La ingeniería del caos de seguridad le ayuda a encontrar eslabones débiles en sus ciberdefensas antes de que lo hagan los atacantes


Los expertos en seguridad explican por qué este enfoque se trata de datos y resiliencia, no de sabotear deliberadamente su propia crimson.

security-chaos-engineering.jpg

En una cumbre virtual sobre ciberseguridad, Jamie Dicken, gerente de seguridad aplicada de Cardinal Health and fitness, dijo que la ingeniería del caos de seguridad es very similar a las pruebas de software program.

Imagen: Jamie Dicken

La ingeniería del caos es una forma para que los equipos de seguridad reemplacen la lucha contra incendios continua con el aprendizaje continuo, según dos expertos de la industria. En la RSA 365 Virtual Summit de esta semana, Aaron Rinehart, CTO y cofundador de Verica, y Jamie Dicken, gerente de seguridad aplicada de Cardinal Health and fitness, explicaron cómo funciona este enfoque de seguridad de TI. En lugar de esperar las operaciones diarias o los ataques de personas externas para resaltar las fallas de seguridad, los equipos de seguridad pueden adelantarse a estos problemas experimentando para ver cómo funciona realmente un sistema.

Durante la presentación, Navegando lo incognoscible: resiliencia a través de la ingeniería del caos de seguridad, Dicken dijo que una de las razones por las que los equipos de seguridad están constantemente corriendo de un incidente de seguridad a otro es la mentalidad tradicional orientada al diseño.

«Lo que estamos haciendo es luchar batalla tras batalla cuando lo que necesitamos es una forma nueva y radical de asegurar y estabilizar nuestros sistemas si alguna vez queremos adelantarnos a esto», dijo.

Dicken utilizó los consejos de experto en gestión Dave Snowden para explicar por qué funciona la ingeniería del caos de seguridad: la única forma de entender un sistema complejo es interactuar con él. Dijo que parte del problema es que ningún ingeniero de redes o experto en seguridad comprende realmente las redes complejas que administran debido en parte a la documentación incompleta.

«Si su proceso de evaluación de un sistema depende de una documentación obsoleta o incorrecta de un sistema, su evaluación de ese sistema fallará», dijo.

VER: Política de protección contra robo de identidad (TechRepublic High quality)

Rinehart dijo que la ingeniería del caos prueba las suposiciones sobre un sistema y cómo funciona.

«Estamos introduciendo problemas de manera proactiva en un sistema distribuido para tratar de determinar las condiciones bajo las cuales el sistema fallará antes de que realmente lo haga», dijo.

Este método de probar los sistemas de seguridad minimize la incertidumbre y aumenta la posibilidad de detectar una debilidad antes de que lo haga un atacante.

«No estamos simulando ataques, solo estamos inyectando pequeños puntos de falla», dijo Rinehart.

Rinehart enumeró estos casos de uso para la ingeniería del caos de seguridad:

  • Respuesta al incidente
  • Validación del control de seguridad
  • Observabilidad de seguridad
  • Monitoreo de cumplimiento

“Cada experimento de ingeniería del caos tiene valor de cumplimiento porque está verificando que el sistema funcionó de la manera en que lo tenía documentado”, dijo.

En diciembre, O&#39Reilly publicó un informe sobre ingeniería del caos de seguridad por Rinehart y Kelly Shortridge.

En la sesión de RSA, Dicken explicó cómo introdujo la ingeniería del caos a su equipo y Rinehart describió cómo construyó una herramienta de código abierto. ChaoSlinger para implementar este enfoque.

Empezando con la ingeniería del caos

Dicken dijo que su equipo en Cardinal Health and fitness comenzó a utilizar este enfoque de seguridad en el verano de 2020. Parte de su inspiración para hacer este cambio fue el Informe de costo de una violación de datos de IBM Protection 2020. Dicken dijo que mucha gente se centró en la cantidad de ataques que provenían de forasteros: 52%.

«Lo que me llevo es que el 48% de las filtraciones de datos son causadas por errores y accidentes o fallas evitables», dijo.

