El Agente de Seguridad
¿Quieres reaccionar a este mensaje? Regístrate en el foro con unos pocos clics o inicia sesión para continuar.
DENUNCIA IRREGULARIDADES EN SEGURIDAD

Denuncias de instrusismo e irregularidades en materia de Seguridad Privada: http://www.vigias.org.es/denuncia.html elagentedeseguridad@gmail.com
Webs de Seguridad










Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? Asp_9210
Conectarse

Recuperar mi contraseña

Últimos temas
» Un tribunal declara la nulidad de las vacaciones durante el estado de alarma
Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? EmptyJue Nov 12, 2020 10:54 am por Biutre

» Real Decreto 926/2020, de 25 de octubre, por el que se declara el estado de alarma para contener la propagación de infecciones causadas por el SARS-CoV-2.
Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? EmptyLun Oct 26, 2020 1:52 pm por El Agente SP

» El convenio de seguridad privada supondrá una merma de poder adquisitivo del 27%, según sindicato del sector
Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? EmptyMar Sep 29, 2020 12:28 am por El Agente SP

» RESOLUCIÓN SLT/1648/2020, de 8 de julio, por la que se establecen nuevas medidas en el uso de la mascarilla para la contención del brote epidémico de la pandemia de COVID-19.
Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? EmptyJue Jul 09, 2020 10:05 am por El Agente SP

» Un vigilante de seguridad evita una agresión por violencia de género en un tren de cercanías de Santander
Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? EmptySáb Jun 20, 2020 1:35 pm por El Agente SP

» El papel de la seguridad privada en una crisis sin precedentes
Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? EmptyVie Mayo 29, 2020 12:19 pm por El Agente SP

» Guia Buenas prácticas en los centros de trabajo
Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? EmptyJue Abr 16, 2020 11:47 am por El Agente SP

» Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio.
Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? EmptyMar Mar 17, 2020 4:32 pm por El Agente SP

»  Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19.
Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? EmptyMar Mar 17, 2020 4:13 pm por El Agente SP

» Los afectados por ERTE cobrarán el paro sin que compute el tiempo de prestación
Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? EmptyMar Mar 17, 2020 3:36 pm por El Agente SP

El Twitter de El Agente de Seguridad

Nivel de Alerta Antiterrorista (NAA)
FFCCSS y Emergencias

Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? Interi11

Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? Cnp10

Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? Guardi10

Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? Logo_p10
Contador de Visitas

Contador gratisDesde 08-05-2009
Redes Sociales

Ingeniería del caos: ¿Para qué sirve introducir fallos adrede?

Ir abajo

Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? Empty Ingeniería del caos: ¿Para qué sirve introducir fallos adrede?

Mensaje por Biutre Mar Feb 13, 2018 2:29 pm




Panda Security Mediacenter

SEGURIDAD
Ingeniería del caos: ¿Para qué sirve introducir fallos adrede?

FEBRERO 13, 2018

No existe nada 100% seguro. Bajo esta premisa, la ingeniería del caos trabaja con y contra el propio sistema para construir un entorno seguro y resiliente. ¿Cómo funciona? ¿Para qué sirve introducir fallos en él y cómo nos ayuda esto a segurizar el entorno digital? Comprender esta disciplina puede suponer una mejora sustancial.

¿Qué es y en qué consiste?

El concepto de Chaos Engineering o ingeniería del caos está basado en cuatro principios definidos por el gigante Netflix. Dichos principios consisten en definir un estado «estable», realizar una hipótesis del estado que le seguirá, introducir variables que reflejen eventos fieles a la realidad e intentar romper la hipótesis, por ese orden.

Mediante una serie de pruebas específicas, se pondrían a prueba características de la infraestructura, como lo son la disponibilidad, la seguridad y el rendimiento. El objetivo es que la resolución de los problemas en estos sistemas distribuidos proporcione una gran confianza y capacidad de recuperación de todo el sistema. Esto significa, en definitiva, conseguir estructuras que soporten condiciones extremas.

Resiliencia y “antifragilidad”

El concepto de ingeniería del caos solo se entiende si comprendemos la definición de “antifragilidad”, acuñada por Nassim Nicholas Taleb. Este es el concepto precursor de la ingeniería del caos y que, a su vez, se basa en la resiliencia. La resiliencia se define como la capacidad de absorber perturbaciones. Dichas perturbaciones están ocasionadas por elementos estresores, o factores de estrés, que desencadenan la desestabilización.

Es un concepto ampliamente utilizado en organismos vivos (ecología, fisiología, psicología…) y hace referencia a la capacidad de sobreponerse a los problemas de forma activa y adaptarse a la situación. Volviendo a la “antifragilidad”, esta va más allá de la resiliencia ya que implica la evolución del sistema, que sería capaz de crecer a partir del estrés al que se le ha sometido para adaptarse a nuevos fallos.

