전 세계 수백 개의 회사를 지원하는 글로벌 사이버 보안 자문, 교육, 컨설팅 및 미디어 서비스 회사 인 TAG Cyber LLC의 최고 경영자 의 게스트 블로그입니다.
보안 커뮤니티 전체에서 널리 퍼진 믿음은 고품질 사이버 위협 정보 공유가 운영, 분석 및 대응을 담당하는 팀에 이롭다는 것입니다. 물론, 이러한 혜택을 위해서는 위협 공유가 정말로 고품질이어야 합니다. 다행히도 오늘날에는 성공적인 위협 공유 그룹을 설정하고 운영하고 운영하는 데 따르는 부담을 덜어주는 우수한 상용 플랫폼이 있습니다. 따라서 현재 데이터를 공유하지 않는 보안팀에 대한 변명은 거의 없습니다.
우리 사회에서 널리 퍼져 있는 또 다른 믿음은 사이버 공격이 점점 더 빠르고, 더 지능적이며, 더 교묘해지고 있다는 것입니다. 이러한 공격 속성은 Sand Hill Road에서 자금을 지원받은 우리만의 기술을 사용하여 달성됩니다. 자동화, 머신러닝, 자율성. 이로 인해 발생하는 소위 합성 공격은 너무 빠르고 교묘해서 사람이 직접 조정하는 수동 대응으로는 대응하기 어렵습니다. 이는 보안 팀에게 두려운 전망입니다.
F5 Networks는 TAG Cyber와 협력하여 F5 Agility 2018 동안 최근 작업 그룹을 위임했습니다. 보스턴에서 위협 정보 공유 와 합성 사이버 공격 이라는 두 가지 고려 사항을 추가 요소의 맥락에서 조사했습니다. 즉, 작업 그룹은 보안 팀에 유망한 이점을 제공할 수 있는 새로운 기술 동향과 관련하여 조사를 수행하라는 요청을 받았습니다. 소프트웨어 정의 네트워킹 (SDN).[1]
글로벌 서비스 제공자 커뮤니티에서 초대된 업계 참여자로 구성된 작업 그룹[2] – 따라서 다음의 근본적인 질문에 대해 논의하고, 토론하고, 집중하는 데 시간을 보내도록 초대되었습니다. 새로운 SDN 지원 서비스 제공자 인프라가 글로벌 통신사 간 자동화된 사이버 위협 정보 공유를 위한 기본 집합 플랫폼을 제공하여 합성 공격의 위험을 줄일 수 있을까요?
이 다각적인 질문에 답하기 위해 작업 그룹은 토론을 구성하고 집중시킬 수 있는 세 가지 더 집중적인 질문을 식별했으며, 이는 종합적인 답변을 생성하는 데 도움이 될 것입니다.
· 보안을 위한 SDN – 사이버 보안을 위한 SDN의 장단점은 무엇입니까?
· 개선된 ISP 공유 – 전반적인 ISP 공유를 개선하기 위해 어떤 전략을 따를 수 있습니까?
· 기능 요구 사항 – 어떤 플랫폼 기능이 SDN 지원 공유를 지원합니까?
실무 그룹 활동 중에 많은 관련 주제가 추가로 제기되었지만, 이 세 가지 중점 질문은 SDN 인프라가 실제로 통신사 간 자동화된 위협 정보 공유를 위한 훌륭한 기반을 제공한다는 결론을 내리는 데 효과적인 것으로 보입니다. 실제로 작업반은 이 기본 원칙에 동의했습니다. 자동화된 합성 공격을 차단하려면 서비스 제공자는 자동화된 방어에 의존해야 합니다.
첫 번째 질문은 SDN이 보안을 위한 효과적인 기반을 어떻게 제공할 수 있는지에 초점을 맞추었습니다. 반면 SDN 자체는 어떻게 보안될 수 있는지에 대한 질문도 있었습니다(이 주제는 본 노력의 범위를 벗어나는 것으로 간주됨). 이를 위해 참가자들은 여러 서비스 공급자 인프라 배포에서 위협 정보를 동적으로 자동화하여 공유하는 데 적합한 것으로 지정된 SDN의 다음과 같은 측면에 대한 의견을 제시했습니다.
두 번째 질문은 글로벌 ISP가 현재 위협 정보 공유를 전반적으로 어떻게 개선할 수 있는지에 초점을 맞췄습니다. 서비스 제공자 커뮤니티에서 사용하는 상대적 방법과 금융 서비스 부문에서 사용하는 주요 공유 절차 및 방법을 비교하고 대조하는 논의가 많이 이루어졌습니다.[3] 따라서 작업 그룹은 새로운 SDN의 맥락에서 보다 나은 공유를 위한 다음과 같은 제안을 확인했습니다.
세 번째 질문은 통신사 간 자동화된 위협 정보 공유를 지원하는 SDN 플랫폼과 공급업체 솔루션에 대한 기능적 요구 사항을 식별하는 데 중점을 두었습니다. 작업 그룹에서는 공급업체가 고객에게 서비스를 제공하려는 의욕을 가지고 있으며, 사용자 그룹이 각자의 요구 사항을 작업 표준으로 정리하면 가장 잘 대응할 것이라는 데 동의했습니다. SDN 지원 공유를 위해 식별된 주요 기능은 다음과 같습니다.
실무팀이 권장한 다음 단계는 다음과 같습니다. (1) 그룹 토론에서 이 기사를 게시하여 관련 활동의 계획 과정을 지원합니다. (2) SDN 기반 공유에 대한 아이디어를 육성하고 표준화 활동에 영향을 미치기 위해 연구 결과를 각 구성 조직에 전달합니다. (3) 공급업체 커뮤니티와 토론하여 이 중요한 영역에 더 많은 관심을 기울이도록 권고합니다.
이 작업 그룹의 결론은 다음과 같이 쉽게 말할 수 있습니다. 즉, 회원들은 사실상 새로운 SDN 지원 서비스 제공자 인프라가 글로벌 통신사 간 자동화된 사이버 위협 정보 공유를 위한 기본적 공동 플랫폼을 제공하여 합성 공격의 위험을 줄일 수 있다는 점에 대해 전면적으로 동의했습니다. 자동화된 합성 공격의 강도에 합의한 것을 감안할 때, 이런 결론에 도달하는 것은 팀에게는 흥미로운 전망이었다.
TAG Cyber LLC에서 준비: https://www.tag-cyber.com/
[1] 소프트웨어 정의 네트워킹(SDN) 기본 사항에 대한 철저한 검토를 원하는 독자는 Paul Goransson과 Chuck Black이 쓴 Software Defined Networks – A Comprehensive Approach (Morgan Kaufman, 2014)를 추천합니다.
[2] 참여자와 그들의 조직의 사생활을 존중하기 위해 이 참고문헌에서는 연구에 참여한 전문가나 그룹의 이름이 아닌 작업 그룹 세션 동안 도출된 결론과 권장 사항만을 전체적으로 언급합니다. 참가자는 이 노트를 검토하고 수정 사항을 제안할 기회를 가졌지만 남아 있는 오류는 작성자의 책임입니다.
[3] 작업 그룹이 도출한 주요 결론 중 하나는 금융 서비스 부문이 위협 공유 도구, 방법 및 FS-ISAC 생태계를 대중에게 마케팅하는 데 있어 모든 부문 중 가장 효과적인 역할을 한다는 것입니다.