블로그

ISP 위협 공유의 SDN 활성화

F5 썸네일
F5
2018년 8월 30일 게시

전 세계 수백 개의 회사를 지원하는 글로벌 사이버 보안 자문, 교육, 컨설팅 및 미디어 서비스 회사 인 TAG Cyber LLC의 최고 경영자 의 게스트 블로그입니다.

보안 커뮤니티 전체에서 널리 퍼진 믿음은 고품질 사이버 위협 정보 공유가 운영, 분석 및 대응을 담당하는 팀에 이롭다는 것입니다. 물론, 이러한 혜택을 위해서는 위협 공유가 정말로 고품질이어야 합니다. 다행히도 오늘날에는 성공적인 위협 공유 그룹을 설정하고 운영하고 운영하는 데 따르는 부담을 덜어주는 우수한 상용 플랫폼이 있습니다. 따라서 현재 데이터를 공유하지 않는 보안팀에 대한 변명은 거의 없습니다.

우리 사회에서 널리 퍼져 있는 또 다른 믿음은 사이버 공격이 점점 더 빠르고, 더 지능적이며, 더 교묘해지고 있다는 것입니다. 이러한 공격 속성은 Sand Hill Road에서 자금을 지원받은 우리만의 기술을 사용하여 달성됩니다. 자동화, 머신러닝, 자율성. 이로 인해 발생하는 소위 합성 공격은 너무 빠르고 교묘해서 사람이 직접 조정하는 수동 대응으로는 대응하기 어렵습니다. 이는 보안 팀에게 두려운 전망입니다.

F5 Networks는 TAG Cyber와 협력하여 F5 Agility 2018 동안 최근 작업 그룹을 위임했습니다. 보스턴에서 위협 정보 공유합성 사이버 공격 이라는 두 가지 고려 사항을 추가 요소의 맥락에서 조사했습니다. 즉, 작업 그룹은 보안 팀에 유망한 이점을 제공할 수 있는 새로운 기술 동향과 관련하여 조사를 수행하라는 요청을 받았습니다. 소프트웨어 정의 네트워킹 (SDN).[1]

글로벌 서비스 제공자 커뮤니티에서 초대된 업계 참여자로 구성된 작업 그룹[2] – 따라서 다음의 근본적인 질문에 대해 논의하고, 토론하고, 집중하는 데 시간을 보내도록 초대되었습니다. 새로운 SDN 지원 서비스 제공자 인프라가 글로벌 통신사 간 자동화된 사이버 위협 정보 공유를 위한 기본 집합 플랫폼을 제공하여 합성 공격의 위험을 줄일 수 있을까요?

이 다각적인 질문에 답하기 위해 작업 그룹은 토론을 구성하고 집중시킬 수 있는 세 가지 더 집중적인 질문을 식별했으며, 이는 종합적인 답변을 생성하는 데 도움이 될 것입니다.

· 보안을 위한 SDN – 사이버 보안을 위한 SDN의 장단점은 무엇입니까?

· 개선된 ISP 공유 – 전반적인 ISP 공유를 개선하기 위해 어떤 전략을 따를 수 있습니까?

· 기능 요구 사항 – 어떤 플랫폼 기능이 SDN 지원 공유를 지원합니까?

실무 그룹 활동 중에 많은 관련 주제가 추가로 제기되었지만, 이 세 가지 중점 질문은 SDN 인프라가 실제로 통신사 간 자동화된 위협 정보 공유를 위한 훌륭한 기반을 제공한다는 결론을 내리는 데 효과적인 것으로 보입니다. 실제로 작업반은 이 기본 원칙에 동의했습니다. 자동화된 합성 공격을 차단하려면 서비스 제공자는 자동화된 방어에 의존해야 합니다.

보안을 위한 SDN

첫 번째 질문은 SDN이 보안을 위한 효과적인 기반을 어떻게 제공할 수 있는지에 초점을 맞추었습니다. 반면 SDN 자체는 어떻게 보안될 수 있는지에 대한 질문도 있었습니다(이 주제는 본 노력의 범위를 벗어나는 것으로 간주됨). 이를 위해 참가자들은 여러 서비스 공급자 인프라 배포에서 위협 정보를 동적으로 자동화하여 공유하는 데 적합한 것으로 지정된 SDN의 다음과 같은 측면에 대한 의견을 제시했습니다.

