Security Chaos Engineering - Alternative für IT Sicherheitsanforderungen - Teil 2

Im ersten Beitrag wurde erörtert, warum traditionelle Sicherheitskonzepte für das Cloud-Zeitalter unzureichend sind. Dieser Beitrag stellt Security Chaos Engineering (SCE) als alternativen Ansatz zur Bewertung der Cloud-Sicherheit vor. Wir definieren zunächst den Begriff und diskutieren den Hintergrund seiner Entwicklung, geben dann einen allgemeinen Überblick über den Prozess und einige Beispiele für Anwendungsfälle.

CE „experimentiert an einem verteilten System, um Vertrauen in seine Fähigkeit aufzubauen, turbulenten Bedingungen in der Produktion standzuhalten“. Dies bedeutet, dass Entwickler, anstatt darauf zu warten, dass Systeme ausfallen, proaktiv Ausfälle durch Experimente unter kontrollierten Bedingungen einführen sollten. In den Augen von CE wird jedes System zu einem bestimmten Zeitpunkt ausfallen. Daher kann ein Dienstausfall als normales Verhalten eines Systems und damit als Gelegenheit zum Lernen und Verbessern des Systems selbst betrachtet werden. CE konzentriert sich auf die Verfügbarkeit von Systemen und möchte Ausfallzeiten für Kunden minimieren und gleichzeitig die Ausfallsicherheit erhöhen.

Wir definieren SCE als „Disziplin der Instrumentierung, Identifizierung und Behebung von Fehlern innerhalb von Sicherheitskontrollen durch proaktives Experimentieren, um Vertrauen in die Fähigkeit des Systems aufzubauen, sich gegen böswillige Bedingungen in der Produktion zu verteidigen“.

Es erweitert CE, indem es sich nicht nur auf die Verfügbarkeit des Systems konzentriert, sondern auch dessen Integrität und Vertraulichkeit einbezieht. Daher stellt dieser Ansatz beispielsweise auch die Integrität und Vertraulichkeit der im System gespeicherten Kreditkartendaten sicher. Security Chaos Engineering-Experimente basieren auf Experimenten als wissenschaftlicher Methode. Ihr Ziel ist es nicht, das zu bestätigen, was bereits als wahr oder falsch bekannt ist, wie dies bei Tests der Fall ist. Vielmehr zielen sie darauf ab, neue Erkenntnisse über den aktuellen Zustand von Systemen zu gewinnen.

‍

‍

Security Chaos EngineeringSecurity Chaos Engineering hilft Ihnen, Schwachstellen in Ihrer Cyberabwehr zu finden, bevor Angreifer dies tun. Quelle.

Wir fassen den Prozess der Implementierung von SCE-Experimenten wie folgt zusammen:

1. Dokumentieren Sie den stationären Zustand
Der stationäre Zustand definiert den normalen Betriebszustand des Systems, einschließlich einer Definition aller relevanten Variablen und Faktoren.

2. Designhypothese
Potentielle Fehler werden als Hypothese kodifiziert, um zu überprüfen, ob sich Sicherheitstools, -kontrollen sowie -attribute wie erwartet verhalten. Die Hypothesen werden wie folgt formuliert: „Im Falle von X glauben wir, dass unser System mit Y reagieren wird.“ Eine Hypothese stellt jeden Fehler dar.

3. Explosionsradius eindämmen
Vor der Durchführung des Experiments muss das Unternehmen mögliche negative Auswirkungen berücksichtigen. Um diese Auswirkungen zu minimieren, ist es ratsam, mit kleinen, einfachen Experimenten zu beginnen und die Reife schrittweise zu steigern.

4. Fallback-Pläne entwickeln
Ein Fallback-Szenario umfasst die Konfiguration des Systems, das ein Unternehmen im Falle eines fehlgeschlagenen Experiments wiederherstellen kann. Dies erhöht das Vertrauen in das System und das Experiment im Fehlerfall.

5. Experimente codieren und ausführen
Die Experimente werden codiert und basierend auf ihrer Kritikalität für das Unternehmen zur Durchführung ausgewählt. Die Wiederherstellung des stationären Zustands erfolgt nach Durchführung des Experiments.

6. Ergebnisse der Experimente analysieren
Kategorisierung der Experimentergebnisse: verhindert, behoben, erkannt. Eine Warnung am Ende des Experiments enthält detaillierte Kontextinformationen zum Verständnis der Bedingungen, die zum beobachteten Ergebnis des Experiments geführt haben.

7. Experimente für den kontinuierlichen Einsatz automatisieren
Aufgrund schneller Änderungen innerhalb von Systemen und Infrastrukturen sind kontinuierliche Experimente erforderlich. Daher erfolgt im letzten Schritt eine regelmäßige Automatisierung und Durchführung von Experimenten. Entwickler müssen nicht immer wieder aktiv Experimente durchführen, sondern können sich auf ihre reguläre Arbeitslast konzentrieren.

