ブログ

SDN による ISP 脅威共有の実現

F5 サムネイル
F5
2018年8月30日公開

世界中の何百もの企業をサポートするグローバルなサイバー セキュリティ アドバイザリ、トレーニング、コンサルティング、メディア サービス企業である TAG Cyber LLC の最高経営責任者によるゲスト ブログです。

セキュリティ コミュニティ全体で広く信じられているのは、高品質のサイバー脅威情報の共有は、運用、分析、対応を担当するチームに利益をもたらすということです。 もちろん、このような利益を得るには、脅威の共有が本当に高品質であることが求められます。 幸いなことに、脅威共有グループの設定、運用、運営の負担を軽減する優れた商用プラットフォームが今日では利用可能です。 したがって、現在データを共有していないセキュリティ チームには、言い訳の余地はほとんどありません。

私たちのコミュニティで共通して信じられているもう 1 つの考えは、サイバー攻撃はより高速かつインテリジェントになり、より捕捉が困難になっているということです。 このような攻撃属性は、Sand Hill Road が資金提供した独自のテクノロジーを使用して実現されています。 自動化、機械学習、自律性。 その結果生じるいわゆる合成攻撃は、人間が手動で調整した対応では対応しきれないほど高速かつ捕捉が困難であり、セキュリティ チームにとっては恐ろしい見通しです。

F5ネットワークスは、TAGサイバーと共同で、 F5アジリティ2018中に最近のワーキンググループを委託しました。 ボストンでは、脅威情報の共有合成サイバー攻撃という2つの考慮事項を、追加要素の観点から検討します。 つまり、ワーキング グループには、セキュリティ チームに有望なメリットをもたらす可能性のある新しいテクノロジ トレンドに関する調査を実施するよう依頼されました。 ソフトウェア定義ネットワーク(SDN)。[1]

ワーキンググループは、主に世界のサービスプロバイダーコミュニティから招待された業界関係者で構成されていました。[2] – そこで、次の基本的な質問について議論し、討論し、焦点を当てることに時間を費やすよう求められました。 新興の SDN 対応サービス プロバイダー インフラストラクチャは、合成攻撃のリスクを軽減するために、世界中の通信事業者間でサイバー脅威情報を自動化して共有するための基盤となる集合プラットフォームを提供できるでしょうか?

この多面的な疑問に対処するために、ワーキンググループは、議論を整理して焦点を絞り、総合的な回答を生み出すのに役立つ、より焦点を絞った 3 つの質問を特定しました。

·セキュリティのための SDN – サイバー セキュリティにおける SDN の長所と短所は何ですか?

· ISP 共有の改善– ISP 共有全体を改善するためにどのような戦略を実行できますか?

·機能要件- SDN 対応の共有をサポートするプラットフォーム機能はどれですか?

ワーキング グループの活動中に、関連するトピックがさらに多数提起されましたが、これら 3 つの焦点を絞った質問は、SDN インフラストラクチャが実際に通信事業者間の脅威情報の自動共有を可能にする優れた基盤を提供するという結論を導き出すのに効果的だったようです。 実際、ワーキンググループは次のような基本原則に同意しました。 自動化された合成攻撃を阻止するには、サービス プロバイダーは自動化された防御に頼る必要があります。

セキュリティのためのSDN

最初の質問は、SDN がセキュリティの効果的な基盤をどのように提供できるか、そして SDN 自体をどのように保護できるか (この取り組みの範囲外と考えられるトピック) に焦点が当てられました。 そのため、参加者は、複数のサービス プロバイダー インフラストラクチャの展開にわたって脅威情報を動的かつ自動的に共有するのに適しているとされる SDN の次の側面について意見を述べました。

  • コントローラの可視性SDN コントローラは、管理対象デバイス全体を一元的に可視化します。 このような可視性により、管理対象デバイスからのテレメトリの取り込み、処理、配信をすべて自動化して外部に共有できるようになりました。 これは、サウスバウンド インターフェイス全体の可視性を使用するコントローラによってネイティブに実行することも、ノースバウンド インターフェイス全体の SDN アプリケーションと連携する特別に展開されたセンサーによって実行することもできます。
  • 急速な障害への対応– 共有機能を自動化するには、新しい機能や特徴を革新する能力が必要です。そのために、ソフトウェア対応のインフラストラクチャは、成功する可能性のある機能、または急速な障害 (すぐに特定して交換する必要がある) をサポートする可能性のある機能の迅速な導入をサポートします。 したがって、SDN のソフトウェア指向は、新しい機能を作成するためのより柔軟な環境をサポートします。
  • 自己防衛の可能性- ワーキング グループは、ソフトウェアが自己防衛機能を開発する可能性についてかなりの時間を費やしました。 これは、自動化された合成攻撃の速度と範囲に対処しなければならないセキュリティ防御の必須コンポーネントであると思われます。 インジケーターの動的な検出とそれに続く自己制御応答は、共有の SDN サポートの要件になります。

