BLOG

SDN-Aktivierung von ISP Threat Sharing

F5 Miniaturansicht
F5
Veröffentlicht am 30. August 2018

Gastblog des Chief Executive Officer von TAG Cyber LLC , einem globalen Unternehmen für Cybersicherheitsberatung, Schulung, Consulting und Mediendienste, das Hunderte von Unternehmen auf der ganzen Welt unterstützt.

In unserer Sicherheits-Community ist die Überzeugung weit verbreitet, dass der qualitativ hochwertige Austausch von Informationen zu Cyber-Bedrohungen den mit Operationen, Analysen und Reaktionen betrauten Teams zugutekommt. Ein solcher Nutzen setzt natürlich voraus, dass die Bedrohungsfreigabe wirklich hochwertig ist. Glücklicherweise stehen heute gute kommerzielle Plattformen zur Verfügung, die den Aufwand für die Einrichtung, den Betrieb und die Leitung einer erfolgreichen Bedrohungsaustauschgruppe verringern. Daher gibt es für Sicherheitsteams, die derzeit keine Daten austauschen, kaum Ausreden.

Darüber hinaus ist in unserer Community die Meinung weit verbreitet, dass Cyber-Exploits immer schneller, intelligenter und schwerer zu fassen werden. Solche Angriffsattribute werden durch den Einsatz einer Dosis unserer eigenen, von Sand Hill Road finanzierten Technologie erreicht: Automatisierung, maschinelles Lernen und Autonomie. Die daraus resultierenden sogenannten synthetischen Angriffe sind zu schnell und zu schwer zu fassen, als dass eine manuelle, von Menschen koordinierte Reaktion möglich wäre – und für Sicherheitsteams ist dies eine beängstigende Aussicht.

F5 Networks hat in Zusammenarbeit mit TAG Cyber während der F5 Agility 2018 eine Arbeitsgruppe ins Leben gerufen in Boston, um diese beiden Aspekte – den Austausch von Bedrohungsinformationen und synthetische Cyber-Angriffe – im Kontext eines zusätzlichen Faktors zu untersuchen: Das heißt, die Arbeitsgruppe wurde gebeten, ihre Untersuchung im Hinblick auf einen aufkommenden Technologietrend durchzuführen, der Sicherheitsteams vielversprechende Vorteile bieten könnte: Softwaredefiniertes Networking (SDN).[1]

Die Arbeitsgruppe – die aus Branchenteilnehmern bestand, die größtenteils aus der globalen Serviceprovider-Community eingeladen wurden[2] – wurde daher eingeladen, seine Zeit mit der Diskussion, Debatte und Konzentration auf die folgende grundlegende Frage zu verbringen: Kann die aufkommende SDN-fähige Infrastruktur von Dienstanbietern eine zugrunde liegende kollektive Plattform für den automatisierten Austausch von Informationen zu Cyber-Bedrohungen zwischen globalen Netzbetreibern bieten, um das Risiko synthetischer Angriffe zu verringern?

Um diese vielschichtige Frage zu beantworten, hat die Arbeitsgruppe drei gezieltere Fragen identifiziert, die die Diskussionen strukturieren und fokussieren und zur Erarbeitung einer Gesamtantwort beitragen sollen:

· SDN für Sicherheit – Was sind die relevanten Vor- und Nachteile von SDN für die Cybersicherheit?

· Verbessertes ISP-Sharing – Welche Strategien können verfolgt werden, um das ISP-Sharing insgesamt zu verbessern?

· Funktionale Anforderungen – Welche Plattformfunktionen unterstützen SDN-fähiges Teilen?

Während der Arbeitsgruppenaktivität wurden viele weitere relevante Themen angesprochen, aber diese drei gezielten Fragen schienen zu der Schlussfolgerung zu führen, dass die SDN-Infrastruktur tatsächlich eine ausgezeichnete Basis für den automatisierten Austausch von Bedrohungsinformationen zwischen Netzbetreibern bietet. Tatsächlich einigte sich die Arbeitsgruppe auf dieses Grundprinzip: Um automatisierte, synthetische Angriffe zu stoppen, müssen sich Dienstanbieter auf automatisierte Abwehrmaßnahmen verlassen.

