Entmystifizierung von Security Chaos Engineering — Teil II
Das erster Teil dieser Blogserie erörterte die Ursprünge von Chaos Engineering und wie seine Anwendung auf Cloud-native Sicherheit den sich entwickelnden Cyberangriffen begegnen könnte, indem Cyber-Resilienz ermöglicht wird. In diesem abschließenden Teil werden einige praktische Anwendungen von Security Chaos Engineering erörtert, darunter die Nutzung wissenschaftlich fundierter Ansätze, die Beschleunigung der Sicherheitsreife und die Stärkung der Widerstandsfähigkeit von Zero-Trust-Architekturen.
Hinweis: In einem kürzlich durchgeführten Webinar wurden einige spannende Fakten über Security Chaos Engineering (SCE) erörtert, darunter auch, wie es sich von einigen bestehenden Cybersicherheitsansätzen unterscheidet, z. B. Red/Blue? Violettes Teaming. Sie können die Aufzeichnung des Webinars über den Link ansehen - https://www.mitigant.io/webinar/unraveling-security-chaos-engineering#about-the-webinar.
Cybersicherheit trifft Wissenschaft: Sicherheitsexperimente
Security Chaos Engineering (SCE) baut auf bewährten wissenschaftlichen Methoden auf, den gleichen Methoden, die dem Chaos Engineering zugrunde liegen. Die grundlegende Prämisse ist, dass Resilienz ein Produkt geplanter und organisierter Turbulenzen ist. Ohne eine gezielte und koordinierte Orchestrierung von Turbulenzen nehmen die Verteidiger ein falsches Sicherheitsgefühl wahr und blinde Flecken bleiben unbemerkt. Diese blinden Flecken sind potenzielle Angriffsmöglichkeiten im Wartezustand. Interessanterweise identifizieren Angreifer auf der anderen Seite solche blinden Flecken leicht, weil sie bewusst nach ihnen suchen; sie wenden gegnerische Taktiken an. Diese Denkweise, auch bekannt als Annahme eines Sicherheitsverstoßes, ist für den Einsatz proaktiver Cybersicherheitsmechanismen unerlässlich.
Ein entscheidender Vorteil von SCE besteht darin, dass es Verteidigern ermöglicht, aus der Perspektive von Angreifern zu denken und mehrere interessante Fragen zur Sicherheit und Widerstandsfähigkeit eines Systems zu stellen. Eine solche kontradiktorische Denkweise ermöglicht es, verschiedene Angriffsszenarien als Hypothesen zu formulieren, die bewiesen werden können. Der Nachweis von Hypothesen ermöglicht die Sammlung von Beweisen, wodurch Vermutungen oder Bauchgefühl vermieden und ein faktengestützter Analyseprozess ermöglicht wird. SCE ist vergleichbar mit der Operationalisierung von Übungen am Tisch, indem definierte Konstrukte zum Leben erweckt werden, um angenommene Szenarien zu testen und Beweise dafür zu gewinnen. Während praktische Übungen bei der Identifizierung von Angriffsmöglichkeiten helfen, ermöglicht SCE das Sammeln von Beweisen dafür, wie die eingesetzten Sicherheitskontrollen Angriffe und die kaskadierenden Auswirkungen dieser Angriffe auf eine Infrastruktur wirksam vereiteln können.
Schneller Reifegrad im Sicherheitsbereich
Sicherheitsreifemodelle werden häufig verwendet, um das Niveau einer Sicherheitsorganisation zu messen und gleichzeitig objektiv über die nächsten Verbesserungsschritte zu entscheiden, um eine kontinuierliche Weiterentwicklung zu ermöglichen. Eines der beliebtesten Reifegradmodelle für Cloud-Sicherheit ist das AWS-Sicherheitsreifemodell. Dieses Reifegradmodell ist ziemlich umfassend; interessanterweise wird darin die Bildung von Chaos-Engineering-Teams vorgeschlagen, um im Rahmen der Sicherheitssteuerung die Widerstandsfähigkeit zu gewährleisten. Die Chaos-Engineering-Teams sollen jedoch in Phase 4 des Reifegradmodells, der höchsten Stufe, eingerichtet werden. Implizit betrachtet das Modell die Einführung von Security Chaos Engineering als eine Angelegenheit, die sehr ausgereiften Sicherheitsteams vorbehalten ist.
