idea中出现紫色
我们使用技术构建产品和服务的方式正在不断发展,其发展速度难以理解。 遗憾的是,用于确保设计方法安全的主要方法是预防性的,这意味着我们正在无状态的世界中设计有状态的安全性。 我们设计,实施和仪器安全性的方式与现代产品工程技术(例如连续交付和复杂的分布式系统)并不一致。 我们通常为生产版本的第零天设计安全控件,而未能将控件的状态从第一天发展到第二天( N )。
此问题也源于现代基于软件的体系结构和安全控件之间缺乏反馈循环。 迭代的构建实践不断推动产品更新,创建不可变的环境并应用复杂的蓝绿色部署以及对日新月异的第三方微服务的依赖。 结果,现代产品和服务每天都在变化,即使安全隐患不断。
安全性应该是客观且经过严格测试的,数据和度量驱动我们对企业安全性的决策。 复杂的分布式系统,连续交付和高级交付模型(例如蓝/绿部署)的时代挑战着传统的测试方法是否足够。 尽管测试可能是系统检测的有用反馈机制,但仅凭测试本身是不够的; 我们也应该尝试。
我们如何假设系统正在运行以及 实际运行情况 。安全工程领域的安全实验从根本上是通过混沌工程的应用而实现的。 混沌工程学是在分布式系统上进行实验的学科,目的是建立对系统抵御生产中动荡环境能力的信心。
混乱工程中的一句俗语是“希望不是战略。” 当我开始使用ChaoSlingr将混乱应用于安全性的旅程时 ,我开始对故障的作用有所不同,无论是在构建系统的方式还是在尝试保护故障的方式上。 我们通常如何识别企业内部安全控制的失败? 我们通常不认识到某些东西无法正常工作,直到不再起作用为止,而对于安全事件,这通常是正确的。 安全事件不是有效的检测手段,因为那时已经为时已晚。 如果我们希望主动检测安全故障,就必须找到更好的检测和监视方式。
图片提供者:Aaron Rinehart
尽管它可能使您想起Suess博士的经典儿童读物“一条鱼,两条鱼,红色鱼,蓝色鱼”,但是安全测试所涉及的不只是充满紫色,蓝色和红色团队练习的蜡笔盒。 相反,它是一门广泛的学科,由重要技术组成,例如道德黑客,威胁搜寻,漏洞扫描等。 在本文中,我们将讨论总体上客观安全工具的重要性,当前安全测试方法(例如红色和紫色团队练习)中的差
最低0.47元/天 解锁文章
1676
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
