Failure as a Service (FaaS) – psucie na życzenie

Cyberprzestępcy nie dają firmom ani chwili wytchnienia. Z kolejnych przedsiębiorstw wypływają wrażliwe materiały, Unia Europejska nakazuje powoływanie Chief Privacy Officerów w ramach rozporządzenia RODO, a sami klienci są coraz mniej skorzy do przekazywania informacji w sieci – aż 91% z nich nie jest pewnych, czy ich poufne dane są bezpieczne[1]. Kluczem do odzyskania zaufania konsumentów będzie niewątpliwie podniesienie jakości cyberochrony. Szansę na zrewolucjonizowanie tego obszaru ma model Failure as a Service.

 

Software as a Service (SaaS) jest jednym z najdynamiczniej rozwijających się biznesów związanych z IT i oprogramowaniem. Jak wynika z danych Gartner, wzrost rynku rozmaitych usług i systemów udostępnianych firmom w chmurze obliczeniowej szacowany jest na ok. 40 miliardów dolarów rocznie, co w 2020 roku powinno zaowocować wartością rzędu 380 miliardów[2].

Coraz częściej pojawiają się jednak usługi, których celem nie jest dostarczanie organizacji przydatnych, wirtualnych narzędzi, a przenoszenie do chmury obliczeniowej np. sklepu internetowego i… niszczenie go. I to za niemałe pieniądze, na specjalne życzenie korzystającej z tego rozwiązania firmy.

 

 

Failure as a Service (FaaS) to nowy rodzaj usługi przetwarzającej dane w chmurze obliczeniowej. Pozwala ona stworzyć wirtualne, ale wiernie odzwierciedlające rzeczywistość środowisko, w którym możliwe jest wystawienie pracowników, procesów, oprogramowania i struktury organizacji na niezwykle ciężką próbę, np. cyberataku. Stosowanie tego rodzaju rozwiązań w chmurze zamiast na fizycznych systemach ma jedną podstawową przewagę – nie wprowadza na czas eksperymentu jakichkolwiek zmian w funkcjonowaniu firmy i jest w 100 procentach odwracalne.

Testowanie internetowych serwisów i platform w warunkach bojowych może stanowić milowy krok na drodze do wyeliminowania cyberprzestępczości. Dzięki Failure as a Service organizacje mogą przyjąć proaktywną postawę i należycie przygotować się na wszelkie możliwe ataki wirtualnych złoczyńców. Ci natomiast, w razie braku funduszy ze swojej niecnej działalności mogą wykorzystać swoją wiedzę i atakować rozmaite serwisy i bazy danych „w dobrej sprawie”, przy okazałej pensji.

 

Wirtualne szczepienie

Firma Gremlin Inc. oferująca usługi FaaS nie owija w bawełnę i pozycjonuje się jako „oprogramowanie psujące na życzenie”. Ba, twórcy serwisu są niezwykle konsekwentni i zamiast podkreślać swoje biznesowe sukcesy, chwalą się nazwami organizacji, które popsuły. Biorąc jednak pod uwagę, że na liście ofiar Gremlin znajduje się choćby Amazon – działalność firmy zasługuje na niemały szacunek.  Jak tłumaczą sami twórcy oprogramowania[3]:

Failure as a Service ma w założeniu działać jak szczepionka. Wpuszcza do wirtualnego organizmu rozmaite wirusy w celu wytworzenia odporności przez system.

Netflix postanowił natomiast zainstalować stanowisko „Inżyniera Chaosu” wewnątrz samej firmy. Kolton Andrus jest odpowiedzialny za wdrożenie tzw. failure injection service i testowanie rozmaitych cyberataków na umieszczonej w chmurze obliczeniowej, wiernej kopii filmowej platformy.

 

 

Inżynieria chaosu

FaaS jest kolejnym elementem tzw. Chaos Engineering, czyli dziedziny naukowej specjalizującej się w wykonywaniu rozmaitych eksperymentów na funkcjonujących systemach w celu przygotowania jego zarządców na potencjalne zagrożenia[4]. Ta niezwykle obiecująca gałąź biznesu związanego z cyberbezpieczeństwem opiera się na pięciu filarach:

  1. Koncentracja na mierzalnych atrybutach systemu – ich stały pomiar pozwoli na ocenę, czy system poddany eksperymentowi funkcjonuje stabilnie.
  2. Wybór najbardziej prawdopodobnych scenariuszy – i w ich ramach oszacowanie konsekwencji ataków i ich potencjalnej częstotliwości.
  3. Eksperymentowanie w warunkach rzeczywistych – wszelkie testy powinny odbywać się przy faktycznym ruchu, np. na stronie internetowej.
  4. Automatyzowanie procesu – inżynieria chaosu zakłada automatyzowanie poszczególnych eksperymentów i akcentowanie ich ciągłości – umożliwia to zaaranżowanie stałej presji na całej strukturze firmy.
  5. Redukowanie skutków ubocznych – nawet test może spowodować bardzo negatywne dla funkcjonowania firm skutki. Osoba odpowiedzialna za proces ma zatem za zadanie zagwarantować organizacji, że wszelkie „odpady” po eksperymencie, jak choćby modyfikacje w systemach bezpieczeństwa czy zmienione hasła, zostały należycie „posprzątane”.

