Рубрики
Uncategorized

Может ли команда безопасности выиграть от Sre? Вы делаете ставку!

Когда мы говорим о надежности услуг, СРР побуждает нас принимать целостный взгляд. Нераствитель … Теги с Sre, DevOps, Безопасность.

Когда мы говорим о надежности услуг, СРР побуждает нас принимать целостный взгляд. Ненадежность по доставке услуг может быть из-за чего-либо, от аппаратных неисправностей к ошибкам в коде. Один источник ненадежности, который часто упускается из виду, является безопасность. Безусловное нарушение может повредить доверие клиентов далеко за пределы воздействия самого нарушения. Даже меньшие нарушения, такие как неспособность аудита услуг, может заставить пользователей осторожно. Поскольку надежность является субъективным качеством Что определяется пользователями, команды не могут игнорировать проблемы, которые заставляют пользователям чувствовать себя небезопасно.

Реализация Sre может помочь. Цели SRE и безопасности хорошо выровняются. Обе команды хотят избежать как можно больше инцидентов и создать самую упругую систему, которую они могут. Практики и инструменты SRE могут помочь достичь целей безопасности. В этом сообщении в блоге мы распустим, как использовать SRE для повышения ваших процедур безопасности.

Аудиты безопасности являются важным требованием для любой ИТ-организации. Они могут быть уверены в агентстве, проведенном сторонней организацией или бегите в доме. Независимо от метода, Прохождение аудита безопасности является как внутренний, так и внешний индикатор, который является надежной системой .

От перспективы Sre, Передача аудитов увеличивает вашу упругость Отказ Если вы пройдете соответствующие аудиты, он сигнализирует, что у вас защита от определенного уровня известных угроз безопасности. Это снижает вашу « поверхность атаки . «Поверхность атаки программной среды — это сумма разных точек (векторы атаки), где несанкционированный пользователь может попытаться войти или извлечь данные из среды. Это может включать в себя ransomware, скомпрометированные учетные данные и многое другое.

Команды могут сделать это, создавая CVE или общие уязвимости и процессы экспозиции. Система CVE — это способ выявления известных уязвимостей, их влияния и их атакующего вектора. Система CVE присваивает уязвимостей идентификационного кода, чтобы организации могли оценить воздействие уязвимости и принять соответствующие меры. Ниже приведена диаграмма с метриками для CEVS, как они измеряются, а требуемая тенденция.

Процесс аудита имеет решающее значение для разоблачения уязвимостей и более крупных моделей уязвимостей. Большинство аудитов сосредоточены на том, были ли решаемы некоторых известных вресений, смягчены или, по крайней мере, рассматривались сознательным решением, что они не дают существенной угрозы. Каждый процесс итерации обнаружения уязвимостей, а затем разрешение их результатов в более устойчивой системе. Кроме того, это может помочь защитить от будущих инцидентов безопасности.

Соответствие аудиту также дает команды безопасности возможность тесно сотрудничать с командами DEV, повышая уровень осведомленности о безопасности Dev of Security и помогая им лучше понимать, как определять приоритетное внимание уязвимости. С Sre, цель состоит в том, чтобы сдвинуть качество, надежность и безопасность, оставленную в жизненный цикл разработки программного обеспечения.

Как мягко говоря, Урре Джефф Уайт говорит: « Если у вас нет команды безопасности, которая уйдет Дарт Вейдер на других командах, ничто не спанет вас. Тем не менее, если безопасность является столько же приоритетом, что и функция, то вам не нужен Darth Vader «

С открытой связью между командами, сотрудничеством и акцентом на устойчивость, команды безопасности могут использовать методы SRE для облегчения соблюдения.

Ср учит нас, что неудача неизбежна. Всегда будут риски безопасности, которые не могут быть захвачены в аудиту. Отслеживание этих неизвестных рисков является одной из самых больших задач безопасности. Это может почувствовать себя спотыкающимся в темноте, никогда не буду уверена, что вы уйдете достаточно далеко вниз по любому данному пути. Одним из лучших практик, чтобы проверить эти уязвимости, является Хаос Инжиниринг.

В Статья для OpenSource.com , Патрик Б и Аарон Райнехарт описывает сочетание хаосской инженерии и безопасности как «эксперимента по безопасности». «Они показывают, как это формирует более активный подход к определению рисков безопасности. Использование HAOS Engineering в качестве рамки для экспериментов по безопасности позволяет устанавливать стандарты для частоты и тяжести тестов. Chaos Engineering также может помочь вам понять последствия потенциального нарушения и практики контрмер. Вы можете играть в худший возможный сценарий и убедитесь, что у вас все еще есть план.