  • 컨트롤러 가시성SDN 컨트롤러는 모든 관리 장치에 대한 중앙화된 가시성을 제공합니다. 이러한 가시성 덕분에 관리되는 장치에서 원격 측정 데이터를 모두 수집, 처리, 전달하는 과정을 자동화하여 외부와 공유할 수 있었습니다. 이 작업은 컨트롤러가 사우스바운드 인터페이스에서 가시성을 활용하여 기본적으로 수행할 수도 있고, 특별히 배치된 센서를 사용하여 노스바운드 인터페이스에서 SDN 애플리케이션과 함께 작동하도록 할 수도 있습니다.
  • 빠른 실패에 대한 지원 – 공유 기능을 자동화하려면 새로운 기능과 특징을 혁신할 수 있는 능력이 필요합니다. 이를 위해 소프트웨어 기반 인프라는 성공할 수 있는 기능이나 빠른 실패를 지원할 수 있는 기능(빠르게 식별하여 교체)의 빠른 도입을 지원합니다. 따라서 SDN의 소프트웨어 지향성은 새로운 기능을 만드는 데 있어 보다 유연한 환경을 지원합니다.
  • 자체 방어의 가능성 – 작업 그룹은 자체 방어 기능을 개발하기 위한 소프트웨어의 전망에 상당한 시간을 투자했습니다. 이는 자동화된 합성 공격의 속도와 범위에 대처해야 하는 모든 보안 방어에 필수적인 구성 요소로 보입니다. SDN 공유 지원을 위해서는 지표를 동적으로 감지하고 그에 따른 자체 제어 대응이 필요합니다.

ISP 공유 개선

두 번째 질문은 글로벌 ISP가 현재 위협 정보 공유를 전반적으로 어떻게 개선할 수 있는지에 초점을 맞췄습니다. 서비스 제공자 커뮤니티에서 사용하는 상대적 방법과 금융 서비스 부문에서 사용하는 주요 공유 절차 및 방법을 비교하고 대조하는 논의가 많이 이루어졌습니다.[3] 따라서 작업 그룹은 새로운 SDN의 맥락에서 보다 나은 공유를 위한 다음과 같은 제안을 확인했습니다.

  • 그룹 및 파트너십 – 글로벌 ISP 커뮤니티에서 가장 우수한 위협 공유 이니셔티브 중 다수는 공유를 통해 주어진 문제를 해결하기 위해 임시 작업 그룹이나 통신사 간의 다자간 파트너십에서 나오는 경향이 있습니다. 이는 SDN을 통한 자동화된 공유를 활성화하려면 커뮤니티, 임시 계약, 동적 신뢰 그룹 생성에 대한 지원이 필요함을 시사합니다.
  • 공급자 협동조합 포함 – ISP 커뮤니티에는 금융 서비스 부문과 마찬가지로 수백 개의 소규모 서비스 공급자와 통신 서비스 공급업체가 포함됩니다. 이러한 소규모 협동조합은 공급업체 또는 클라우드 기반 서비스형 관계를 통해 자동화된 공유에 대한 기능적 지원이 필요합니다. 다양한 제품이나 재정적 인센티브를 통해 자동화된 공유 그룹에 포함될 수도 있습니다.
  • 글로벌 공유 기준 – 다양한 글로벌 통신사가 참여하는 의미 있는 규모의 위협 정보 공유는 일반적으로 적용되는 단일 정책으로 관리될 수 없습니다. 오히려 자동화된 공유 이니셔티브에는 규범 기반 합의가 필요하며, 대부분의 통신사는 자발적으로 공통 공유 생태계에 이탈 및 유입 피드를 포함하기로 결정합니다.

