ChaosXploit: A Security Chaos Engineering framework based on Attack Trees
Los incidentes de seguridad pueden tener varios orígenes. Sin embargo, muchas veces son causados por componentes que se supone que están correctamente configurados o desplegados. Es decir, los métodos tradicionales pueden no detectar esos supuestos de seguridad, y es necesario probar nuevas alternat...
- Autores:
- Tipo de recurso:
- Fecha de publicación:
- 2022
- Institución:
- Universidad del Rosario
- Repositorio:
- Repositorio EdocUR - U. Rosario
- Idioma:
- eng
- OAI Identifier:
- oai:repository.urosario.edu.co:10336/34710
- Acceso en línea:
- https://doi.org/10.48713/10336_34710
https://repository.urosario.edu.co/handle/10336/34710
- Palabra clave:
- Vulnerabilidades
Servicios manejados en la nube
Caos de la seguridad
Árboles de ataque
Matemáticas
Programación, programas, datos de computación
Security Chaos Engineering
Attack Trees
Cloud managed services
Vulnerabilities
- Rights
- License
- Atribución-NoComercial-SinDerivadas 2.5 Colombia
| Summary: | Los incidentes de seguridad pueden tener varios orígenes. Sin embargo, muchas veces son causados por componentes que se supone que están correctamente configurados o desplegados. Es decir, los métodos tradicionales pueden no detectar esos supuestos de seguridad, y es necesario probar nuevas alternativas. La Ingeniería del Caos de la Seguridad (SCE) representa una nueva forma de detectar esos componentes que fallan para proteger los activos en escenarios de riesgo cibernético. Para demostrar la aplicación de la SCE en la seguridad, este proyecto de grado presenta, en primer lugar, una introducción a los fundamentos de la Ingeniería del Caos (CE), ya que la SCE hereda sus principios y metodología. Para ello, se realiza un análisis de los Frameworks y herramientas propuestos para la implementación de la CE y se comprueba su funcionalidad con cuatro experimentos. En segundo lugar, este proyecto de grado propone ChaosXploit, un framework de ingeniería del caos de la seguridad basado en árboles de ataque, que aprovecha la metodología de CE junto con una base de datos de conocimiento compuesta por árboles de ataque para detectar y explotar vulnerabilidades en diferentes objetivos como parte de un ejercicio de seguridad ofensiva. Una vez detallados los componentes teóricos y conceptuales de SCE y explicada la propuesta de ChaosXploit, se realiza un conjunto de experimentos para validar la viabilidad de ChaosXploit y así validar la seguridad de los servicios gestionados en la nube, es decir, los buckets de Amazon, que pueden ser propensos a la desconfiguración. |
|---|