Failure as a Service (FaaS) – psucie na życzenie

Artykuły | Innowacje

Cyberprzestępcy nie dają firmom ani chwili wytchnienia. Z kolejnych przedsiębiorstw wypływają wrażliwe materiały, Unia Europejska nakazuje powoływanie Chief Privacy Officerów w ramach rozporządzenia RODO, a sami klienci są coraz mniej skorzy do przekazywania informacji w sieci – aż 91% z nich nie jest pewnych, czy ich poufne dane są bezpieczne[1]. Kluczem do odzyskania zaufania konsumentów będzie niewątpliwie podniesienie jakości cyberochrony. Szansę na zrewolucjonizowanie tego obszaru ma model Failure as a Service.

 

Software as a Service (SaaS) jest jednym z najdynamiczniej rozwijających się biznesów związanych z IT i oprogramowaniem. Jak wynika z danych Gartner, wzrost rynku rozmaitych usług i systemów udostępnianych firmom w chmurze obliczeniowej szacowany jest na ok. 40 miliardów dolarów rocznie, co w 2020 roku powinno zaowocować wartością rzędu 380 miliardów[2].

Coraz częściej pojawiają się jednak usługi, których celem nie jest dostarczanie organizacji przydatnych, wirtualnych narzędzi, a przenoszenie do chmury obliczeniowej np. sklepu internetowego i… niszczenie go. I to za niemałe pieniądze, na specjalne życzenie korzystającej z tego rozwiązania firmy.

 

 

Failure as a Service (FaaS) to nowy rodzaj usługi przetwarzającej dane w chmurze obliczeniowej. Pozwala ona stworzyć wirtualne, ale wiernie odzwierciedlające rzeczywistość środowisko, w którym możliwe jest wystawienie pracowników, procesów, oprogramowania i struktury organizacji na niezwykle ciężką próbę, np. cyberataku. Stosowanie tego rodzaju rozwiązań w chmurze zamiast na fizycznych systemach ma jedną podstawową przewagę – nie wprowadza na czas eksperymentu jakichkolwiek zmian w funkcjonowaniu firmy i jest w 100 procentach odwracalne.

Testowanie internetowych serwisów i platform w warunkach bojowych może stanowić milowy krok na drodze do wyeliminowania cyberprzestępczości. Dzięki Failure as a Service organizacje mogą przyjąć proaktywną postawę i należycie przygotować się na wszelkie możliwe ataki wirtualnych złoczyńców. Ci natomiast, w razie braku funduszy ze swojej niecnej działalności mogą wykorzystać swoją wiedzę i atakować rozmaite serwisy i bazy danych „w dobrej sprawie”, przy okazałej pensji.

 

Wirtualne szczepienie

Firma Gremlin Inc. oferująca usługi FaaS nie owija w bawełnę i pozycjonuje się jako „oprogramowanie psujące na życzenie”. Ba, twórcy serwisu są niezwykle konsekwentni i zamiast podkreślać swoje biznesowe sukcesy, chwalą się nazwami organizacji, które popsuły. Biorąc jednak pod uwagę, że na liście ofiar Gremlin znajduje się choćby Amazon – działalność firmy zasługuje na niemały szacunek.  Jak tłumaczą sami twórcy oprogramowania[3]:

Failure as a Service ma w założeniu działać jak szczepionka. Wpuszcza do wirtualnego organizmu rozmaite wirusy w celu wytworzenia odporności przez system.

Netflix postanowił natomiast zainstalować stanowisko „Inżyniera Chaosu” wewnątrz samej firmy. Kolton Andrus jest odpowiedzialny za wdrożenie tzw. failure injection service i testowanie rozmaitych cyberataków na umieszczonej w chmurze obliczeniowej, wiernej kopii filmowej platformy.

 

 

Inżynieria chaosu

FaaS jest kolejnym elementem tzw. Chaos Engineering, czyli dziedziny naukowej specjalizującej się w wykonywaniu rozmaitych eksperymentów na funkcjonujących systemach w celu przygotowania jego zarządców na potencjalne zagrożenia[4]. Ta niezwykle obiecująca gałąź biznesu związanego z cyberbezpieczeństwem opiera się na pięciu filarach:

  1. Koncentracja na mierzalnych atrybutach systemu – ich stały pomiar pozwoli na ocenę, czy system poddany eksperymentowi funkcjonuje stabilnie.
  2. Wybór najbardziej prawdopodobnych scenariuszy – i w ich ramach oszacowanie konsekwencji ataków i ich potencjalnej częstotliwości.
  3. Eksperymentowanie w warunkach rzeczywistych – wszelkie testy powinny odbywać się przy faktycznym ruchu, np. na stronie internetowej.
  4. Automatyzowanie procesu – inżynieria chaosu zakłada automatyzowanie poszczególnych eksperymentów i akcentowanie ich ciągłości – umożliwia to zaaranżowanie stałej presji na całej strukturze firmy.
  5. Redukowanie skutków ubocznych – nawet test może spowodować bardzo negatywne dla funkcjonowania firm skutki. Osoba odpowiedzialna za proces ma zatem za zadanie zagwarantować organizacji, że wszelkie „odpady” po eksperymencie, jak choćby modyfikacje w systemach bezpieczeństwa czy zmienione hasła, zostały należycie „posprzątane”.

