid7 précise quant à lui qu’il compte faire la connexion avec son offre InsightIDR (SIEM + XDR).