Security Wine (бывший - DevSecOps Wine)

Security Chaos Engineering

В связи с увеличением числа упоминаний темы Chaos Engineering на просторах Интернета в последнее время, грех не поговорить о Security Chaos Engineering.

Сама по себе концепция хаос-инжиниринга основана на нескольких гипотезах - определение "стабильного" состояния, создания гипотезы о последующем состоянии, введение переменных, осуществление попыток "сломать" гипотезу. После серии тестов инфраструктура оценивается на предмет доступности, безопасности и производительности. Как итог цель всего этого - получить систему, способную выдерживать экстремальные условия.

Security Chaos Engineering выделяется лишь гипотезами, касающимися безопасности. Тесты могут состоять, например, из отключения правил Security Groups, изменение файлов случайным образом, прослушивание портов, внедрение вредоносного трафика в VPC, случайное убийство процессов. При этом все это должно быть автоматизированно, а состояния системы должны непрерывно отслеживаться.

А теперь, где можно познакомиться подробнее:
Security Chaos Engineering for Cloud Services - про эксперименты, результаты и опыт взаимодействия с CloudStrike для реализации экспериментов

Building Secure Systems using Security Chaos Engineering and Immunity - Yury Niño Roa - за ссылку спасибо @tech_b0lt_Genona, у него же можете почитать в целом про chaos engineering

Security Precognition: Chaos Engineering in Incident Response - неплохой вводный доклад с RSA Conference

Инструменты для тестирования и контроля состояний среды в процессе тестирования:
ChaoSlingr, Security Monkey

#ops #tools

www.tgoop.com/sec_devops/189

3.3K viewsDenis Yakimov, edited  May 12, 2020 at 05:49

Security Chaos Engineering

В связи с увеличением числа упоминаний темы Chaos Engineering на просторах Интернета в последнее время, грех не поговорить о Security Chaos Engineering.

Сама по себе концепция хаос-инжиниринга основана на нескольких гипотезах - определение "стабильного" состояния, создания гипотезы о последующем состоянии, введение переменных, осуществление попыток "сломать" гипотезу. После серии тестов инфраструктура оценивается на предмет доступности, безопасности и производительности. Как итог цель всего этого - получить систему, способную выдерживать экстремальные условия.

Security Chaos Engineering выделяется лишь гипотезами, касающимися безопасности. Тесты могут состоять, например, из отключения правил Security Groups, изменение файлов случайным образом, прослушивание портов, внедрение вредоносного трафика в VPC, случайное убийство процессов. При этом все это должно быть автоматизированно, а состояния системы должны непрерывно отслеживаться.

А теперь, где можно познакомиться подробнее:
Security Chaos Engineering for Cloud Services - про эксперименты, результаты и опыт взаимодействия с CloudStrike для реализации экспериментов

Building Secure Systems using Security Chaos Engineering and Immunity - Yury Niño Roa - за ссылку спасибо @tech_b0lt_Genona, у него же можете почитать в целом про chaos engineering

Security Precognition: Chaos Engineering in Incident Response - неплохой вводный доклад с RSA Conference

Инструменты для тестирования и контроля состояний среды в процессе тестирования:
ChaoSlingr, Security Monkey

#ops #tools

BY Security Wine (бывший - DevSecOps Wine)