Suche
Mitigant Blog

Nutzung von Security Chaos Engineering für Cloud-Cyber-Resilienz — Teil II

The first part of this blog series discussed the difference between cyber resilience and cyber security and decoupled the concept of cyb
31.7.2023
Kennedy Torkura
8 min read
Nutzung von Security Chaos Engineering für Cloud-Cyber-Resilienz — Teil II
Table of Contents
Example H2
Example H3
Example H4
Example H5
Example H6
Contributors
Kennedy Torkura
Kennedy Torkura
Co-Founder & CTO
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Das erster Teil dieser Blogserie erörterte den Unterschied zwischen Cyber-Resilienz und Cybersicherheit und entkoppelte das Konzept der Cyber-Resilienz aus der Perspektive der Menschen, Prozesse und technologischen Rahmenbedingungen. Dieser abschließende Teil befasst sich eingehender mit der Cyber-Resilienz in der Cloud, indem der aktuelle Stand der Technik untersucht wird, das Cyber-Resilienz-Engineering hervorgehoben und die Punkte zwischen dem Cyber Resiliency Engineering Framework und dem Security Chaos Engineering miteinander verknüpft werden.

Cyber-Resilienz in der Cloud — Stand der Technik

EIN aktuelle Studie von Cisco stellte fest, dass Cyber-Resilienz für 96 Prozent der Führungskräfte eine hohe Priorität hat. Ähnlich verhält es sich mit dem Weltwirtschaftsforum kürzlich formuliert das Cyber Resilience Framework und der Cyber Resilience Index, um die Einführung von Cyber-Resilienz in Unternehmen zu beschleunigen. Dies sind nur zwei von mehreren Initiativen, die sich an Unternehmen richten, die sich mit Cyber-Resilienz auseinandersetzen, um deren Einführung zu fördern. Es gibt jedoch immer noch keinen nennenswerten Trend zur Einführung, weshalb sich die Frage stellt: Warum ist die Einführung von Cyber-Resilienz gering und welche Ansätze könnten ihre Einführung beschleunigen?

Wir untersuchen die oben genannten Fragen im Rahmen der Cloud-Infrastruktur. Einige nützliche Erkenntnisse können gewonnen werden, wenn drei dominante Cloud-Indikatoren untersucht werden: Cloud-Dienste, Cloud-Architekturpläne und Cloud-Referenzimplementierungen.

Cloud-Dienste

Der erste zu berücksichtigende Indikator sind die Dienste, die von den drei wichtigsten Cloud-Dienstanbietern (CSP) angeboten werden: Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure. Während beide AWS und Azurblau bieten über 200 Dienstleistungen an, GCP bietet etwas mehr als 100 Dienstleistungen an. Keiner dieser Dienste ist jedoch darauf ausgerichtet, Cyber-Resilienz zu ermöglichen. Man könnte argumentieren, dass die Dienste, die die Datenresistenz unterstützen (z. B. AWS Backup), unter Cyber-Resilienz fallen. Das Ziel eines effizienten cyberresistenten Systems bestünde jedoch darin, die Speicherebene weit außerhalb der Reichweite von Gegnern zu halten, indem vorhergehende Resilienzschichten implementiert werden. Ein weiteres Argument, das vorgebracht werden könnte, betrifft die Existenz mehrerer Cybersicherheitsdienste, die genutzt werden könnten, um Cyberresistenz zu ermöglichen. Einverstanden, einige CSP-Sicherheitsdienste könnten für die Cyberresistenz genutzt werden, z. B. Dienste, die eine Zero-Trust-Architektur sowie Bedrohungserkennung und Reaktion auf Vorfälle ermöglichen. Aber ist das eigentlich nicht immer noch Cloud-Sicherheit? Cyber-Resilienz erfordert spezifische Gestaltungsprinzipien, Ziele und Vorgaben, auf die die CSP-Sicherheitsdienste abgestimmt werden müssen, um Resilienz zu gewährleisten. CSPs können dieser Sackgasse begegnen, indem sie Dienste speziell zur Aktivierung, Unterstützung und Verwaltung der Cyberresistenz entwickeln. Solche Dienste würden es Architekten, Ingenieuren usw. für Cyber-Resilienz ermöglichen, Cyber-Resilienz in der gesamten Cloud-Infrastruktur zu entwerfen, zu implementieren und einzusetzen.

