Habilitação de SDN para compartilhamento de ameaças de ISP

Blog convidado do CEO da TAG Cyber LLC , uma empresa global de consultoria, treinamento, consultoria e serviços de mídia em segurança cibernética que oferece suporte a centenas de empresas em todo o mundo.

Uma crença amplamente difundida em nossa comunidade de segurança é que o compartilhamento de informações de alta qualidade sobre ameaças cibernéticas beneficia equipes encarregadas de operações, análises e respostas. Tal benefício exige, é claro, que o compartilhamento de ameaças seja realmente de alta qualidade. Felizmente, hoje em dia, existem boas plataformas comerciais disponíveis para facilitar o trabalho de configurar, operar e administrar um grupo de compartilhamento de ameaças bem-sucedido. Portanto, há poucas desculpas para equipes de segurança que não estão compartilhando dados no momento.

Outra crença comum em nossa comunidade é que as explorações cibernéticas estão se tornando mais rápidas, mais inteligentes e mais evasivas. Esses atributos de ataque estão sendo alcançados usando uma dose de nossa própria tecnologia financiada pela Sand Hill Road: Automação, aprendizado de máquina e autonomia. Os chamados ataques sintéticos resultantes são muito rápidos e evasivos para qualquer resposta manual coordenada por humanos – e esta é uma perspectiva assustadora para as equipes de segurança.

A F5 Networks, em conjunto com a TAG Cyber, comissionou um grupo de trabalho recente durante o F5 Agility 2018 em Boston para examinar essas duas considerações – compartilhamento de informações sobre ameaças e ofensa cibernética sintética – no contexto de um fator adicional: Ou seja, o grupo de trabalho foi solicitado a realizar seu exame com relação a uma tendência tecnológica emergente que pode oferecer benefícios promissores às equipes de segurança: Rede definida por software (SDN).^[1]

O grupo de trabalho – que consistia em participantes da indústria convidados em grande parte da comunidade global de provedores de serviços^[2] – foi assim convidado a dedicar seu tempo à discussão, ao debate e ao foco na seguinte questão fundamental: A infraestrutura emergente de provedores de serviços habilitados para SDN pode fornecer uma plataforma coletiva subjacente para compartilhamento automatizado de informações sobre ameaças cibernéticas entre operadoras globais para reduzir o risco de ataques sintéticos?

Para abordar essa questão multifacetada, o grupo de trabalho identificou três questões mais focadas que organizariam e focalizariam as discussões e que ajudariam a produzir uma resposta agregada:

· SDN para segurança – Quais são os prós e contras relevantes do SDN para segurança cibernética?

· Compartilhamento de ISP aprimorado – Quais estratégias podem ser seguidas para melhorar o compartilhamento geral de ISP?

· Requisitos funcionais – Quais recursos da plataforma oferecem suporte ao compartilhamento habilitado para SDN?

Muitos tópicos relevantes adicionais foram levantados durante a atividade do grupo de trabalho, mas essas três questões focadas pareceram funcionar bem para produzir a conclusão de que a infraestrutura SDN, de fato, fornece uma excelente base para permitir o compartilhamento automatizado de informações sobre ameaças entre operadoras. De fato, o grupo de trabalho concordou com este princípio básico: Para impedir ataques sintéticos automatizados, os provedores de serviços precisarão contar com defesas automatizadas.

SDN para Segurança

A primeira questão se concentrou em como a SDN pode fornecer uma base eficaz para segurança – em vez de como a própria SDN pode ser protegida (um tópico considerado fora do escopo deste esforço). Para esse fim, os participantes ofereceram suas opiniões sobre os seguintes aspectos da SDN que foram designados como adequados para o compartilhamento dinâmico e automatizado de informações sobre ameaças em várias implantações de infraestrutura de provedores de serviços:

• Visibilidade do controlador – O controlador SDN tem visibilidade centralizada sobre todos os dispositivos gerenciados. Essa visibilidade permitiu a automação de toda a ingestão, manuseio e entrega de telemetria de dispositivos gerenciados para compartilhamento externo. Isso poderia ser feito nativamente pelo controlador usando sua visibilidade na interface sul, ou por sensores especialmente implantados trabalhando com um aplicativo SDN na interface norte.
• Suporte para falhas rápidas – Automatizar a função de compartilhamento exigirá a capacidade de inovar novos recursos e capacidades; para esse fim, a infraestrutura habilitada por software oferece suporte à introdução rápida de recursos que podem ser bem-sucedidos – ou que podem oferecer suporte a falhas rápidas (para serem rapidamente identificados e substituídos). Assim, a orientação de software da SDN oferece suporte a um ambiente mais flexível para a criação de um novo recurso.
• Potencial para autodefesa – O grupo de trabalho dedicou um tempo considerável às perspectivas de software para desenvolver capacidade de autodefesa. Este parece ser um componente essencial de qualquer defesa de segurança que terá que lidar com a velocidade e o escopo de ataques sintéticos automatizados. A detecção dinâmica de indicadores seguida de resposta autocontrolada será um requisito para o suporte de compartilhamento de SDN.

