BLOG

Habilitación de SDN para compartir amenazas de ISP

Miniatura F5
F5
Publicado el 30 de agosto de 2018

Blog invitado del director ejecutivo de TAG Cyber LLC , una empresa global de asesoramiento, capacitación, consultoría y servicios de medios en materia de ciberseguridad que apoya a cientos de empresas en todo el mundo.

Una creencia ampliamente aceptada en nuestra comunidad de seguridad es que compartir información de alta calidad sobre amenazas cibernéticas beneficia a los equipos encargados de las operaciones, el análisis y la respuesta. Este beneficio exige, por supuesto, que la distribución de riesgos sea verdaderamente de alta calidad. Afortunadamente, hoy en día existen buenas plataformas comerciales que facilitan la carga de establecer, operar y dirigir un grupo exitoso de intercambio de amenazas. Por lo tanto, existen pocas excusas para los equipos de seguridad que actualmente no comparten datos.

Otra creencia común en nuestra comunidad es que los ataques cibernéticos son cada vez más rápidos, más inteligentes y más esquivos. Estos atributos de ataque se logran utilizando una dosis de nuestra propia tecnología financiada por Sand Hill Road: Automatización, aprendizaje automático y autonomía. Los llamados ataques sintéticos resultantes son demasiado rápidos y esquivos para cualquier respuesta manual coordinada por humanos, y esta es una perspectiva aterradora para los equipos de seguridad.

F5 Networks, en conjunto con TAG Cyber, encargó recientemente un grupo de trabajo durante F5 Agility 2018 En Boston, se examinarán estas dos consideraciones ( el intercambio de información sobre amenazas y los delitos cibernéticos sintéticos ) en el contexto de un factor adicional: Es decir, se le pidió al grupo de trabajo que realizara su examen con respecto a una tendencia tecnológica emergente que podría ofrecer beneficios prometedores a los equipos de seguridad: Redes definidas por software (SDN).[1]

El grupo de trabajo, que estuvo compuesto por participantes de la industria invitados principalmente de la comunidad global de proveedores de servicios[2] – fue invitado así a dedicar su tiempo a discutir, debatir y centrarse en la siguiente cuestión fundamental: ¿Puede la nueva infraestructura de proveedores de servicios habilitada para SDN proporcionar una plataforma colectiva subyacente para el intercambio automatizado de información sobre amenazas cibernéticas entre operadores globales para reducir el riesgo de ataques sintéticos?

Para abordar esta cuestión multifacética, el grupo de trabajo identificó tres preguntas más específicas que organizarían y centrarían los debates y que ayudarían a producir una respuesta global:

· SDN para seguridad : ¿Cuáles son los pros y contras relevantes de SDN para la ciberseguridad?

· Mejora del uso compartido de ISP : ¿Qué estrategias se pueden seguir para mejorar el uso compartido general de ISP?

· Requisitos funcionales : ¿Qué características de la plataforma admiten el uso compartido habilitado para SDN?

Durante la actividad del grupo de trabajo se plantearon muchos otros temas relevantes, pero estas tres preguntas específicas parecieron funcionar bien para producir la conclusión de que la infraestructura SDN, de hecho, proporciona una base excelente sobre la cual permitir el intercambio automatizado de información sobre amenazas entre operadores. De hecho, el grupo de trabajo acordó este principio básico: Para detener ataques sintéticos automatizados, los proveedores de servicios necesitarán confiar en defensas automatizadas.

SDN para seguridad

La primera pregunta se centró en cómo SDN puede proporcionar una base eficaz para la seguridad, frente a cómo SDN en sí mismo podría protegerse (un tema que se considera fuera del alcance de este esfuerzo). Con ese fin, los participantes ofrecieron sus puntos de vista sobre los siguientes aspectos de SDN que fueron designados como adecuados para el intercambio dinámico y automatizado de información sobre amenazas entre múltiples implementaciones de infraestructura de proveedores de servicios:

  • Visibilidad del controlador : el controlador SDN tiene visibilidad centralizada sobre todos los dispositivos administrados. Esta visibilidad permitió la automatización de toda la ingesta, el manejo y la entrega de telemetría desde dispositivos administrados para compartir externamente. Esto podría hacerse de forma nativa mediante el controlador utilizando su visibilidad en la interfaz hacia el sur, o mediante sensores especialmente implementados que trabajen con una aplicação SDN en la interfaz hacia el norte.
  • Soporte para fallas rápidas : la automatización de la función de compartir requerirá la capacidad de innovar nuevas capacidades y características; para tal fin, la infraestructura habilitada por software admite la rápida introducción de características que podrían tener éxito o que podrían soportar fallas rápidas (que se identificarían y reemplazarían rápidamente). De esta forma, la orientación al software de SDN admite un entorno más flexible para crear una nueva capacidad.
  • Potencial de autodefensa : el grupo de trabajo dedicó un tiempo considerable a las perspectivas de que el software desarrolle capacidad de autodefensa. Este parece ser un componente esencial de cualquier defensa de seguridad que tenga que lidiar con la velocidad y el alcance de los ataques sintéticos automatizados. La detección dinámica de indicadores seguida de una respuesta autocontrolada será un requisito para el soporte de SDN para compartir.