Патрик Б. и Аарон Райнехарт также рассказывает о том, как Chaos Engineering предоставляет петлю обратной связи в безопасности. Они утверждают, что Растущая сложность систем означает, что риски безопасности продолжают развиваться и изменять Отказ Без петли обратной связи, безопасность отстает от этих изменений окружающей среды. Экспериментальные эксперименты Chaos является идеальным способом движения цикла.

Вы можете подумать, что вам нужна 100% идеально безопасная система. Это заманчивая идея, но, к сожалению, как 100% надежная система, это невозможно. SRE учит нас, что мечтательство о 100% является вредным и практически недостижимым Отказ Даже попытка достичь почитаемых «5 нищих» (99,999%) является очень дорогим усилием. Усилия, потраченные, которые могут быть более эффективными в других местах.

Минимальный приемлемый уровень безопасности является порог индикатора. Изменения, которые могут рисковать безопасностью, измеряются против порога индикатора. Если они не превышают его, они одобрены для прогресса. Когда безопасность подпускается под порогом, запускается предупреждение. С этого момента процесс ответа на инцидент может начаться.

Если это все звучит знакомы для SRES, читая это, вы не ошибаетесь. В Статья для Markerbench Андрей Джавит разрушает, как охрана и терминология SRE похожи.

Подключив концепции безопасности к инструментам SRE, мы видим, как мы можем применить другие функции этих инструментов. SLIS соответствует ключевым показателям эффективности. KPI — это инженеры безопасности метрики, используемые для оценки безопасности системы. В разработке SLIS вы ищете Области наибольшего удовлетворения клиентов Отказ Эта перспектива рассмотрения воздействия клиентов также помогает в развитии KPI. Поместите себя в обувь клиента, подумайте о том, какие потенциальные нарушения будут наиболее эффективными. Ваши KPI могут приоритетировать эти области.

SLOS соответствует порогу индикатора. SLOS устанавливаются в боли Клиента. Пока метрики превышают этот момент, клиент не будет воспринимать никаких ненадежных. Этот менталитет может применяться и к порогам индикатора. Подумайте о том, что имеет значение для восприятия вашего клиента вашей безопасности. Эти факторы могут варьироваться от прохождения аудита безопасности для реализации конкретных инструментов, таких как 2-факторная аутентификация. Установка пороговых значений индикатора на основе воздействия этих факторов гарантирует, что вы не расходуете ресурсы развития на что-то без удара.

Поскольку службы продолжают развиваться от монолитных к структурам на основе микровикса, понимание возможных угроз безопасности становится более сложной. Вот очень неполный список рисков безопасности, которым сейчас многие организации:

  • Уязвимости в сторонних учреждениях
  • Уязвимости в внутренних инструментах
  • Злонамеренные атаки, направленные на третьи лица, ваша организация зависит от
  • Утечки паролей других услуг, которые компромиссные счета на вашем обслуживании
  • Нарушения поставщиков облачных услуг
  • Утечки данных с помощью учетных записей в инфраструктурных инструментах, таких как Slack или Jira

Вы заметите, что все эти риски связаны с третьим сторонним инструментами или услугами. Это вещи за пределами контроля инженеров. Они не могут выполнять аудит по коду Slack Slash или запустить эксперименты Chaos Engineering Experients в AWS. Но это не значит, что эти районы опускаются за пределами PURVIEW Security. Если нарушение безопасности влияет на ваш сервис, пользователи все равно будут осторожны на достоверность вашей безопасности. Это независимо от того, было ли нарушение в пределах вашего контроля или нет.

Чтобы подготовиться к вопросам третьих сторонних зависимостей, команда могут использовать Инструменты мониторинга Отказ Понимание того, как отключение одного третьей сторонника влияет на систему в целом, может помочь смягчить риск. Безопасность также должна общаться с внутренними командами о том, что их мониторинг захватывает. Это достаточно хорошо для устранения неполадок в случае нарушения? Если нет, безопасность должна работать с владельцами услуг, чтобы убедиться, что мониторинг до нюхания.

Безопасность также должна быть в курсе недавних инцидентов. Чтение инцидентов ретроспектива — отличный способ сделать это. Даже инциденты, которые кажутся не связанными с проблемами безопасности, могут выявить уязвимости. По крайней мере, они могут помочь снизить знания силосов.

Если вы заинтересованы в принятии лучших практик в ваших командах безопасности, безупречный может помочь. Чтобы узнать больше, зарегистрируйтесь бесплатно Демо Отказ

Если вам понравилось этот пост, проверьте эти ресурсы:

Отредактировано: Джефф белый

Оригинал: «https://dev.to/blameless/can-security-teams-benefit-from-sre-you-bet-197»