Activation du partage des menaces des FAI par SDN

Blog invité du PDG de TAG Cyber LLC , une société mondiale de conseil, de formation, de conseil et de services médiatiques en matière de cybersécurité qui soutient des centaines d'entreprises à travers le monde.

Une croyance largement répandue au sein de notre communauté de sécurité est que le partage d’informations de haute qualité sur les cybermenaces profite aux équipes chargées des opérations, de l’analyse et de la réponse. Un tel bénéfice exige bien sûr que le partage des menaces soit véritablement de haute qualité. Heureusement, il existe aujourd’hui de bonnes plateformes commerciales permettant d’alléger le fardeau de la création, de l’exploitation et de la gestion d’un groupe de partage des menaces performant. Il existe donc peu d’excuses pour les équipes de sécurité qui ne partagent pas actuellement leurs données.

Une croyance supplémentaire largement répandue dans notre communauté est que les cyberexploits deviennent plus rapides, plus intelligents et plus insaisissables. Ces attributs d’attaque sont obtenus en utilisant une dose de notre propre technologie financée par Sand Hill Road : Automatisation, apprentissage automatique et autonomie. Les attaques dites synthétiques qui en résultent sont trop rapides et trop insaisissables pour une réponse manuelle coordonnée par l’homme – et c’est une perspective effrayante pour les équipes de sécurité.

F5 Networks, en collaboration avec TAG Cyber, a récemment mis en place un groupe de travail lors de F5 Agility 2018 à Boston pour examiner ces deux considérations – le partage d’informations sur les menaces et les cyberattaques synthétiques – dans le contexte d’un facteur supplémentaire : Autrement dit, le groupe de travail a été chargé de mener son examen par rapport à une tendance technologique émergente qui pourrait offrir des avantages prometteurs aux équipes de sécurité : Réseau défini par logiciel (SDN).^[1]

Le groupe de travail – qui était composé de participants de l’industrie invités en grande partie de la communauté mondiale des fournisseurs de services^[2] – a ainsi été invité à consacrer son temps à discuter, à débattre et à se concentrer sur la question fondamentale suivante : L’infrastructure émergente des fournisseurs de services compatibles SDN peut-elle fournir une plate-forme collective sous-jacente pour le partage automatisé d’informations sur les cybermenaces entre les opérateurs mondiaux afin de réduire le risque d’attaque synthétique ?

Pour répondre à cette question à plusieurs volets, le groupe de travail a identifié trois questions plus ciblées qui organiseraient et orienteraient les discussions et qui aideraient à produire une réponse globale :

· SDN pour la sécurité – Quels sont les avantages et les inconvénients du SDN pour la cybersécurité ?

· Partage ISP amélioré – Quelles stratégies peuvent être suivies pour améliorer le partage ISP global ?

· Exigences fonctionnelles – Quelles fonctionnalités de la plateforme prennent en charge le partage compatible SDN ?

De nombreux autres sujets pertinents ont été soulevés au cours de l’activité du groupe de travail, mais ces trois questions ciblées semblent bien fonctionner pour produire la conclusion selon laquelle l’infrastructure SDN fournit en fait une excellente base sur laquelle permettre le partage automatisé d’informations sur les menaces entre les opérateurs. En fait, le groupe de travail s’est mis d’accord sur ce principe de base : Pour arrêter les attaques automatisées et synthétiques, les fournisseurs de services devront s’appuyer sur des défenses automatisées.

SDN pour la sécurité

La première question portait sur la manière dont le SDN peut fournir une base efficace pour la sécurité – par rapport à la manière dont le SDN lui-même pourrait être sécurisé (un sujet considéré comme hors du cadre de cet effort). À cette fin, les participants ont donné leur avis sur les aspects suivants du SDN qui ont été désignés comme bien adaptés au partage dynamique et automatisé d’informations sur les menaces entre plusieurs déploiements d’infrastructures de fournisseurs de services :

• Visibilité du contrôleur – Le contrôleur SDN dispose d’une visibilité centralisée sur tous les appareils gérés. Cette visibilité a permis d’automatiser l’ensemble de l’ingestion, de la gestion et de la livraison de la télémétrie à partir des appareils gérés pour le partage en externe. Cela pourrait être réalisé de manière native par le contrôleur en utilisant sa visibilité sur l'interface sud, ou par des capteurs spécialement déployés fonctionnant avec une application SDN sur l'interface nord.
• Prise en charge des pannes rapides – L’automatisation de la fonction de partage nécessitera la capacité d’innover en proposant de nouvelles capacités et fonctionnalités ; à cette fin, l’infrastructure logicielle prend en charge l’introduction rapide de fonctionnalités susceptibles de réussir ou de prendre en charge des pannes rapides (à identifier et à remplacer rapidement). Ainsi, l’orientation logicielle du SDN prend en charge un environnement plus flexible pour créer une nouvelle capacité.
• Potentiel d’autodéfense – Le groupe de travail a consacré beaucoup de temps aux perspectives des logiciels permettant de développer des capacités d’autodéfense. Cela semble être un élément essentiel de toute défense de sécurité qui devra faire face à la vitesse et à la portée des attaques synthétiques automatisées. La détection dynamique des indicateurs suivie d'une réponse auto-contrôlée sera une exigence pour la prise en charge du partage par SDN.