 

Codzienny trening

Innym szczepieniem dla internetowych serwisów jest np. GameDay, 3-etapowe ćwiczenie, którego celem jest maksymalne zwiększenie „elastyczności” wirtualnego środowiska w przypadku cyberataku.  Metoda zaproponowana przez Jessie Robinsa, CEO Orion Labs polega na „zainfekowaniu” najważniejszych struktur organizacji (pracowników, kultury, procesu, infrastruktury, oprogramowania czy sprzętu) np. groźnym wirusem i wytworzeniu odporności na rozmaite zagrożenia. Eksperyment wspiera firmę w trzech płaszczyznach[5]:

  1. Przygotowanie:
    1. pozwala na identyfikację zagrożeń
    2. zmniejsza częstotliwość występowania problemów
    3. zmniejsza czas naprawy
  2. Uczestnictwo:
    1. zwiększa kompetencje pracowników w zakresie ochony przed cyberzagożeniami
    2. zwiększa ich pewność siebie
  3. Ćwiczenie:
    1. umożliwia znajdywanie „ukrytych wad”
    2. pozwala na proaktywne działanie i wykrywanie niedoskonałości przed faktycznym atakiem

 

 

 

Failure as a Service = przygotowani na wszystko

Wciąż rosnąca liczba wirtualnych zagrożeń sprawia, że firmy będą, nierzadko w panice, poszukiwać doraźnych metod rozwiązywania problemów z bezpieczeństwem. Tymczasem zarówno Failure as a Service, jak i ogół usług związanych z Inżynierią Chaosu pozwoli organizacjom należycie przygotować się na ataki i wytrącić wrogom jedno z ich najpotężniejszych oręży – element zaskoczenia.

Spopularyzowanie FaaS może zatem przynieść prawdziwą rewolucję w biznesie cyberochrony. Wobec niezwykle dynamicznych zmian w biznesowym środowisku, proaktywne działanie i wyprzedzanie zarówno konkurentów, jak i wirtualnych wrogów będzie stanowić klucz do sukcesu.

Na podstawie:
[1] https://www.cognizant.com/whitepapers/the-business-value-of-trust-codex1951.pdf
[2] http://www.gartner.com/newsroom/id/3616417
[3] https://blog.gremlininc.com/breaking-things-on-purpose-a519c0f5698b
[4] http://principlesofchaos.org/
[5] https://www.usenix.org/blog/gameday-creating-resiliency-through-destruction

Posłuchaj questus podcast

 Wpadnij na nasz kanał Youtube

Newsletter

Chcesz być informowany
o nowościach?
Dołącz do naszego
 newslettera.

 

Autor: Michał Moneta

Absolwent programu Diploma in Professional Marketing, Uniwersytetu Łódzkiego i Akademii Leona Koźmińskiego oraz kursów m. in. w IE Business School, University of California oraz University of Geneva. Jestem również certyfikowanym marketerem DIMAQ, a także absolwentem szkoleń narzędziowych Google – Ads oraz Analytics. Specjalizuję się w digital marketingu, w szczególności w obszarze content managementu, analityki i social mediów. Mam wielkie szczęście, że questus daje mi możliwość rozwoju właśnie w wyżej wymienionych obszarach. W ramach firmy zajmuję się więc budową strategii i zarządzaniem contentem, prowadzeniem mediów społecznościowych (Facebook, LinkedIn), redagowaniem questus BLOG, a także pracą dla klientów - w obrębie audytowania i przygotowywania strategii content managementu, a także realizowania działań operacyjnych. Choć praca, którą wykonuję jest jednocześnie moim hobby, staram się łączyć ją również z innymi zainteresowaniami – „szyję na basie”, uprawiam sporty i czytam rozmaite książki. Pewnie daleko mi do stereotypowego milenialsa, ale dzięki czerpaniu przyjemności tak, z pracy, jak i innych aktywności, hasło work-life balance jest mi niezwykle bliskie. Więcej o mnie znajdziecie na: http://michalmoneta.com/ ?
Ostatnie wpisy
Rok 2025 – krótka historia jutra: Sztuczna Inteligencja (AI)

Rok 2025 – krótka historia jutra: Sztuczna Inteligencja (AI)

30.01.2025

Rok 2025 – krótka historia jutra: Sztuczna Inteligencja (AI) Rewolucja zaczyna się wcześniej, niż myślisz. Zmiany często zaczynają się dużo wcześniej, zanim stają się zauważalne (Eccles, 1991). Jak jednak rozpoznać sygnały zmiany, gdy tempo ich przyśpieszenia jest tak...

czytaj dalej