Obwohl die Einrichtung von Chaos-Engineering-Teams wie eine Sache für sehr reife Teams erscheinen mag, ist es wichtig, einen wesentlichen Faktor zu berücksichtigen: Angreifer interessieren sich nicht für Reifegradmodelle. Mehrere Berichte deuten darauf hin, dass Cyberkriminelle zunehmend auf KMU abzielen. Daher sollten Unternehmen erwägen, SCE so schnell wie möglich einzuführen und dabei ihre Bedrohungsmodelle und Prioritäten in Einklang zu bringen.
Wie vertrauenswürdig ist Ihre Zero-Trust-Architektur?
Die Cybersicherheitsbranche hat in den letzten Jahren für Zero-Trust Architecture (ZTA) gesorgt. Die Vorteile der Einführung von ZTA liegen für die meisten Menschen auf der Hand. Die Marketingtaktiken der Anbieter von Cybersicherheitsunternehmen führen immer noch dazu, dass unwissende Käufer es übernehmen ein falsches Gefühl der Sicherheitslage. Es ist jedoch Es ist wichtig zu beachten, dass ZTA keine Wunderwaffe ist, es gibt ständig viele Spielereien von Anbietern und Fehlkonfigurationen durch Endbenutzer stellen in der Cloud nach wie vor eine Herausforderung dar. Daher ist es eine ernste Verantwortung, die Effizienz und den Sicherheits-ROI von ZTA-Implementierungen zu überprüfen, und SCE kann dabei helfen, dieser Verantwortung gerecht zu werden.
Im Gegensatz zu den meisten Cybersicherheitskontrollen verfügt SCE über eine kurze Feedback-Schleife, die Folgendes ermöglicht evidenzbasierte Sicherheit eher als Sicherheit auf Basis von Versprechungen Mechanismen. SCE überprüft die Effizienz der ZTA-Architektur, indem es Angriffe unterschiedlicher Stärke injiziert und beobachtet, ob der ZTA die Angriffe verhindert oder erkennt. Dieses Wertversprechen gilt nicht nur für ZTA, sondern für alle anderen Sicherheitsmechanismen.
Das NIST ZTA-Dokument stellt fest, dass die Widerstandsfähigkeit von ZTA gegenüber Unternehmens- und Netzwerkstörungen ein offenes Forschungsgebiet ist. Die Grenzen von ZTA bei fortgeschrittenen Angriffen werden noch ermittelt. Dies diskreditiert ZTA zwar in keiner Weise, verdeutlicht aber das Risiko von Angriffen, die ZTA überwinden oder seine Effektivität verringern. Die Einführung von SCE ermöglicht kontinuierliche Tests zur Cyber-Resilienz, um die ZTA-Einschränkungen zu identifizieren und so rechtzeitig geeignete Gegenmaßnahmen zu ergreifen.
Die Security Chaos Engineering-Plattform von Mitigant
Eine der Herausforderungen bei der Einführung von Security Chaos Engineering sind die hohen Kosten, die für den Aufbau eines geeigneten Systems von Grund auf erforderlich sind. Darüber hinaus ist das technische Know-how angesichts des erst vor Kurzem erschienenen Systems relativ unverfügbar; daher ist die Möglichkeit, interne Lösungen zu entwickeln, unwahrscheinlich. Mitigant löst diese Herausforderungen durch die Bereitstellung einer SaaS-SCE-Plattform.
Die Mitigant SCE-Plattform besteht aus mehreren Cloud-Angriffen, die als Bausteine für die Erstellung komplexer Angriffsszenarien gegen AWS-Services genutzt werden können. Die Plattform ermöglicht sichere und kontrollierte SCE-Experimente, Angriffe können mit Tastenklicks gestartet und gestoppt werden, und alle an der Cloud-Infrastruktur vorgenommenen Änderungen werden rückgängig gemacht und nahtlos wiederhergestellt. Darüber hinaus werden alle Angriffe dem zugeordnet MITRA BEI T&CK Bibliothek, die die Implementierung von Angriffen in der realen Welt ermöglicht, die in freier Wildbahn durchgeführt werden.
Die Plattform von Mitigant SCE zielt darauf ab, Cyber-Resilienz als erstklassiger Bürger in einer Cloud-nativen Infrastruktur zu ermöglichen. Sie eignet sich für Unternehmen aller Größen und ermöglicht eine schnelle und sichere Einführung von SCE, ohne den bereits oben genannten Kosten- und Ressourcenaufwand in Kauf nehmen zu müssen. Bitte zögern Sie nicht, uns zu kontaktieren, wenn Sie an der Einführung von Security Chaos Engineering interessiert sind.