Améliorer le partage des FAI

La deuxième question portait sur la manière dont les FAI mondiaux pourraient généralement améliorer le partage actuel des informations sur les menaces. De nombreuses discussions comparatives ont eu lieu concernant les méthodes relatives utilisées au sein de la communauté des prestataires de services par rapport aux procédures et méthodes de partage de haut niveau utilisées dans le secteur des services financiers.^[3] Le groupe de travail a ainsi identifié les suggestions suivantes pour un meilleur partage – dans le contexte de l’émergence du SDN :

• Groupes et partenariats – La plupart des meilleures initiatives de partage des menaces au sein de la communauté mondiale des FAI ont tendance à émerger soit de groupes de travail ad hoc, soit de partenariats multilatéraux entre opérateurs pour résoudre un problème donné par le partage. Cela suggère que l’activation du partage automatisé par SDN nécessitera la prise en charge de la création de communautés, d’accords temporaires et de groupes de confiance dynamiques.
• Inclusion des coopératives de fournisseurs – La communauté des FAI – comme le secteur des services financiers – comprend plusieurs centaines de petits fournisseurs de services et de services de communication. Ces coopératives plus petites auront besoin d'un support fonctionnel pour le partage automatisé via leurs relations avec leurs fournisseurs ou basées sur le cloud, en tant que service. Ils pourraient être intégrés à des groupes de partage automatisés grâce à diverses incitations financières ou en matière de produits.
• Normes de partage mondial – Le partage d’informations sur les menaces entre différents opérateurs mondiaux ne peut pas être régi par une politique unique et universellement appliquée. Au contraire, toute initiative de partage automatisé nécessitera un accord basé sur des normes, dans lequel la plupart des opérateurs décident volontairement d’inclure les flux de sortie et d’entrée dans un écosystème de partage commun.

Exigences fonctionnelles

La troisième question portait sur l’identification des exigences fonctionnelles des plateformes SDN et des solutions des fournisseurs qui prendraient en charge le partage automatisé des informations sur les menaces entre les opérateurs. Le groupe de travail s’est accordé sur le fait que les fournisseurs sont motivés à servir leurs clients et qu’ils répondront mieux si les groupes d’utilisateurs organisent leurs besoins en normes de travail. Les principales fonctionnalités fonctionnelles identifiées pour le partage activé par SDN sont les suivantes :

• Architecture du bus des menaces – Le groupe de travail a créé un concept de bus des menaces, qui servait de destination fonctionnelle abstraite pour les informations partagées sur les menaces. Le bus des menaces devrait gérer et protéger les informations correctement et devrait respecter des attributs tels que les degrés d’attribution, les niveaux de confiance, etc. Des travaux ultérieurs seraient nécessaires pour préciser comment fonctionnerait l’implémentation du bus.
• Protocoles et interfaces standard – Le groupe de travail a décidé que les protocoles de partage des menaces basés sur des normes étaient essentiels au bon fonctionnement de tout écosystème automatisé. Les protocoles bien connus STIX et TAXII ont été utilisés comme normes exemplaires pour être inclus dans les conceptions SDN émergentes. Bien que rien dans SDN ne doive empêcher un tel travail, cela n’a pas été un objectif explicite dans aucun travail SDN dont le groupe avait connaissance à ce jour.
• Prise en charge axée sur les cas d’utilisation – Le groupe de travail a insisté sur le fait que les conceptions fonctionnelles doivent être axées sur les cas d’utilisation. Cela prend en charge une méthode de type « crawl-walk-run » pour introduire le partage automatisé. Un cas d’utilisation évoqué impliquait que différents opérateurs s’alertent mutuellement – de manière automatisée – si une attaque détectée semblait provenir de l’infrastructure de l’autre opérateur.

Les prochaines étapes recommandées par l’équipe de travail sont les suivantes : (1) Publier cet article issu de la discussion de groupe pour aider d'autres efforts connexes dans leur processus de planification ; (2) Rapporter à chaque organisation constituante les résultats de l'étude pour favoriser les idées de partage basé sur SDN et influencer l'activité de normalisation, et (3) Engager des discussions avec la communauté des fournisseurs pour recommander une plus grande attention à ce domaine vital.

La conclusion de ce groupe de travail est facile à énoncer : Autrement dit, les membres ont convenu à l’unanimité que, en fait, l’infrastructure émergente des fournisseurs de services compatibles SDN peut fournir une plate-forme collective sous-jacente pour le partage automatisé d’informations sur les cybermenaces entre les opérateurs mondiaux afin de réduire le risque d’attaque synthétique. Arriver à une telle conclusion était une perspective passionnante pour l’équipe, étant donné l’intensité convenue des attaques synthétiques automatisées.

Préparé par TAG Cyber LLC : https://www.tag-cyber.com/

[1] Les lecteurs souhaitant un examen approfondi des principes fondamentaux des réseaux définis par logiciel (SDN) sont dirigés vers Software Defined Networks – A Comprehensive Approach , de Paul Goransson et Chuck Black (Morgan Kaufman, 2014).

[2] Afin de respecter la vie privée des participants et de leurs organisations, cette note ne fait référence qu’à l’ensemble des conclusions et recommandations formulées au cours de la séance du groupe de travail, plutôt qu’aux noms des experts ou des groupes représentés dans l’étude. Les participants ont eu l’occasion de relire et de suggérer des modifications à cette note – mais toute erreur restante relève de la responsabilité de l’auteur.

[3] L’une des principales conclusions tirées par le groupe de travail est que le secteur des services financiers est celui qui fait le travail le plus efficace de tous les secteurs pour commercialiser publiquement ses outils, méthodes de partage des menaces et son écosystème FS-ISAC.