기능적 요구 사항

세 번째 질문은 통신사 간 자동화된 위협 정보 공유를 지원하는 SDN 플랫폼과 공급업체 솔루션에 대한 기능적 요구 사항을 식별하는 데 중점을 두었습니다. 작업 그룹에서는 공급업체가 고객에게 서비스를 제공하려는 의욕을 가지고 있으며, 사용자 그룹이 각자의 요구 사항을 작업 표준으로 정리하면 가장 잘 대응할 것이라는 데 동의했습니다. SDN 지원 공유를 위해 식별된 주요 기능은 다음과 같습니다.

  • 위협 버스 아키텍처 – 작업 그룹은 공유 위협 정보에 대한 추상적인 기능적 목적지 역할을 하는 위협 버스 개념을 만들었습니다. 위협 버스는 정보를 적절하게 처리하고 보호해야 하며 귀속 정도, 신뢰 수준 등의 속성을 존중해야 합니다. 버스 구현이 어떻게 작동할지 구체적으로 설명하기 위해서는 후속 작업이 필요할 것입니다.
  • 표준 프로토콜 및 인터페이스 – 작업 그룹은 표준 기반 위협 공유 프로토콜이 자동화된 생태계의 적절한 작동에 필수적이라고 결정했습니다. 잘 알려진 STIX 및 TAXII 프로토콜은 새로운 SDN 설계에 포함하기 위한 모범적인 표준으로 사용되었습니다. SDN에는 이런 작업을 방해하는 내용이 없지만, 지금까지 이 그룹이 알고 있는 SDN 작업에서는 이에 대한 명시적인 초점이 없었습니다.
  • 사용 사례 중심 지원 – 작업 그룹은 기능적 설계가 사용 사례 중심이어야 한다는 입장을 고수했습니다. 이는 자동화된 공유를 도입하는 크롤링-워크-런 방법을 지원합니다. 논의된 한 가지 사용 사례는 탐지된 공격이 다른 통신사의 인프라에서 시작된 것으로 보이는 경우 여러 통신사가 자동화된 방식으로 서로에게 경고하는 것입니다.

실무팀이 권장한 다음 단계는 다음과 같습니다. (1) 그룹 토론에서 이 기사를 게시하여 관련 활동의 계획 과정을 지원합니다. (2) SDN 기반 공유에 대한 아이디어를 육성하고 표준화 활동에 영향을 미치기 위해 연구 결과를 각 구성 조직에 전달합니다. (3) 공급업체 커뮤니티와 토론하여 이 중요한 영역에 더 많은 관심을 기울이도록 권고합니다.

이 작업 그룹의 결론은 다음과 같이 쉽게 말할 수 있습니다. 즉, 회원들은 사실상 새로운 SDN 지원 서비스 제공자 인프라가 글로벌 통신사 간 자동화된 사이버 위협 정보 공유를 위한 기본적 공동 플랫폼을 제공하여 합성 공격의 위험을 줄일 수 있다는 점에 대해 전면적으로 동의했습니다. 자동화된 합성 공격의 강도에 합의한 것을 감안할 때, 이런 결론에 도달하는 것은 팀에게는 흥미로운 전망이었다.

TAG Cyber LLC에서 준비: https://www.tag-cyber.com/

 

[1] 소프트웨어 정의 네트워킹(SDN) 기본 사항에 대한 철저한 검토를 원하는 독자는 Paul Goransson과 Chuck Black이 쓴 Software Defined Networks – A Comprehensive Approach (Morgan Kaufman, 2014)를 추천합니다.

[2] 참여자와 그들의 조직의 사생활을 존중하기 위해 이 참고문헌에서는 연구에 참여한 전문가나 그룹의 이름이 아닌 작업 그룹 세션 동안 도출된 결론과 권장 사항만을 전체적으로 언급합니다. 참가자는 이 노트를 검토하고 수정 사항을 제안할 기회를 가졌지만 남아 있는 오류는 작성자의 책임입니다.

[3] 작업 그룹이 도출한 주요 결론 중 하나는 금융 서비스 부문이 위협 공유 도구, 방법 및 FS-ISAC 생태계를 대중에게 마케팅하는 데 있어 모든 부문 중 가장 효과적인 역할을 한다는 것입니다.