Su equipo comenzó con la validación del management de seguridad como el foco de su experimentación. El plan period asegurarse de que los controles de seguridad existentes no se hubieran degradado con el tiempo y construir un nuevo proceso para construir estos controles.

Dicken dijo que creó un equipo multidisciplinario de ingenieros que cubren la seguridad de la purple, la arquitectura de la crimson, la ingeniería de sistemas y el riesgo y la privacidad.

Los objetivos del equipo fueron:

  • Identificar brechas de seguridad críticas e indiscutibles
  • Ilustre el «panorama normal» de las brechas de seguridad
  • Asegúrese de que las brechas de seguridad no se vuelvan a abrir más tarde

Ella dijo que el equipo se dio cuenta de que los ingenieros de seguridad de primera línea no siempre tenían suficiente información sobre un sistema en individual para describir dónde estaba el riesgo y llevarlo a la reparación.

Tener un equipo multidisciplinario fue una forma de abordar esa brecha de información. Dicken dijo que el equipo desarrolló un proceso de cinco pasos para guiar cada experimento de ingeniería del caos:

  1. Seleccione un management para validar
  2. Definir los estándares
  3. Desarrolle la automatización para validar los estándares
  4. Cree un tablero y use análisis para contar la historia
  5. Alerta por incumplimiento de normas técnicas

Dicken dijo que es fácil comenzar con pequeños experimentos de caos, como probar una única función de alerta o un componente del proceso de respuesta a incidentes.

«Piense en cómo puede simular un incidente de seguridad en el contexto de su organización «, dijo.

Su objetivo a largo plazo es utilizar la experimentación del caos de seguridad para pasar al desarrollo basado en pruebas.

«Queremos asociarnos con nuestro equipo de arquitectura de seguridad para que a medida que desarrollemos nuevos estándares, escribamos nuestras pruebas por adelantado y, a medida que se construyen esos nuevos controles, veamos que nuestras pruebas comienzan a aprobar», dijo.

chaoslinger.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2021/02/01/aad66202-ffa2-4c1e-bf50-55f8d357c108/resize/770x/0df3afe59b604c7733b10843489725bd/chaoslinger.jpg

Aaron Rinehart, director de tecnología de Verica, creó esta herramienta de código abierto para realizar pruebas de ingeniería de caos de seguridad y determinar si sus defensas de pink funcionarían como se esperaba.

Imagen: Aaron Rinehart

Herramientas para usar en experimentos de ingeniería del caos

Una vez que un equipo de seguridad ha decidido probar este enfoque, el siguiente paso es encontrar una herramienta para usar. Rinehart explicó durante la presentación cómo desarrolló la herramienta de código abierto ChaoSlinger cuando period el arquitecto jefe de seguridad en UnitedHealth Team. Creó la herramienta para verificar y validar las medidas de seguridad en la nube.

Usó la herramienta para ver qué pasaría con la inyección de un cambio de puerto mal configurado, un problema común en las operaciones en la nube. Aprendió cuatro cosas específicas sobre su purple de este experimento:

  1. Hubo un problema de deriva entre entornos comerciales y no comerciales
  2. Una herramienta de gestión de configuración nativa de la nube detecta y bloquea este tipo de cambio cada vez
  3. Una solución de cosecha propia estaba alertando a la seguridad sobre estos cambios como se esperaba
  4. Un analista de SOC no pudo determinar de qué cuenta de AWS provenía una alerta en distinct

Rinehart dijo que la solución al cuarto hallazgo fue simplemente agregar metadatos a la alerta. Encontrar esta información fue easy pero llevó mucho tiempo.

«Si esto hubiera sido realmente un apagón o un incidente, pasar de 30 minutos a una hora podría haber sido muy costoso», dijo.

Dicken sugirió buscar herramientas de proveedores de emulación de ataques u otras herramientas que los Crimson Teams usan con frecuencia.

«Desea construir en la plan de validación continua en lugar del compromiso de una sola vez», dijo.

Ver también



Enlace a la noticia first