SDN für Sicherheit

Die erste Frage konzentrierte sich darauf, wie SDN eine effektive Grundlage für Sicherheit bieten kann – im Vergleich dazu, wie SDN selbst gesichert werden könnte (ein Thema, das außerhalb des Rahmens dieser Bemühungen liegt). Zu diesem Zweck äußerten die Teilnehmer ihre Ansichten zu den folgenden Aspekten des SDN, die sich als gut geeignet für den dynamischen, automatisierten Austausch von Bedrohungsinformationen zwischen den Infrastrukturbereitstellungen mehrerer Dienstanbieter erwiesen:

  • Controller-Sichtbarkeit – Der SDN-Controller verfügt über eine zentrale Sichtbarkeit aller verwalteten Geräte. Diese Transparenz ermöglicht die Automatisierung der gesamten Aufnahme, Verarbeitung und Bereitstellung von Telemetriedaten von verwalteten Geräten zur externen Freigabe. Dies könnte nativ durch den Controller erfolgen, indem er seine Sichtbarkeit über die Southbound-Schnittstelle nutzt, oder durch speziell eingesetzte Sensoren, die mit einer SDN-Anwendung über die Northbound-Schnittstelle arbeiten.
  • Unterstützung bei schnellen Ausfällen – Die Automatisierung der Freigabefunktion erfordert die Fähigkeit zur Entwicklung neuer Fähigkeiten und Features. Zu diesem Zweck unterstützt eine softwaregestützte Infrastruktur die schnelle Einführung von Features, die erfolgreich sein könnten – oder die zu schnellen Ausfällen führen könnten (um schnell identifiziert und ersetzt zu werden). Somit unterstützt die Softwareorientierung von SDN eine flexiblere Umgebung für die Entwicklung neuer Funktionen.
  • Potenzial zur Selbstverteidigung – Die Arbeitsgruppe hat viel Zeit mit den Aussichten verbracht, dass Software die Fähigkeit zur Selbstverteidigung entwickeln kann. Dies scheint ein wesentlicher Bestandteil jeder Sicherheitsabwehr zu sein, die mit der Geschwindigkeit und dem Umfang automatisierter synthetischer Angriffe zu kämpfen hat. Die dynamische Erkennung von Indikatoren, gefolgt von einer selbstgesteuerten Reaktion, ist eine Voraussetzung für die SDN-Unterstützung beim Teilen.

Verbesserung der ISP-Freigabe

Die zweite Frage konzentrierte sich darauf, wie globale ISPs den aktuellen Austausch von Bedrohungsinformationen generell verbessern könnten. Es wurde viel über die relativen Methoden diskutiert, die innerhalb der Community der Dienstanbieter verwendet werden, im Vergleich zu den im Finanzdienstleistungssektor verwendeten, hochkarätigen Verfahren und Methoden zum Teilen von Informationen.[3] Die Arbeitsgruppe hat daher die folgenden Vorschläge für eine bessere gemeinsame Nutzung – im Kontext des aufkommenden SDN – ermittelt:

  • Gruppen und Partnerschaften – Viele der besten Initiativen zum Austausch von Bedrohungen in der globalen ISP-Community sind tendenziell entweder aus Ad-hoc-Arbeitsgruppen oder multilateralen Partnerschaften zwischen Netzbetreibern hervorgegangen, um ein bestimmtes Problem durch den Austausch zu lösen. Dies lässt darauf schließen, dass für die SDN-Aktivierung der automatischen Freigabe die Erstellung von Communities, temporären Vereinbarungen und dynamischen Vertrauensgruppen unterstützt werden muss.
  • Einbeziehung von Provider-Kooperativen – Die ISP-Community umfasst – wie der Finanzdienstleistungssektor – viele Hundert kleine Dienstanbieter und Anbieter von Kommunikationsdiensten. Diese kleineren Genossenschaften benötigen funktionale Unterstützung für die automatische Freigabe über ihre Anbieter oder Cloud-basierte As-a-Service-Beziehungen. Sie können durch verschiedene Produkt- oder finanzielle Anreize in automatisierte Sharing-Gruppen gebracht werden.
  • Normen für den weltweiten Austausch – Der Austausch von Bedrohungsinformationen zwischen einer bedeutenden Anzahl unterschiedlicher globaler Netzbetreiber kann nicht durch eine allgemein durchgesetzte Richtlinie geregelt werden. Vielmehr bedarf es für jede Initiative zum automatisierten Teilen einer normenbasierten Vereinbarung, bei der sich die meisten Netzbetreiber freiwillig dazu entschließen, ausgehende und eingehende Feeds in ein gemeinsames Ökosystem zum Teilen einzubinden.

