miércoles, 9 de noviembre de 2016

OpenDXL como una plataforma de orquestación

De vez en cuando entro en un debate sobre qué constituye una plataforma. Para mí, significa conectar funciones y datos tan fácilmente y directamente como sea posible, equilibrando velocidad, simplicidad y seguridad. 

Si bien es bueno presentar esto como una arquitectura, con interfaces abiertas, el desarrollo de software moderno es más complejo. Las interfaces programables, tanto abiertas como propias, emergen alrededor de cada capa y módulo como nuevas ideas, son llevadas al mercado en un escenario cada vez más sofisticado y saturado, pero aún evolucionando rápidamente.

Para que podamos superar las vulnerabilidades de la Segunda Economía, los equipos de seguridad (e incluyo endpoint, centro de datos, y las operaciones de red en esta responsabilidad), necesitan de la capacidad para adoptar tecnologías de “misión limitada” rápidamente, mientras dichas herramientas sigan siendo eficaces contra los ataques u obstáculos para los que fueron diseñadas. Sin embargo, una función de operaciones de seguridad sostenible depende de la integración de estas herramientas con sistemas operativos, gestión de procesos y recursos de personas. 

Para tener un buen puenteo sostenible es el motivo por el que la iniciativa OpenDXL es sumamente estratégica para Intel Security y para toda la industria. Mediante una interfaz de programación común y un modelo de orquestación abierto, los equipos de seguridad pueden conectar cosas y sistemas operativos. Esta conexión mantiene el enfoque sobre los factores críticos de éxito en la segunda economía:
  1. Confianza: Lograr la visibilidad y retroalimentación de ciclo cerrado para habilitar la “confianza” entre los miembros del equipo que deben colaborar a lo largo de las operaciones de amenazas y las operaciones de TI.
  2. Valoración: Obtener la suficiente transparencia sobre riesgo y cambio para comprender el impacto de los eventos en su “infraestructura” (activos corporativos).
  3. Tiempo: Los procesos unificados (integrados, automatizados y orquestados) reducen las métricas de “tiempo” que son críticas para gestionar el cómo se actúa eficientemente contra el reloj de los ciberdelincuentes.
En el evento FOCUS 2016, Steve Grobman mostró un ejemplo del nuevo modelo de orquestación OpenDXL, el cual aprovecha el cliente de código abierto Python DXL, disponible en github.com/openDXL, hemos creado una prueba de concepto para los partners de la Intel Security Innovation Alliance, Check Point, HP Aruba y Rapid7, en conjunción con el nuevo McAfee Active Response Endpoint Detection and Response (EDR).

En este flujo de trabajo de defensas contra amenazas de ciclo cerrado, los eventos de firewall de Check Point se publicaron en DXL, desencadenando una búsqueda inmediata a lo largo de endpoints por parte de McAfee Active Response. A continuación, se lanzaron acciones de corrección utilizando HP DXL Aruba (cuarentena del host) y Rapid7 (análisis de vulnerabilidades). La demostración no requiere intervención humana, lo que confirma que las tareas claves de bajo riesgo pueden ser totalmente automatizadas y realizadas en cuestión de segundos, debido a la fácil integración e interacciones de alta velocidad de DXL.

Finalmente podemos concluir que, normalmente asumo que las demostraciones inaugurales involucran información privilegiada, efectos especiales, muletas de software y una gran dosis de suerte. Aunque puede ser el caso de muchos, con el código abierto OpenDXL del cliente Python, no se necesitó nada de eso.

Los asistentes a FOCUS pudieron conversar con el autor de la demostración y ver por sí mismos lo fácil que era visitando nuestro stand. También pudieron atestiguar la facilidad de integración mediante la exposición de DXL. Las discusiones de la comunidad también ayudarán a que más desarrolladores y empresas arranquen la adopción de este protocolo de información. OpenDXL