 

Codzienny trening

Innym szczepieniem dla internetowych serwisów jest np. GameDay, 3-etapowe ćwiczenie, którego celem jest maksymalne zwiększenie „elastyczności” wirtualnego środowiska w przypadku cyberataku.  Metoda zaproponowana przez Jessie Robinsa, CEO Orion Labs polega na „zainfekowaniu” najważniejszych struktur organizacji (pracowników, kultury, procesu, infrastruktury, oprogramowania czy sprzętu) np. groźnym wirusem i wytworzeniu odporności na rozmaite zagrożenia. Eksperyment wspiera firmę w trzech płaszczyznach[5]:

  1. Przygotowanie:
    1. pozwala na identyfikację zagrożeń
    2. zmniejsza częstotliwość występowania problemów
    3. zmniejsza czas naprawy
  2. Uczestnictwo:
    1. zwiększa kompetencje pracowników w zakresie ochony przed cyberzagożeniami
    2. zwiększa ich pewność siebie
  3. Ćwiczenie:
    1. umożliwia znajdywanie „ukrytych wad”
    2. pozwala na proaktywne działanie i wykrywanie niedoskonałości przed faktycznym atakiem

 

 

 

Failure as a Service = przygotowani na wszystko

Wciąż rosnąca liczba wirtualnych zagrożeń sprawia, że firmy będą, nierzadko w panice, poszukiwać doraźnych metod rozwiązywania problemów z bezpieczeństwem. Tymczasem zarówno Failure as a Service, jak i ogół usług związanych z Inżynierią Chaosu pozwoli organizacjom należycie przygotować się na ataki i wytrącić wrogom jedno z ich najpotężniejszych oręży – element zaskoczenia.

Spopularyzowanie FaaS może zatem przynieść prawdziwą rewolucję w biznesie cyberochrony. Wobec niezwykle dynamicznych zmian w biznesowym środowisku, proaktywne działanie i wyprzedzanie zarówno konkurentów, jak i wirtualnych wrogów będzie stanowić klucz do sukcesu.

Na podstawie:
[1] https://www.cognizant.com/whitepapers/the-business-value-of-trust-codex1951.pdf
[2] http://www.gartner.com/newsroom/id/3616417
[3] https://blog.gremlininc.com/breaking-things-on-purpose-a519c0f5698b
[4] http://principlesofchaos.org/
[5] https://www.usenix.org/blog/gameday-creating-resiliency-through-destruction

Posłuchaj questus podcast

 Wpadnij na nasz kanał Youtube

Newsletter

Chcesz być informowany
o nowościach?
Dołącz do naszego
 newslettera.

 

Autor: Michał Moneta

Absolwent programu Diploma in Professional Marketing, Uniwersytetu Łódzkiego i Akademii Leona Koźmińskiego oraz kursów m. in. w IE Business School, University of California oraz University of Geneva. Jestem również certyfikowanym marketerem DIMAQ, a także absolwentem szkoleń narzędziowych Google – Ads oraz Analytics. Specjalizuję się w digital marketingu, w szczególności w obszarze content managementu, analityki i social mediów. Mam wielkie szczęście, że questus daje mi możliwość rozwoju właśnie w wyżej wymienionych obszarach. W ramach firmy zajmuję się więc budową strategii i zarządzaniem contentem, prowadzeniem mediów społecznościowych (Facebook, LinkedIn), redagowaniem questus BLOG, a także pracą dla klientów - w obrębie audytowania i przygotowywania strategii content managementu, a także realizowania działań operacyjnych. Choć praca, którą wykonuję jest jednocześnie moim hobby, staram się łączyć ją również z innymi zainteresowaniami – „szyję na basie”, uprawiam sporty i czytam rozmaite książki. Pewnie daleko mi do stereotypowego milenialsa, ale dzięki czerpaniu przyjemności tak, z pracy, jak i innych aktywności, hasło work-life balance jest mi niezwykle bliskie. Więcej o mnie znajdziecie na: http://michalmoneta.com/ ?
Ostatnie wpisy
David Aaker – Architekt Nowoczesnego Brandingu

David Aaker – Architekt Nowoczesnego Brandingu

W świecie marketingu, w którym konkurencja staje się coraz bardziej zacięta, a marki walczą o uwagę konsumentów, jednym z kluczowych narzędzi, które pomagają firmom wyróżnić się na tle innych, jest zrozumienie i budowanie silnej tożsamości marki. Jednym z najbardziej...

czytaj dalej