Melhorando o compartilhamento do ISP

A segunda pergunta se concentrou em como os ISPs globais podem melhorar o compartilhamento atual de informações sobre ameaças. Houve bastante discussão de comparação e contraste sobre os métodos relativos usados na comunidade de provedores de serviços em comparação aos procedimentos e métodos de compartilhamento de alto nível usados no setor de serviços financeiros.^[3] O grupo de trabalho identificou assim as seguintes sugestões para uma melhor partilha – no contexto da SDN emergente:

• Grupos e parcerias – Muitas das melhores iniciativas de compartilhamento de ameaças na comunidade global de ISP tendem a surgir de grupos de trabalho ad hoc ou de parcerias multilaterais entre operadoras para resolver um determinado problema por meio do compartilhamento. Isso sugere que a ativação do compartilhamento automatizado por SDN precisará de suporte para a criação de comunidades, acordos temporários e grupos de confiança dinâmicos.
• Inclusão de cooperativas de provedores – A comunidade de ISP – assim como o setor de serviços financeiros – inclui centenas de pequenos provedores de serviços e fornecedores de serviços de comunicação. Essas cooperativas menores precisarão de suporte funcional para compartilhamento automatizado por meio de seus fornecedores ou relacionamentos baseados na nuvem, como serviço. Eles podem ser incluídos em grupos de compartilhamento automatizados por meio de vários incentivos financeiros ou de produtos.
• Normas para Compartilhamento Global – O compartilhamento de informações sobre ameaças entre qualquer faixa significativa de diversas operadoras globais não pode ser regido por uma política comumente aplicada. Em vez disso, qualquer iniciativa de compartilhamento automatizado exigirá um acordo baseado em normas, em que a maioria das operadoras decide voluntariamente incluir feeds de entrada e saída em um ecossistema de compartilhamento comum.

Requisitos funcionais

A terceira pergunta se concentrou na identificação de requisitos funcionais para plataformas SDN e soluções de fornecedores que dariam suporte ao compartilhamento automatizado de informações sobre ameaças entre operadoras. Houve um acordo entre o grupo de trabalho de que os fornecedores são motivados a atender seus clientes e responderão melhor se os grupos de usuários organizarem suas necessidades em padrões de trabalho. Os principais recursos funcionais identificados para compartilhamento habilitado para SDN são os seguintes:

• Arquitetura de barramento de ameaças – O grupo de trabalho criou o que é chamado de conceito de barramento de ameaças, que serviu como um destino funcional abstrato para informações de ameaças compartilhadas. O barramento de ameaças teria que manipular e proteger as informações adequadamente e teria que respeitar atributos como graus de atribuição, níveis de confiança e assim por diante. Seria necessário trabalho subsequente para especificar como a implementação do ônibus funcionaria.
• Protocolos e interfaces padrão – O grupo de trabalho decidiu que protocolos de compartilhamento de ameaças baseados em padrões eram essenciais para a operação adequada de qualquer ecossistema automatizado. Os conhecidos protocolos STIX e TAXII foram usados como padrões exemplares para inclusão em projetos SDN emergentes. Embora nada na SDN deva impedir tal trabalho, esse não foi um foco explícito em nenhum trabalho da SDN do qual o grupo tenha conhecimento até o momento.
• Suporte orientado a casos de uso – O grupo de trabalho foi inflexível em que os designs funcionais fossem orientados a casos de uso. Isso oferece suporte ao método de engatinhar-andar-correr para introduzir o compartilhamento automatizado. Um caso de uso discutido envolveu diferentes operadoras alertando umas às outras – de forma automatizada – se um ataque detectado parecesse ter origem na infraestrutura da outra operadora.

Os próximos passos recomendados pela equipe de trabalho foram os seguintes: (1) Publicar este artigo da discussão em grupo para auxiliar outros esforços relacionados em seu processo de planejamento; (2) Levar de volta a cada organização constituinte os resultados do estudo para promover ideias para compartilhamento baseado em SDN e influenciar a atividade de padrões, e (3) Participar de discussões com a comunidade de fornecedores para recomendar mais atenção a esta área vital.

A conclusão deste grupo de trabalho é fácil de afirmar: Ou seja, foi uniformemente acordado pelos membros que, de fato, a infraestrutura emergente de provedores de serviços habilitados para SDN pode fornecer uma plataforma coletiva subjacente para compartilhamento automatizado de informações sobre ameaças cibernéticas entre operadoras globais para reduzir o risco de ataques sintéticos. Chegar a tal conclusão foi uma perspectiva animadora para a equipe, dada a intensidade acordada de ataques sintéticos automatizados.

Preparado pela TAG Cyber LLC: https://www.tag-cyber.com/

[1] Os leitores que desejam um exame completo dos fundamentos de redes definidas por software (SDN) devem consultar Software Defined Networks – A Comprehensive Approach , de Paul Goransson e Chuck Black (Morgan Kaufman, 2014).

[2] Para respeitar a privacidade dos participantes e das suas organizações, esta nota refere-se apenas, no seu conjunto, às conclusões e recomendações feitas durante a sessão do grupo de trabalho, e não aos nomes de quaisquer especialistas ou grupos representados no estudo. Os participantes tiveram a oportunidade de revisar e sugerir edições para esta nota – mas quaisquer erros restantes são de responsabilidade do autor.

[3] Uma das principais conclusões tiradas pelo grupo de trabalho é que o setor de serviços financeiros faz o trabalho mais eficaz de todos os setores na comercialização pública de suas ferramentas de compartilhamento de ameaças, métodos e ecossistema FS-ISAC.