Precisamente, Panda Adaptive Defense es una herramienta que vela por los principios de la antifragilidad, aportando los valores inherentes de la resiliencia a la empresa. Así, al registrar y analizar toda la información de estado de la red corporativa, aumentamos la visibilidad necesaria para asegurar poder cumplir con la antifragilidad.

Otro aspecto crucial es el heurístico. Como decíamos. Adaptive Defense analiza, categoriza y correlaciona los datos provenientes de diferentes fuentes tanto externas como internas de manera que se pueden automatizar patrones de comportamiento que revelan conductas maliciosas incluso antes de que se ejecuten. Todo esto, es parte del espíritu de la ingeniería del caos.

Un ejército de monos

Teniendo todo esto en cuenta, las grandes empresas como Netflix o Amazon ven en la ingeniería del caos la posibilidad de poner a prueba su infraestructura para que sus sistemas sean más maduros y cada vez más robustos. Pero también más evolucionados. En definitiva, más resilientes. Puesto que realizar un análisis y corregir un problema de forma reiterativa y escalada es una tarea muy difícil, lo ideal es emplear estrategias heurísticas enfocadas en priorizar una buena toma de decisiones donde lo principal sea la sencillez de resolución.

Así, Netflix, por ejemplo, emplea su propia suite de aplicaciones denominada Simian Army, que pone a prueba la estabilidad de su red. Simian Army cuenta con más de una docena de elementos estresores que ponen a prueba el sistema de diversas maneras.

Security Monkey es una de las “piezas” de Simian Army y es empleada para implementar una estrategia de seguridad basada en ingeniería del caos en plataformas de computación en la nube. Esta permite supervisar, alertar e informar sobre irregularidades en la seguridad de forma sencilla.

¿Cómo puede ayudar a la empresa la ingeniería del caos?

La primera cuestión es, ¿por qué debería una empresa plantearse el usar ingeniería del caos? En opinión de algunos expertos “no se suele dar el peso adecuado a la seguridad, por lo que aun teniendo sistemas exitosos […] no se comprende el peso de la fragilidad. Se tiende a no ver que la supervivencia es más prioritaria que el éxito”.

Implementar una estrategia basada en ingeniería del caos ayuda a trabajar la antifragilidad de una plataforma, incluyendo el cumplir con los objetivos de control y requisitos de PCI-DSS en caso de auditorías. Así, cualquier empresa podría beneficiarse enormemente de implementar una herramienta como Security Monkey en su estrategia de seguridad.

Para ello haría falta “caotizar” la plataforma de forma controlada, lo que, en palabras de los expertos, podría constar de acciones del siguiente tipo: desactivar reglas de SG (Security Groups), modificar archivos en instancias de forma aleatoria, escuchar puertos de forma aleatoria, inyectar tráfico malicioso en los VPC (Virtual Private Cloud), matar aleatoriamente procesos en las instancias…

Con esta estrategia ejecutada, y gracias a esta herramienta, se puede conseguir una visibilidad más profunda de las consecuencias de los métodos de ataque, con la intención de mejorar la forma de defenderse. Esto, a la larga, es la base de un sistema más maduro y confiable, capaz de resarcirse de ataques y reducir las pérdidas ante un incidente grave de seguridad, algo que debería ser obligatorio para cualquier servicio de alta disponibilidad.


©️ Copyright 2017, Panda Security
Acerca de Panda
Aviso Legal
Biutre
Biutre
Administrador
Administrador

Acuario

Cantidad de envíos : 1551
Fecha de inscripción : 07/05/2009
Edad : 47
Localización : Iluro, tierra del Mediterráneo
Empleo /Ocio : Agente de Seguridad Privada
Humor : Adecuado al tiempo

https://elagentedeseguridad.forosactivos.net

Volver arriba Ir abajo

Ingeniería del caos: ¿Para qué sirve introducir fallos adrede? Empty Re: Ingeniería del caos: ¿Para qué sirve introducir fallos adrede?

Mensaje por Biutre Mar Feb 13, 2018 2:30 pm

Biutre
Biutre
Administrador
Administrador

Acuario

Cantidad de envíos : 1551
Fecha de inscripción : 07/05/2009
Edad : 47
Localización : Iluro, tierra del Mediterráneo
Empleo /Ocio : Agente de Seguridad Privada
Humor : Adecuado al tiempo

https://elagentedeseguridad.forosactivos.net

Volver arriba Ir abajo

Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.