Das AWS Well-Architected Framework

Architektonische Pläne für die Cloud

Jeder der drei führenden CSPs bietet Well-Architected Frameworks (WAF) als architektonische Entwürfe für die Erstellung von Anwendungen und Infrastruktur. Im Allgemeinen umfassen die WAFs die folgenden Säulen: Zuverlässigkeit, Sicherheit (einschließlich Compliance und Datenschutz), Kostenoptimierung, Operational Excellence und Leistungseffizienz/-optimierung. (AWS hat eine zusätzliche Säule — Nachhaltigkeit). Keines dieser Frameworks dient als Leitfaden für Cyber-Resilienz; Sie könnten versucht sein, dies zu erwähnen Zuverlässigkeit und Sicherheit Säulen. Der Pfeiler Zuverlässigkeit dient jedoch als Richtschnur für sicherheitsrelevante Anforderungen, von denen die meisten unter die Betriebs- und Systemstabilität fallen oder sich mit diesen überschneiden. Ein Vergleich mit Cyber-Resilienz ist daher vergleichbar mit dem Vergleich von Anwendungseinheitentests mit Penetrationstests; ähnliche Ziele, aber völlig unterschiedliche Methoden, Fähigkeiten usw.

In ähnlicher Weise legt die Sicherheitssäule die Grundlagen für Cybersicherheit, was nicht mit Cyber-Resilienz gleichzusetzen ist. Wir haben gute Arbeit geleistet, um diese beiden in den Bereichen zu unterscheiden erster Teil dieser Blogserie. Fühlen Sie sich frei zu lesen hier.zwareware

Architekturdiagramm eines Azurblaue Landezone

Cloud-Referenzimplementierungen

Aufgrund der Komplexität der Cloud-Infrastruktur reicht es nicht aus, WAFs und andere Arten von Best Practices bereitzustellen. Cloud-Nutzer benötigen eine Art von Automatisierung, die die praktische Einführung vereinfacht. Dieser Bedarf hat den Weg für Cloud-Verkaufsautomaten als Teil des Cloud Adoption Framework (CAF) geebnet. Die Bezeichnungen unterscheiden sich je nach CSPs, doch das Ziel und die Zielsetzungen sind ähnlich. AWS bietet die Kontrollturm, das den Landezonen die Best-Practice-Implementierungen bietet. Wie der Kontrollturm bietet auch Microsoft Azure Landezonen die ein Bestandteil des CAF sind. GCP bietet auch Landezonen als Referenzimplementierung für mehrere Anwendungsfälle in Form von Infrastructure-as-Code. Wenn man sich diese CSP-Landezonen anschaut, gibt es keine Beispiele für Implementierungen, die Cyber-Resilienz ermöglichen. Dies ist nicht überraschend, da die Landezonen auf den WAFs und den verfügbaren Diensten basieren, die von den CSPs angeboten werden.

Entwicklung von Cyber-Resilienz

Die effiziente Einführung von Cyber-Resilienz für Cloud-Infrastrukturen erfordert ingenieurorientierte Ansätze. In den letzten Jahren haben ingenieurorientierte Ansätze bei der Einführung und Weiterentwicklung mehrerer Technologien als Kraftmultiplikatoren gewirkt. Diese Behauptung wird durch die Beobachtung der Entwicklung mehrerer Cloud-nativer Computerkonzepte untermauert, die sich in modernen Infrastrukturen immer mehr durchsetzen. Einige dieser Konzepte beinhalten die kontinuierliche Integration/Entwicklung/Bereitstellung, DevOpsund Microservices. Diese Konzepte finden sich in allen Organisationen, unabhängig von Größe, Branche, geografischer Lage usw., während theoretische Definitionen bestehen bleiben grundlegend und wichtig, klare Anweisungen zu technischen und praktischen Aspekten sind von entscheidender Bedeutung. Klare, technologieorientierte Ansätze ermöglichen es Anwendern, schnell loszulegen, Konzepte in die Realität umzusetzen und bis zur Serienreife zu iterieren. Bisher gab es jedoch keine ausreichenden ingenieurorientierten Initiativen zur Verbesserung der Cyberresistenz. Die Framework für die Entwicklung von Cyber-Resilienz (CREF) schien kürzlich diese Lücke zu füllen.

