Ítem
Acceso Abierto

ChaosXploit: A Security Chaos Engineering framework based on Attack Trees


Fecha
2022-05-27

Directores
Díaz López, Daniel Orlando

ISSN de la revista
Título del volumen
Editor
Universidad del Rosario

Buscar en:

Métricas alternativas

Resumen
Los incidentes de seguridad pueden tener varios orígenes. Sin embargo, muchas veces son causados por componentes que se supone que están correctamente configurados o desplegados. Es decir, los métodos tradicionales pueden no detectar esos supuestos de seguridad, y es necesario probar nuevas alternativas. La Ingeniería del Caos de la Seguridad (SCE) representa una nueva forma de detectar esos componentes que fallan para proteger los activos en escenarios de riesgo cibernético. Para demostrar la aplicación de la SCE en la seguridad, este proyecto de grado presenta, en primer lugar, una introducción a los fundamentos de la Ingeniería del Caos (CE), ya que la SCE hereda sus principios y metodología. Para ello, se realiza un análisis de los Frameworks y herramientas propuestos para la implementación de la CE y se comprueba su funcionalidad con cuatro experimentos. En segundo lugar, este proyecto de grado propone ChaosXploit, un framework de ingeniería del caos de la seguridad basado en árboles de ataque, que aprovecha la metodología de CE junto con una base de datos de conocimiento compuesta por árboles de ataque para detectar y explotar vulnerabilidades en diferentes objetivos como parte de un ejercicio de seguridad ofensiva. Una vez detallados los componentes teóricos y conceptuales de SCE y explicada la propuesta de ChaosXploit, se realiza un conjunto de experimentos para validar la viabilidad de ChaosXploit y así validar la seguridad de los servicios gestionados en la nube, es decir, los buckets de Amazon, que pueden ser propensos a la desconfiguración.
Abstract
Security incidents may have several origins. However, many times they are caused due to components that are supposed to be correctly configured or deployed. That is, traditional methods may not detect those security assumptions, and new alternatives need to be tried. Security Chaos Engineering (SCE) represents a new way to detect such failing components in order to protect assets under cyber risk scenarios. To demonstrate the application of SCE in security, this degree project presents, in the first place, an introduction to the fundamentals of Chaos Engineering (CE) as SCE inherits its principles and methodology. This is done to understand its application in engineering, a series of analyses of the proposed frameworks and tools for the implementation of CE is provided, and its functionality is tested with four experiments. In the second place, this degree project proposes ChaosXploit, a security chaos engineering framework based on attack trees, which leverages the CE methodology along with a knowledge database composed of attack trees to detect and exploit vulnerabilities in different targets as part of an offensive security exercise. Once the theoretical and conceptual components of SCE are detailed and the proposal for ChaosXploit is explained, a set of experiments are conducted to validate the feasibility of ChaosXploit to validate the security of cloud managed services, i.e. Amazon buckets, which may be prone to misconfigurations.
Palabras clave
Vulnerabilidades , Servicios manejados en la nube , Caos de la seguridad , Árboles de ataque
Keywords
Security Chaos Engineering , Attack Trees , Cloud managed services , Vulnerabilities
Buscar en:
Enlace a la fuente