Mejorar el uso compartido de ISP

La segunda pregunta se centró en cómo los ISP globales podrían mejorar en general el intercambio actual de información sobre amenazas. Se llevó a cabo un amplio debate comparativo y contrastante acerca de los métodos relativos utilizados dentro de la comunidad de proveedores de servicios frente a los procedimientos y métodos de intercambio de alto perfil utilizados en el sector de servicios financieros.[3] El grupo de trabajo identificó las siguientes sugerencias para mejorar el intercambio, en el contexto de las nuevas SDN:

  • Grupos y asociaciones: muchas de las mejores iniciativas de compartición de amenazas en la comunidad global de ISP han tendido a surgir de grupos de trabajo ad hoc o de asociaciones multilaterales entre operadores para resolver un problema determinado mediante el intercambio. Esto sugiere que la habilitación de SDN para el uso compartido automatizado necesitará soporte para la creación de comunidades, acuerdos temporales y grupos de confianza dinámicos.
  • Inclusión de cooperativas de proveedores: la comunidad de ISP, al igual que el sector de servicios financieros, incluye cientos de pequeños proveedores de servicios y vendedores de servicios de comunicaciones. Estas cooperativas más pequeñas requerirán soporte funcional para compartir de forma automatizada a través de sus proveedores o relaciones basadas en la nube, como servicio. Se les podría incorporar a grupos de intercambio automatizado a través de diversos incentivos financieros o de productos.
  • Normas para el intercambio global: el intercambio de información sobre amenazas entre un grupo significativo de operadores globales diversos no puede regirse por una política común. Más bien, cualquier iniciativa de uso compartido automatizado requerirá un acuerdo basado en normas, en el que la mayoría de los operadores decidan voluntariamente incluir fuentes de entrada y salida en un ecosistema de uso compartido común.

Requisitos funcionales

La tercera pregunta se centró en identificar los requisitos funcionales para las plataformas SDN y las soluciones de los proveedores que respaldarían el intercambio automatizado de información sobre amenazas entre operadores. Hubo acuerdo en el grupo de trabajo respecto de que los proveedores están motivados a servir a sus clientes y responderán mejor si los grupos de usuarios organizan sus necesidades en estándares de trabajo. Las principales características funcionales identificadas para el uso compartido habilitado por SDN son las siguientes:

  • Arquitectura de bus de amenazas : el grupo de trabajo creó un concepto denominado bus de amenazas, que sirvió como destino funcional abstracto para la información compartida sobre amenazas. El bus de amenazas tendría que manejar y proteger la información adecuadamente y tendría que respetar atributos como grados de atribución, niveles de confianza, etc. Se necesitaría trabajo posterior para especificar cómo funcionaría la implementación del bus.
  • Protocolos e interfaces estándar : el grupo de trabajo decidió que los protocolos de intercambio de amenazas basados en estándares eran esenciales para el correcto funcionamiento de cualquier ecosistema automatizado. Los conocidos protocolos STIX y TAXII se utilizaron como estándares ejemplares para su inclusión en diseños SDN emergentes. Si bien nada en SDN debería impedir dicho trabajo, este no ha sido un enfoque explícito en ningún trabajo de SDN del que el grupo haya tenido conocimiento hasta la fecha.
  • Soporte basado en casos de uso : el grupo de trabajo insistió en que los diseños funcionales debían estar basados en casos de uso. Esto respalda un método de gatear-caminar-correr para introducir el uso compartido automatizado. Un caso de uso analizado involucraba a diferentes operadores que se alertaban entre sí, de manera automática, si un ataque detectado parecía tener su origen en la infraestructura del otro operador.

Los siguientes pasos recomendados por el equipo de trabajo fueron los siguientes: (1) Publicar este artículo del debate grupal para ayudar a otros esfuerzos relacionados en su proceso de planificación; (2) Llevar a cada organización constituyente los resultados del estudio para fomentar ideas para compartir basado en SDN e influir en la actividad de normalización, y (3) Participar en debates con la comunidad de proveedores para recomendar que se preste más atención a esta área vital.

La conclusión de este grupo de trabajo es fácil de enunciar: Es decir, los miembros acordaron uniformemente que, de hecho, la nueva infraestructura de proveedores de servicios habilitada para SDN puede proporcionar una plataforma colectiva subyacente para el intercambio automatizado de información sobre amenazas cibernéticas entre operadores globales para reducir el riesgo de ataques sintéticos. Llegar a tal conclusión fue una perspectiva emocionante para el equipo, dada la intensidad acordada de los ataques sintéticos automatizados.

Preparado por TAG Cyber LLC: https://www.tag-cyber.com/

 

[1] Los lectores que deseen un análisis exhaustivo de los fundamentos de las redes definidas por software (SDN) pueden consultar Software Defined Networks – A Comprehensive Approach , de Paul Goransson y Chuck Black (Morgan Kaufman, 2014).

[2] Para respetar la privacidad de los participantes y sus organizaciones, esta nota sólo se refiere en conjunto a las conclusiones y recomendaciones hechas durante la sesión del grupo de trabajo, en lugar de a los nombres de los expertos o grupos representados en el estudio. Los participantes tuvieron la oportunidad de revisar y sugerir modificaciones a esta nota, pero cualquier error restante es responsabilidad del autor.

[3] Una de las principales conclusiones a las que llegó el grupo de trabajo es que el sector de servicios financieros es el que realiza el trabajo más eficaz de todos los sectores a la hora de promocionar públicamente sus herramientas, métodos y ecosistema FS-ISAC para compartir amenazas.