Der CREF-Navigator

Framework für die Entwicklung von Cyber-Resilienz

Trotz des theoretischen Verständnisses von Cyber-Resilienz ist ihre Akzeptanz begrenzt, zumal es keine praktischen Umsetzungsrichtlinien gibt. CREF begegnet dieser Herausforderung, indem es einen umfassenden Ansatz für den Entwurf, die Entwicklung und die Wartung von cyberresistenten Systemen bietet. CREF ist eine Initiative, die vom US-amerikanischen National Institute of Standards and Technology (NIST) vorangetrieben wird. CREF unterscheidet sich von anderen Cyber-Resilienz-Initiativen, indem es präzise Konstrukte bereitstellt, die Cyber-Resilienz als einen Bereich definieren, einschließlich Zielen, Entwurfsprinzipien sowie Implementierungstechniken und -ansätzen. CREF bezieht viele seiner Konstrukte aus der Widerstandsfähigkeit von Systemen und verdeutlicht gleichzeitig den Zusammenhang zwischen Cyberresistenz und Risikomanagement. Dieser Ansatz ermöglicht ein greifbares Verständnis dieser Konstrukte aus verschiedenen Perspektiven, insbesondere aus organisatorischer, verwaltungstechnischer und technischer Sicht.

Nutzung von CREF für Cloud-Cyber-Resilienz

CREF ist typisch für ein Framework und bietet allgemeine Leitlinien, die eine kontextuelle Implementierung für spezifische Endbenutzeranforderungen ermöglichen. Dies ermöglicht zwar eine flexible Implementierung, ist aber für neuere Technologien, z. B. Cloud-Computing, eine Herausforderung. Ähnlich wie bei anderen Frameworks, die irgendwann Cloud-spezifische Versionen veröffentlichen, wäre es sehr nützlich, wenn eine Version von CREF veröffentlicht würde, die sich speziell auf Cloud-Technologien konzentriert. Zum Beispiel wäre die Abbildung der CREF-Techniken auf Cloud-Dienste (wie in der folgenden Tabelle für die adaptive Reaktion beschrieben) eine enorme Erleichterung für Praktiker der Cloud-Cyber-Resilienz. Darüber hinaus müsste die Gesamtheit der CREF-Konstrukte auf Cloud-Technologien angewendet werden. Dies würde die Cloud-Akteure in die Lage versetzen, die Cyber-Resilienz in der Cloud einfacher zu gewährleisten. Letztlich erfordern diese Herausforderungen gemeinsame Anstrengungen der Cloud-Akteure: CSPs, Aufsichtsbehörden, Drittanbieter usw.

Eine Zuordnung der Adaptive Response CREF-Technik zu AWS-Services

zB.

Security Chaos Engineering — eine Disziplin, die auf Resilienz aufgebaut ist

Sicherheitschasstechnik ist ein direktes Spin-off von Chaostechnik, eine Disziplin, die vor über einem Jahrzehnt entstanden ist, weil Netflix ein hohes Maß an Systemstabilität für seine Cloud-Infrastruktur benötigt. Im Laufe der Jahre haben mehrere renommierte Unternehmen mithilfe von Chaos Engineering unerschütterliche Systeme und betriebliche Widerstandsfähigkeit betrieben. Die Cybersicherheitsbranche ist jedoch noch zu nutzen Chaos-Engineering zur Steigerung der Cyber-Resilienz, trotz der unbestreitbaren Tatsache, dass Cyber-Resilienz ist entscheidend zur Überwindung der schnell steigenden Rate erfolgreicher Cyberangriffe.

