iyouport

安全混沌工程

Published: October 9th 2021, 6:00:02 am

PreviousNext
iyouport main image
iyouport image #0

《Security Chaos Engineering. Gaining Confidence in Resilience and Safety at Speed and Scale》

安全混沌工程(SCE) 指的是通过主动的实验来识别安全控制上的故障,以建立对系统能力的信心,以抵御生产中的恶意场景 。

SCE填补了当代安全方法中的许多空白,如红紫队演习等。红紫队演习或其他安全测试方法仍然很有价值,但是面临上述提到的囧境,一切都不同了。

与单独实施相比,与SCE的结合提供了更客观、更主动的反馈机制,为系统应对不良事件做好准备。

红队起源于美国武装部队,可描述为一种“对抗的方法,以最真实的方式模仿攻击者的行为和技术”。

企业中常见的红队有两种形式,分别是白客攻击和渗透测试。在这些演习中,蓝队是红队的防守队伍。

紫队是红队演习的一种进化,“紫”字反映了红蓝组队的混合。

但这三种都有各自的缺陷。

SCE可以弥补这些缺陷,并提供了一些好处,包括:

  • SCE对系统有更全面的关注。主要的目标不是欺骗其他人员或测试警报;相反,这是为了主动识别由复杂分布式系统所引起的系统安全故障,并建立信心。
  • SCE利用简单的隔离和受控实验,而不是复杂的攻击链。当同时进行大量更改时,很难控制爆炸半径,也难以将信号与噪声区分开。SCE大大降低了噪声。
  • SCE提供了一种协作式学习体验,其重点是构建更具韧性的系统,而不是对事件做出反应。

SCE不一定与红队或紫队的发现或意图竞争。然而,SCE确实增加了一层有效性、透明度和可重复性,可以显著提高这些实践的价值。

红队和紫队的练习,根本无法跟上CI/CD和复杂分布式环境的步伐。现在,软件工程团队在24小时内会交付多个产品更新。在红队或紫队练习中获得的结果,其相关性很快就会降低,因为在此期间系统可能已经发生了根本的变化。

如果您希望在安全领域有所深入,这本新书将能够帮助您详细理解SCE。

PreviousNext