Funktionale Anforderungen

Bei der dritten Frage ging es darum, die funktionalen Anforderungen an SDN-Plattformen und Anbieterlösungen zu ermitteln, die den automatisierten Austausch von Bedrohungsinformationen zwischen Netzbetreibern unterstützen würden. In der Arbeitsgruppe herrschte Einigkeit darüber, dass die Lieferanten motiviert sind, ihren Kunden zu dienen, und am besten reagieren, wenn Benutzergruppen ihre Bedürfnisse in funktionierenden Normen organisieren. Die wichtigsten Funktionsmerkmale für die SDN-basierte Freigabe sind die folgenden:

  • Threat-Bus-Architektur – Die Arbeitsgruppe erstellte ein sogenanntes Threat-Bus-Konzept, das als abstraktes funktionales Ziel für gemeinsam genutzte Bedrohungsinformationen diente. Der Bedrohungsbus müsste die Informationen ordnungsgemäß verarbeiten und schützen und müsste Attribute wie Zuordnungsgrade, Vertrauensniveaus usw. berücksichtigen. In weiteren Arbeiten müsste festgelegt werden, wie die Busimplementierung funktionieren soll.
  • Standardprotokolle und -schnittstellen – Die Arbeitsgruppe kam zu dem Schluss, dass auf Standards basierende Protokolle zum Teilen von Bedrohungen für den ordnungsgemäßen Betrieb jedes automatisierten Ökosystems unverzichtbar seien. Die bekannten Protokolle STIX und TAXII wurden als beispielhafte Standards für die Einbindung in neue SDN-Designs verwendet. Obwohl nichts im SDN derartige Arbeiten ausschließen sollte, war dies bislang kein expliziter Schwerpunkt bei SDN-Arbeiten, von denen die Gruppe Kenntnis hatte.
  • Anwendungsfallorientierte Unterstützung – Die Arbeitsgruppe bestand darauf, dass funktionale Designs anwendungsfallorientiert sein sollten. Dies unterstützt eine Kriech-Geh-Lauf-Methode zur Einführung der automatischen Freigabe. In einem der besprochenen Anwendungsfälle warnten sich verschiedene Netzbetreiber gegenseitig – und zwar automatisch –, wenn ein erkannter Angriff offenbar von der Infrastruktur des anderen Netzbetreibers ausging.

Die vom Arbeitsteam empfohlenen nächsten Schritte waren wie folgt: (1) Diesen Artikel aus der Gruppendiskussion zu veröffentlichen, um andere damit verbundene Bemühungen in ihrem Planungsprozess zu unterstützen. (2) Die Ergebnisse der Studie an jede Mitgliedsorganisation weiterzugeben, um Ideen für eine SDN-basierte gemeinsame Nutzung zu fördern und die Standardisierungsaktivität zu beeinflussen. (3) In Diskussionen mit der Anbietergemeinschaft einzutreten, um zu empfehlen, diesem wichtigen Bereich mehr Aufmerksamkeit zu schenken.

Das Fazit dieser Arbeitsgruppe lässt sich leicht zusammenfassen: Das heißt, die Mitglieder waren sich einig, dass die aufkommende SDN-basierte Infrastruktur der Dienstanbieter tatsächlich eine gemeinsame Basisplattform für den automatisierten Austausch von Informationen zu Cyberbedrohungen zwischen globalen Netzbetreibern bieten kann, um das Risiko synthetischer Angriffe zu verringern. Angesichts der Intensität automatisierter synthetischer Angriffe war das Erreichen einer solchen Schlussfolgerung für das Team eine spannende Aussicht.

Erstellt von TAG Cyber LLC: https://www.tag-cyber.com/

 

[1] Leser, die eine gründliche Untersuchung der Grundlagen von Software Defined Networking (SDN) wünschen, werden auf Software Defined Networks – A Comprehensive Approach von Paul Goransson und Chuck Black (Morgan Kaufman, 2014) verwiesen.

[2] Um die Privatsphäre der Teilnehmer und ihrer Organisationen zu respektieren, bezieht sich diese Notiz nur auf zusammengefasste Schlussfolgerungen und Empfehlungen, die während der Arbeitsgruppensitzung getroffen wurden, und nicht auf die Namen von Experten oder Gruppen, die in der Studie vertreten sind. Die Teilnehmer hatten die Möglichkeit, diese Notiz zu überprüfen und Änderungen vorzuschlagen. Für verbleibende Fehler ist jedoch der Autor verantwortlich.

[3] Eine wichtige Schlussfolgerung der Arbeitsgruppe besteht darin, dass der Finanzdienstleistungssektor seine Tools und Methoden zum Teilen von Bedrohungen sowie sein FS-ISAC-Ökosystem am effektivsten von allen Sektoren öffentlich vermarktet.