ISP共有の改善

2 番目の質問は、グローバル ISP が脅威情報の現在の共有を全体的にどのように改善できるかに焦点を当てていました。 サービス プロバイダー コミュニティ内で使用される相対的な方法と、金融サービス セクターで使用される注目度の高い共有手順および方法との比較と対比に関する議論がかなり行われました。[3] そこでワーキング グループは、新興の SDN の文脈で、よりよい共有を実現するための次の提案を特定しました。

  • グループとパートナーシップ –世界中の ISP コミュニティにおける最も優れた脅威共有イニシアチブの多くは、共有を通じて特定の問題を解決するための、アドホックなワーキンググループまたは通信事業者間の多国間パートナーシップから生まれる傾向があります。 これは、自動共有の SDN 有効化には、コミュニティ、一時的な合意、および動的な信頼グループの作成のサポートが必要になることを示唆しています。
  • プロバイダー協同組合の包含 –金融サービス部門と同様に、ISP コミュニティには数百の小規模なサービス プロバイダーと通信サービス ベンダーが含まれます。 これらの小規模な協同組合では、ベンダーまたはクラウドベースのサービスとしての関係を通じて、自動共有の機能サポートが必要になります。 さまざまな製品や金銭的インセンティブを通じて、自動共有グループに組み入れられる可能性があります。
  • グローバル共有の規範 –多様なグローバル通信事業者間での脅威情報の共有は、共通に適用される 1 つのポリシーで管理することはできません。 むしろ、自動化された共有イニシアチブには規範に基づく合意が必要であり、ほとんどの通信事業者は自発的に、共通の共有エコシステムへの出力フィードと入力フィードを含めることを決定します。

機能要件

3 番目の質問は、通信事業者間の脅威情報の自動共有をサポートする SDN プラットフォームとベンダー ソリューションの機能要件を特定することに焦点を当てていました。 ワーキング グループ内では、ベンダーは顧客にサービスを提供することに意欲的であり、ユーザー グループがニーズを作業標準にまとめれば最もよく対応するという合意がありました。 SDN 対応共有で特定される主な機能は次のとおりです。

  • 脅威バス アーキテクチャ– ワーキング グループは、共有される脅威情報の抽象的な機能的宛先として機能する、いわゆる脅威バス コンセプトを作成しました。 脅威バスは情報を適切に処理および保護する必要があり、帰属度、信頼レベルなどの属性を尊重する必要があります。 バス実装がどのように機能するかを指定するには、その後の作業が必要になります。
  • 標準プロトコルとインターフェース– ワーキング グループは、自動化されたエコシステムが適切に動作するには、標準ベースの脅威共有プロトコルが不可欠であると判断しました。 よく知られている STIX および TAXII プロトコルは、新しい SDN 設計に組み込むための代表的な標準として使用されました。 SDN ではこのような作業を妨げるものはありませんが、グループがこれまでに認識している SDN 作業では、この点が明確に焦点となっていませんでした。
  • ユースケース主導のサポート- ワーキング グループは、機能設計はユースケース主導であるべきだと強く主張しました。 これは、自動共有を導入するための這って歩く走る方式をサポートします。 議論されたユースケースの 1 つは、検出された攻撃が他の通信事業者のインフラストラクチャから発生したと思われる場合に、異なる通信事業者が相互に自動的に警告を発するというものでした。

作業チームが推奨した次のステップは次のとおりです。 (1) グループディスカッションからこの記事を公開し、他の関連活動の計画プロセスを支援する。(2) 調査結果を各構成組織に持ち帰り、SDN ベースの共有のアイデアを促進し、標準化活動に影響を与える。(3) ベンダーコミュニティと議論し、この重要な分野にさらに注目するよう推奨する。

このワーキンググループの結論は簡単に述べることができます。 つまり、 SDN 対応のサービス プロバイダー インフラストラクチャが新たに登場し、合成攻撃のリスクを軽減するために、世界中の通信事業者間でサイバー脅威情報を自動化して共有するための基盤となる集合プラットフォームを提供できるという点に、メンバー全員が一致して同意したのです。 自動化された合成攻撃の強度が認められていることを考えると、このような結論に達することはチームにとって刺激的な見通しでした。

TAG Cyber LLC 作成: https://www.tag-cyber.com/

 

[1] ソフトウェア定義ネットワーク(SDN)の基礎を徹底的に検討したい読者は、Paul GoranssonとChuck Blackによる「Software Defined Networks – A Comprehensive Approach 」(Morgan Kaufman、2014年)を参照してください。

[2] 参加者とその組織のプライバシーを尊重するため、このメモでは、研究に参加した専門家やグループの名前ではなく、ワーキンググループセッション中に出された結論と推奨事項のみを全体的に言及しています。 参加者にはこのメモを確認して編集を提案する機会がありましたが、残っている誤りはすべて著者の責任となります。

[3] ワーキンググループが導き出した主要な結論の一つは、金融サービス部門が脅威共有ツール、方法、およびFS-ISACエコシステムの公開マーケティングにおいて、どの部門よりも効果的な仕事をしているということです。