SCE verwendet kontradiktorische Techniken zur Überprüfung der Cyber-Resilienz

Überprüfung der Cloud-Sicherheit

Die zentrale Intuition hinter Chaos Engineering ist die gezielte und organisierte Injektion von Fehlern in ein System, um zu sehen, ob das System die mit diesen Fehlern verbundenen Bedrohungen für die Widerstandsfähigkeit bewältigen kann. Wenn die eingeführten Fehler nicht angemessen behandelt werden, führen sie wahrscheinlich zu Systemausfällen, die sich letztendlich auf mehrere gewünschte Eigenschaften auswirken, darunter Verfügbarkeit und Leistung. In ähnlicher Weise zielen die injizierten Fehler darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit zu beeinträchtigen, wenn dieser Ansatz im Zusammenhang mit der Cybersicherheit angewendet wird. Darüber hinaus können diese Sicherheitslücken so konzipiert sein, dass sie die im System implementierten Maßnahmen zur Cyberresistenz beeinträchtigen, um zu überprüfen, wie diese Implementierungen die Widerstandsfähigkeit gewährleisten. Im Wesentlichen sind diese Sicherheitsangriffe kontradiktorischer Natur und entsprechen der Art von Tests, die in CREF spezifiziert sind, um die Cyberresistenz zu überprüfen und kontinuierlich Verbesserungen vorzunehmen. CREF empfiehlt, kontradiktorische Tests durchzuführen, um die Wirksamkeit von Ansätzen, Gestaltungsprinzipien und Zielen und Vorgaben im Bereich Cyberresistenz zu überprüfen. Diese Verifizierungsprozesse können in mehreren Phasen des Lebenszyklus von cyberresistenten Systemen durchgeführt werden.

SCE ist ein Form der kontradiktorischen Prüfung das es Verteidigern ermöglicht, das Bedrohungsverhalten gegenüber Systemen einfach nachzuahmen, um die Wirksamkeit der Sicherheitskontrollen zu überprüfen. Derselbe Ansatz gilt für die Überprüfung der Wirksamkeit von Cyber-Resilienzsystemen. Cyber-Resilienz zielt darauf ab, unter ungünstigen widrigen Bedingungen Antizipation und Anpassung zu ermöglichen. Daher ist es wichtig, cyberresistente Systeme zu testen, um eine kontinuierliche Cyber-Resilienz zu ermöglichen.

Adaptive Antworttechnik mit einigen Beispielmetriken

Überprüfung der Cloud-Cyber-Resilienz

Die Idee, Systemeigenschaften zu testen, ist unerlässlich, da Systeme häufig unerwartete Eigenschaften aufweisen. Diese Herausforderung wird bei komplexen Systemen noch verschärft. Dieselbe Herausforderung ist für den aktuellen Stand der Cloud-Sicherheit von zentraler Bedeutung, weshalb die Cyber-Resilienz in der Cloud eingeführt werden muss. Wie Cybersicherheit ist auch Cyber-Resilienz kein Merkmal, das erworben oder „eingebaut“ werden kann. Systeme, die standardmäßig Cyber-Resilienz bieten, würden optimale Ergebnisse bei der Resilienz bieten.

Ebenso ein cyberresistenter Kultur ist unerlässlich! Dies setzt voraus, dass ein flexibler und geeigneter, cloudnativer Ansatz verwendet wird, um zu überprüfen, ob die Anforderungen an die Cyberresistenz während des gesamten Lebenszyklus eines Systems gut konzipiert und umgesetzt werden. CREF verfügt über 14 Implementierungstechniken. Die meisten Systeme müssten jedoch einige dieser Techniken auf der Grundlage mehrerer Faktoren auswählen und implementieren, vor allem auf der Grundlage des Risikoprofils der Organisation. Darüber hinaus sind für die objektive Messung und Validierung der implementierten Cyber-Resilienz-Konstrukte Metriken erforderlich. Das CREF-Dokument enthält einige Beispielkennzahlen, die genutzt werden könnten. Beispielsweise ist die Anzahl der Eindringversuche, die an einem Netzwerkperimeter gestoppt wurden, eine Beispielmetrik für die Adaptive Response-Implementierungstechnik. Diese Metrik kann nach SCE-Experimenten berechnet und als Leitfaden für nachfolgende Verbesserungen verwendet werden. Dieser Ansatz gilt auch für bestehende Cybersicherheitsaktivitäten zur Bewertung von Gegenmaßnahmen gegen Ransomware. Durch die Injektion eines Ransomware-Angriffs wird deutlich, ob die Gegenmaßnahmen wirksam sind.

