博客

SDN 助力 ISP 威胁共享

F5 缩略图
F5
2018 年 8 月 30 日发布

TAG Cyber LLC 首席执行官的客座博客,该公司是一家全球网络安全咨询、培训、咨询和媒体服务公司,为全球数百家公司提供支持。

我们安全社区普遍认为,高质量的网络威胁信息共享有利于负责运营、分析和响应的团队。 当然,这种好处要求威胁共享真正是高质量的。 幸运的是,如今已经有良好的商业平台可以减轻建立、运营和运行成功的威胁共享组织的负担。 因此,对于目前不共享数据的安全团队来说,几乎没有什么借口。

我们的社区普遍持有的另一个观点是,网络攻击变得越来越快、越来越智能、越来越难以捉摸。 这些攻击属性是利用我们自己由 Sand Hill Road 资助的技术实现的: 自动化、机器学习和自主性。 由此产生的所谓合成攻击速度太快,而且难以捉摸,任何手动、人为协调的反应都无法做到——这对安全团队来说是一个令人恐惧的前景。

F5 Networks 与 TAG Cyber 合作,在F5 Agility 2018期间成立了一个新工作组 在波士顿审查这两个考虑因素——威胁信息共享合成网络攻击——并考虑另一个因素: 也就是说,工作组被要求针对可能为安全团队带来可观利益的新兴技术趋势进行审查: 软件定义网络(SDN)。[1]

该工作组主要由来自全球服务提供商社区的行业参与者组成[2]– 因此被邀请花时间讨论、辩论并关注以下基本问题: 新兴的支持 SDN 的服务提供商基础设施能否为全球运营商之间的自动网络威胁信息共享提供一个底层集体平台,以降低合成攻击的风险?

为了解决这个多方面的问题,工作组确定了三个更有针对性的问题,这些问题将组织和集中讨论,并有助于得出一个总体答案:

· SDN 对于安全性的影响——SDN 对于网络安全有哪些优缺点?

·改善 ISP 共享– 可以遵循哪些策略来改善整体 ISP 共享?

·功能要求——哪些平台功能支持 SDN 共享?

工作组活动期间还提出了许多其他相关主题,但这三个重点问题似乎可以很好地得出结论:SDN基础设施确实为运营商之间的自动威胁信息共享提供了良好的基础。 事实上,工作组一致同意这一基本原则: 为了阻止自动化、合成攻击,服务提供商需要依靠自动化防御。

面向安全的SDN

第一个问题集中在 SDN 如何为安全提供有效的基础,而不是 SDN 本身如何得到保护(该主题超出了本文的范围)。 为此,与会者就 SDN 的以下方面提出了自己的看法,这些方面被认为非常适合在多个服务提供商基础设施部署之间动态、自动地共享威胁信息:

  • 控制器可见性——SDN 控制器可以集中查看所有托管设备。 这种可见性使得从受管设备进行的所有遥测数据的提取、处理和传送实现自动化,以便进行外部共享。 这可以由控制器利用其在南向接口上的可见性本地完成,或者由专门部署的传感器与在北向接口上的 SDNapplication协同完成。
  • 支持快速失败——自动化共享功能需要创新新功能和新特性的能力;为此,软件支持的基础设施支持快速引入可能成功的功能,或者可能支持快速失败(快速识别和替换)的功能。 因此,SDN的软件导向为创建新功能提供了更灵活的环境。
  • 自我防御潜力——工作组花费了大量时间研究软件开发自我防御能力的前景。 这似乎是任何安全防御的重要组成部分,必须应对自动合成攻击的速度和范围。 动态检测指标并自行控制响应将是SDN支持共享的必要条件。

改善 ISP 共享

第二个问题集中在全球 ISP 如何普遍改善当前的威胁信息共享。 就服务提供商社区中使用的相对方法与金融服务领域使用的高调共享程序和方法进行了大量的比较和对比讨论。[3] 因此,在新兴SDN的背景下,工作组提出了以下更好共享的建议:

  • 团体和合作伙伴关系——全球 ISP 社区中许多最佳威胁共享举措往往源自临时工作组或运营商之间的多边合作伙伴关系,旨在通过共享解决特定问题。 这表明SDN实现自动共享需要创建社区、临时协议和动态信任组的支持。
  • 纳入提供商合作社 – ISP 社区(与金融服务业一样)包括数百家小型服务提供商和通信服务供应商。 这些规模较小的合作社将需要通过其供应商或基于云的即服务关系实现自动共享的功能支持。 他们可能会通过各种产品或财务激励被纳入自动共享小组。
  • 全球共享规范——任何跨全球不同运营商的有效威胁信息共享都不能受单一共同执行的政策管辖。 相反,任何自动共享计划都需要基于规范的协议,大多数运营商自愿决定将出站和入站馈送纳入共同的共享生态系统。

功能要求

第三个问题重点是确定支持运营商之间自动威胁信息共享的 SDN 平台和供应商解决方案的功能需求。 工作组一致认为,供应商有动力为客户提供服务,如果用户组将他们的需求组织成工作标准,供应商将做出最好的回应。 SDN支持的共享主要功能如下:

  • 威胁总线架构——工作组创建了所谓的威胁总线概念,作为共享威胁信息的抽象功能目的地。 威胁总线必须正确处理和保护信息,并且必须尊重归因程度、置信度等属性。 后续工作需要明确总线实现的工作方式。
  • 标准协议和接口——工作组认为,基于标准的威胁共享协议对于任何自动化生态系统的正常运行至关重要。 著名的 STIX 和 TAXII 协议被用作纳入新兴 SDN 设计的示例标准。 尽管 SDN 中没有任何内容可以排除此类工作,但这并不是该小组迄今为止所知的任何 SDN 工作的明确重点。
  • 用例驱动支持——工作组坚持功能设计由用例驱动。 这支持引入自动共享的“爬行-行走-奔跑”方法。 讨论的一个用例涉及不同的运营商以自动方式相互警报 - 如果检测到的攻击似乎源自另一家运营商的基础设施。

工作组建议的下一步措施如下: (1)发布小组讨论中的这篇文章,以协助其他相关工作的规划过程;(2)将研究结果反馈给每个组成组织,以促进基于 SDN 的共享理念并影响标准活动;(3)与供应商社区进行讨论,建议更多地关注这一重要领域。

这个工作组的结论很容易表述: 也就是说,成员们一致同意,事实上,新兴的支持 SDN 的服务提供商基础设施可以为全球运营商之间的自动网络威胁信息共享提供一个底层集体平台,以降低合成攻击的风险。 考虑到自动合成攻击的强度,得出这样的结论对于团队来说是一个令人兴奋的前景。

由 TAG Cyber LLC 准备: https://www.tag-cyber.com/

 

[1] 希望全面了解软件定义网络 (SDN) 基础知识的读者可以参阅 Paul Goransson 和 Chuck Black 撰写的《软件定义网络 - 一种综合方法》 (Morgan Kaufman,2014 年)。

[2] 为了尊重参与者及其组织的隐私,本说明仅引用工作组会议期间提出的结论和建议,而不是研究中代表的任何专家或团体的名称。 参与者有机会审查并建议修改本说明 - 但任何剩余错误均由作者负责。

[3] 工作组得出的一个主要结论是,金融服务业在公开营销其威胁共享工具、方法和 FS-ISAC 生态系统方面做得比任何行业都好。