Auf der CE-Konferenz Conf42 im Jahr 2021 stellten Aaron Rinehart und David Lavezzo ein Beispiel für SCE vor, eine falsch konfigurierte Port-Injektion

Das Experiment führt eine nicht autorisierte Portänderung in einer AWS EC2-Sicherheitsgruppe durch. Die Erwartung ist, dass die Firewall diese Änderung sofort erkennt und blockiert. Dies geschah jedoch nur in 60 % der Fälle. Das Cloud Native Configuration Management hingegen hat die Änderung fast jedes Mal erkannt und blockiert. Beide senden auch verwertbare Protokolldaten an das Sicherheitsprotokollierungstool und es wurde eine Warnung ausgelöst und an das Security Operations Center (SOC). Das SOC wusste jedoch nicht, wie es mit dieser Warnung umgehen sollte, da Metadaten fehlten, um sie dem Konto zuzuordnen, von dem sie gesendet wurde. Neben diesem Experiment gibt es weitere Beispiele wie das Deaktivieren nicht kritischer Rollen und Funktionen in einer API, das Entfernen der Ressourcensegmentierung, das Überschreiben von Gebäudeprotokollen, das Löschen von Protokolldateien oder das Ändern von Bootdateien für potenzielle Experimente.

Zusammenfassend lässt sich sagen, dass Security Chaos Engineering proaktive Experimente verwendet, um zu überprüfen, ob sich ein System wie erwartet verhält, um seine Verfügbarkeit sowie Integrität und Vertraulichkeit sicherzustellen. Ziel ist es, unbekannte Schwachstellen in einem System zu entdecken. Die Voraussetzung für die Etablierung von SCE ist daher, das eigene System als so sicher wie möglich zu empfinden. Obwohl SCE den Sicherheitsanforderungen von Clouds entspricht, sollte es traditionelle Sicherheitsansätze nicht ersetzen, sondern erweitern. Wir fassen SCE und wichtige traditionelle Ansätze kurz zusammen, um die Unterschiede zwischen beiden Konzepten zu verdeutlichen.

Wenn Sie an weiteren Einzelheiten interessiert sind, wie A&B-Sicherheitsexperten dabei helfen können, eine Security Chaos Engineering-Kultur in Ihrem Unternehmen zu etablieren, schauen Sie sich unser SCE-Programm an oder kontaktieren Sie uns unter Alice&Bob.Company!

Verwendete Ressourcen und interessante Inhalte zu diesem Thema:

8. Rinehart, Aaron, and Nwatu, Charles – Security Chaos Engineering: A new paradigm for cybersecurity (2018) (https://opensource.com/article/18/1/new-paradigm-cybersecurity last accessed 13.06.2022)

9. Rinehart, Aaron, and Kelly Shortridge – Security Chaos Engineering (2020)

10. Rinehart, Aaron – Security Chaos Engineering: How to Security Differently (2021) (https://www.verica.io/blog/security-chaos-engineering-how-to-security-differently/, last accessed 13.06.2022)

11. Basiri, Ali, et al. “Automating chaos experiments in production.” 2019 IEEE/ACM 41st International Conference on Software Engineering: Software Engineering in Practice (ICSE-SEIP). IEEE, 2019

12. Basiri, Ali, et al. “Chaos engineering.” IEEE Software 33.3 (2016): 35-41.

13. Torkura, Kennedy A., et al. “Security chaos engineering for cloud services: Work in progress.” 2019 IEEE 18th International Symposium on Network Computing and Applications (NCA). IEEE, 2019

14. Torkura, Kennedy A., et al. “Cloudstrike: Chaos engineering for security and resiliency in cloud infrastructure.” IEEE Access 8 (2020): 123044-123060.

15. Torkura, Kennedy A., et al. “Continuous auditing and threat detection in multi-cloud infrastructure.” Computers & Security 102 (2021): 102-124

16. Combs, Veronica (2021): Security chaos engineering helps you find weak links in your cyber defenses before attackers do (https://www.techrepublic.com/article/security-chaos-engineering-helps-you-find-weak-links-in-your-cyber-defenses-before-attackers-do/, last accessed 14.06.2022)

17. Podjarny, Guy, and Rinehart, Aaron: Security Chaos Engineering – What is it and why should you care? (https://www.devseccon.com/the-secure-developer-podcast/ep-67-security-chaos-engineering-what-is-it-and-why-should-you-care, last accessed 14.06.2022)

18. https://www.conf42.com/Chaos_Engineering_2021_Aaron_Rinehart_David_Lavezzo_cyber_chaos_engineering

‍

‍