Mitigant hilft Unternehmen dabei, den optimalen Kompromiss zwischen Compliance, Cloud-Sicherheit und Cyber-Resilienz zu finden

Cloud-Cyber-Resilienz mit Mitigant

Mildernde Cloud-Immunität ist die erste Implementierung von SCE! Es wurde entwickelt, um eine Cloud-Infrastruktur mit einem ausgewogenen Verhältnis zwischen Cloud-Compliance, Sicherheit und Cyber-Resilienz zu ermöglichen. Mildernde Cloud-Immunität besteht aus mehreren Angriffen, mit denen die Wirksamkeit von Cyber-Resilienz-Implementierungen auf AWS überprüft werden soll. Alle Angriffe sind dem zugeordnet MITRE ATT&CK Bibliothek; dies ermöglicht die Implementierung von Angriffen aus der realen Welt für verschiedene Anwendungsfälle, darunter Übungen zur Reaktion auf Vorfälle, Bedrohungsemulation zur Überprüfung der Erkennungseffizienzund atomare Angriffe, die im Stil von Penetrationstests ausgeführt werden können, ohne die Perioden der Penetrationstests abzuwarten.

Mit Mitigant Cloud Immunity werden verschiedene Phasen dieser Aktivitäten automatisch und nahtlos abgewickelt, z. B. die Dokumentation von Hypothesen, die Bereinigung nach Angriffen und das Sammeln von Beweisen. Zögern Sie nicht, sich noch heute für Ihre kostenlose Testversion anzumelden und beginnen Sie mit dem Betrieb einer cyberresistenten Cloud-Infrastruktur. Melden Sie sich hier an - https://mitigant.io/sign-up

Sind Sie bereit, Ihre Cloud-Infrastrukturen zu sichern?
Nehmen Sie noch heute Kontakt mit dem Mitigant Team auf und schützen Sie Ihre Clouds proaktiv.
Demo buchenKostenlose Testversion starten

Andere interessante Blogbeiträge lesen

Blog ansehen
Cloud Sicherheit
Emulating and Detecting Scattered Spider-like Attacks
July 23, 2024
This article shows how to leverage Threat-Informed Defense to effectively tackle cloud threat actors, e.g., Scattered Spider. Practical attacks & appropriate defense are demonstrated using Mitigant Cloud Attack Emulation & the Sekoia SOC Platform.
Mehr lesen
Cloud Sicherheit
Bedrock or Bedsand: Attacking Amazon Bedrock’s Achilles Heel
July 10, 2024
Amazon Bedrock's Achilles heel is the adoption of S3 as a RAG data source, leading to several GenAI attack vectors, including data poisoning, denial of service & S3 ransomware. This article delves into these attack vectors, detection, and mitigation.
Mehr lesen
Cloud Sicherheit
Cloud Attack Emulation: Democratizing Security Operations in the Cloud
July 2, 2024
Security operations are the nerve of organizational cybersecurity efforts. An organization’s security policy typically aims to keep it safe by implementing preventive, detective, and recovery measures. Security operations ensure this ambition by s...
Mehr lesen

Übernehmen Sie die Kontrolle über Ihre Cloud-Sicherheitslage

Übernehmen Sie in wenigen Minuten die Kontrolle über Ihre Cloud-Sicherheit. Keine Kreditkarte erforderlich.
30-Tage kostenlos testen