Blog invitado del director ejecutivo de TAG Cyber LLC , una empresa global de asesoramiento, capacitación, consultoría y servicios de medios en materia de ciberseguridad que apoya a cientos de empresas en todo el mundo.
Una creencia ampliamente aceptada en nuestra comunidad de seguridad es que compartir información de alta calidad sobre amenazas cibernéticas beneficia a los equipos encargados de las operaciones, el análisis y la respuesta. Este beneficio exige, por supuesto, que la distribución de riesgos sea verdaderamente de alta calidad. Afortunadamente, hoy en día existen buenas plataformas comerciales que facilitan la carga de establecer, operar y dirigir un grupo exitoso de intercambio de amenazas. Por lo tanto, existen pocas excusas para los equipos de seguridad que actualmente no comparten datos.
Otra creencia común en nuestra comunidad es que los ataques cibernéticos son cada vez más rápidos, más inteligentes y más esquivos. Estos atributos de ataque se logran utilizando una dosis de nuestra propia tecnología financiada por Sand Hill Road: Automatización, aprendizaje automático y autonomía. Los llamados ataques sintéticos resultantes son demasiado rápidos y esquivos para cualquier respuesta manual coordinada por humanos, y esta es una perspectiva aterradora para los equipos de seguridad.
F5 Networks, en conjunto con TAG Cyber, encargó recientemente un grupo de trabajo durante F5 Agility 2018 En Boston, se examinarán estas dos consideraciones ( el intercambio de información sobre amenazas y los delitos cibernéticos sintéticos ) en el contexto de un factor adicional: Es decir, se le pidió al grupo de trabajo que realizara su examen con respecto a una tendencia tecnológica emergente que podría ofrecer beneficios prometedores a los equipos de seguridad: Redes definidas por software (SDN).[1]
El grupo de trabajo, que estuvo compuesto por participantes de la industria invitados principalmente de la comunidad global de proveedores de servicios[2] – fue invitado así a dedicar su tiempo a discutir, debatir y centrarse en la siguiente cuestión fundamental: ¿Puede la nueva infraestructura de proveedores de servicios habilitada para SDN proporcionar una plataforma colectiva subyacente para el intercambio automatizado de información sobre amenazas cibernéticas entre operadores globales para reducir el riesgo de ataques sintéticos?
Para abordar esta cuestión multifacética, el grupo de trabajo identificó tres preguntas más específicas que organizarían y centrarían los debates y que ayudarían a producir una respuesta global:
· SDN para seguridad : ¿Cuáles son los pros y contras relevantes de SDN para la ciberseguridad?
· Mejora del uso compartido de ISP : ¿Qué estrategias se pueden seguir para mejorar el uso compartido general de ISP?
· Requisitos funcionales : ¿Qué características de la plataforma admiten el uso compartido habilitado para SDN?
Durante la actividad del grupo de trabajo se plantearon muchos otros temas relevantes, pero estas tres preguntas específicas parecieron funcionar bien para producir la conclusión de que la infraestructura SDN, de hecho, proporciona una base excelente sobre la cual permitir el intercambio automatizado de información sobre amenazas entre operadores. De hecho, el grupo de trabajo acordó este principio básico: Para detener ataques sintéticos automatizados, los proveedores de servicios necesitarán confiar en defensas automatizadas.
La primera pregunta se centró en cómo SDN puede proporcionar una base eficaz para la seguridad, frente a cómo SDN en sí mismo podría protegerse (un tema que se considera fuera del alcance de este esfuerzo). Con ese fin, los participantes ofrecieron sus puntos de vista sobre los siguientes aspectos de SDN que fueron designados como adecuados para el intercambio dinámico y automatizado de información sobre amenazas entre múltiples implementaciones de infraestructura de proveedores de servicios:
La segunda pregunta se centró en cómo los ISP globales podrían mejorar en general el intercambio actual de información sobre amenazas. Se llevó a cabo un amplio debate comparativo y contrastante acerca de los métodos relativos utilizados dentro de la comunidad de proveedores de servicios frente a los procedimientos y métodos de intercambio de alto perfil utilizados en el sector de servicios financieros.[3] El grupo de trabajo identificó las siguientes sugerencias para mejorar el intercambio, en el contexto de las nuevas SDN:
La tercera pregunta se centró en identificar los requisitos funcionales para las plataformas SDN y las soluciones de los proveedores que respaldarían el intercambio automatizado de información sobre amenazas entre operadores. Hubo acuerdo en el grupo de trabajo respecto de que los proveedores están motivados a servir a sus clientes y responderán mejor si los grupos de usuarios organizan sus necesidades en estándares de trabajo. Las principales características funcionales identificadas para el uso compartido habilitado por SDN son las siguientes:
Los siguientes pasos recomendados por el equipo de trabajo fueron los siguientes: (1) Publicar este artículo del debate grupal para ayudar a otros esfuerzos relacionados en su proceso de planificación; (2) Llevar a cada organización constituyente los resultados del estudio para fomentar ideas para compartir basado en SDN e influir en la actividad de normalización, y (3) Participar en debates con la comunidad de proveedores para recomendar que se preste más atención a esta área vital.
La conclusión de este grupo de trabajo es fácil de enunciar: Es decir, los miembros acordaron uniformemente que, de hecho, la nueva infraestructura de proveedores de servicios habilitada para SDN puede proporcionar una plataforma colectiva subyacente para el intercambio automatizado de información sobre amenazas cibernéticas entre operadores globales para reducir el riesgo de ataques sintéticos. Llegar a tal conclusión fue una perspectiva emocionante para el equipo, dada la intensidad acordada de los ataques sintéticos automatizados.
Preparado por TAG Cyber LLC: https://www.tag-cyber.com/
[1] Los lectores que deseen un análisis exhaustivo de los fundamentos de las redes definidas por software (SDN) pueden consultar Software Defined Networks – A Comprehensive Approach , de Paul Goransson y Chuck Black (Morgan Kaufman, 2014).
[2] Para respetar la privacidad de los participantes y sus organizaciones, esta nota sólo se refiere en conjunto a las conclusiones y recomendaciones hechas durante la sesión del grupo de trabajo, en lugar de a los nombres de los expertos o grupos representados en el estudio. Los participantes tuvieron la oportunidad de revisar y sugerir modificaciones a esta nota, pero cualquier error restante es responsabilidad del autor.
[3] Una de las principales conclusiones a las que llegó el grupo de trabajo es que el sector de servicios financieros es el que realiza el trabajo más eficaz de todos los sectores a la hora de promocionar públicamente sus herramientas, métodos y ecosistema FS-ISAC para compartir amenazas.