Ogni giorno migliaia di dispositivi sono connessi a reti sempre più grandi e complesse, che stanno aprendo la strada a molteplici servizi e processi. Tutto questo ha fatto sì che la superficie di attacco sia cresciuta rapidamente, quindi è necessario un adattamento repentino.
Dobbiamo proteggere i nostri sistemi contro i pericoli provenienti da tutte le direzioni, non solo dall'"esterno". Gli endpoint "fidati" hanno un accesso privilegiato all'infrastruttura ma possono essere facilmente compromessi. Di conseguenza, per combattere contro un attaccante privilegiato, è necessario rinforzare l'infrastruttura.
Kirey Group e IP Fabric integrano le capacità di Network Infrastructure Security per creare un modello affidabile di rete e facilitare la condivisione del dato tramite l’integrazione e l’utilizzo di API.
Un elemento chiave è garantire che i dispositivi che compongono la rete non siano vulnerabili agli attacchi. La Mitre Corporation, sponsorizzata dal governo Statunitense, gestisce il programma Common Vulnerability and Exposure (CVE). Lo scopo di questo programma è quello di identificare, definire e catalogare le vulnerabilità pubblicamente divulgate nel software e nelle infrastrutture. Ad ogni vulnerabilità viene assegnato un identificatore, successivamente viene classificata, valutata e aggiunta al repository centrale, ospitato dal NIST. Le organizzazioni possono quindi utilizzare i dati nel repository per valutare la loro esposizione.
Tipicamente i Vendor rendono disponibili ai loro clienti questi dati, in modo che possano assistere nella gestione del loro ciclo di vita. Fino a poco tempo fa, il NIST forniva l'accesso al National Vulnerability Database (NVD) a chiunque lo volesse sotto forma di un file feed. A partire da giugno 2020, il metodo più utilizzato è fare una richiesta REST API, che apre tutta una serie di opportunità! Una sola chiamata API può fornire l'elenco dei CVE che si riferiscono a un particolare modello in una famiglia di apparecchiature del vendor che eseguono una particolare versione di codice.
Il discovery di IP Fabric mappa la rete hop-by-hop, regolarmente e automaticamente, in istantanee programmate. Ogni snapshot contiene un modello completo della rete mappata in quel preciso momento, compresi l'inventario dei dispositivi, la versione del codice etc.
Se si combinano questi dati con il database CVE, si avranno tutti i dati necessari per scoprire quali CVE potrebbero attaccare l’infrastruttura di rete!
Let’s take it a step further. The IP Fabric model also keeps account of the configurations that have been applied to devices, the network topology, and the hosts that are connected to a device at any given time. Once you've found the CVEs affecting devices in your environment, you may use the model's information to:
I dati nel modello descritto sopra, possono essere facilmente estratti da IP Fabric usando la sua completa API REST. La chiamata delle API per ottenere quei dati è semplice: è necessario creare un token API, e successivamente inviare una richiesta POST all'endpoint API del proprio server IP Fabric 'tables/inventory/devices' per recuperare l'inventario dal relativo snapshot.
Ad esempio:
curl "https://demoX.ipfabric.io/api/v1/tables/inventory/devices" -X POST -H "X-API-Token: XXXXXXXXXXXX" -d '{"columns":["hostname","vendor","family","version"],"snapshot":"$last"}'
Si può quindi scorrere l'elenco dei dispositivi che vengono restituiti e mettere insieme una richiesta per cercare nel database NIST, per esempio:
curl "http://services.nvd.nist.gov/rest/json/cves/1.0?cpeMatchString=cpe:2.3:*:<vendor>:<family>:<version>"
Questo produce una struttura di dati JSON con un elenco di CVE che si applicano al dispositivo.
Una descrizione del CVE (sorgente del report) una categorizzazione del livello di minaccia in termini di effetto e sfruttabilità e così via, sono inclusi per ogni elemento CVE. Utilizzando uno script per eseguire la richiesta API rende possibile analizzare l'elenco, per confrontare l'effetto di quei CVE con il ruolo e lo stato dei dispositivi nel modello di IP Fabric.
C'è uno script di esempio nel repo #CommunityFabric di IP Fabric su GitHub che fa queste chiamate a IP Fabric e al database NIST per voi. Fa uso di un API Client molto semplice per mantenere il codice leggibile e facile da modificare.
A partire delle competenze che le persone Kirey Group hanno sviluppato sul campo negli anni, la partnership con IP Fabric mira a integrare le capacità di network assurance che creano un modello completo e affidabile della rete e facilitano la condivisione del dato tramite l’integrazione e l’utilizzo di API, con tutte le altre componenti dell’offerta del Gruppo come i sistemi di ticketing, governance, sicurezza e altro ancora.
Recuperare in modo autonomo le informazioni dal campo e integrarsi con le persone che svolgono i processi, consentirà di portare l’ottimizzazione ai massimi livelli, raggiungendo quello scopo che abbiamo indicato all’inizio: ottenere una conoscenza profonda della relazione tra tutti i vari elementi che compongono la rete e i sistemi dei clienti. Una compressione che per Kirey Group si tradurrà nella capacità di supportare le aziende in un modo ancora più completo e puntuale davanti a nuovi progetti di crescita e trasformazione.
Fonte dell'articolo: https://ipfabric.io/blog/network-infrastructure-security/