安全混沌工程 安全混沌工程(SCE) 指的是通过主动的实验来识别安全控制上的故障,以建立对系统能力的信心,以抵御生产中的恶意场景

安全混沌工程 安全混沌工程(SCE) 指的是通过主动的实验来识别安全控制上的故障,以建立对系统能力的信心,以抵御生产中的恶意场景 。 SCE填补了当代安全方法中的许多空白,如红紫队演习等。红紫队演习或其他安全测试方法仍然很有价值,但是面临上述提到的囧境,一切都不同了。 与单独实施相比,与SCE的结合提供了更客观、更主动的反馈机制,为系统应对不良事件做好准备。 红队起源于美国武装部队,可描述为一种“对抗的方法,以最真实的方式模仿攻击者的行为和技术”。 企业中常见的红队有两种形式,分别是白客攻击和渗透测试。在这些演习中,蓝队是红队的防守队伍。 紫队是红队演习的一种进化,“紫”字反映了红蓝组队的混合。 但这三种都有各自的缺陷。 SCE可以弥补这些缺陷,并提供了一些好处,包括: - SCE对系统有更全面的关注。主要的目标不是欺骗其他人员或测试警报;相反,这是为了主动识别由复杂分布式系统所引起的系统安全故障,并建立信心。 - SCE利用简单的隔离和受控实验,而不是复杂的攻击链。当同时进行大量更改时,很难控制爆炸半径,也难以将信号与噪声区分开。SCE大大降低了噪声。 - SCE提供了一种协作式学习体验,其重点是构建更具韧性的系统,而不是对事件做出反应。 SCE不一定与红队或紫队的发现或意图竞争。然而,SCE确实增加了一层有效性、透明度和可重复性,可以显著提高这些实践的价值。 红队和紫队的练习,根本无法跟上CI/CD和复杂分布式环境的步伐。现在,软件工程团队在24小时内会交付多个产品更新。在红队或紫队练习中获得的结果,其相关性很快就会降低,因为在此期间系统可能已经发生了根本的变化。 如果您希望在安全领域有所深入,这本新书将能够帮助您详细理解SCE。

相关推荐

封面图片

:提升AI系统安全性与可靠性的关键工具,通过对抗性测试技术识别潜在漏洞,为AI开发者、政策制定者和组织提供了多样化的红队测试方法

:提升AI系统安全性与可靠性的关键工具,通过对抗性测试技术识别潜在漏洞,为AI开发者、政策制定者和组织提供了多样化的红队测试方法和实践案例,以促进AI测试生态系统的健康发展 - 红队测试是评估AI系统安全性和可靠性的重要工具,通过对技术系统进行对抗性测试来识别潜在漏洞。 - AI领域目前红队测试方法不统一,使得很难客观比较不同AI系统的相对安全性。需要建立系统性红队测试的共识和标准。 - 文章介绍了多种红队测试方法,每种都有自己的优势和挑战,可以整合到从定性到定量的迭代测试流程中。 - 域专家红队可以利用专业知识识别复杂的上下文相关风险。可扩展到不同语言和文化背景的测试。 - 使用语言模型自动生成对抗样本可以提高测试效率。可以建立红队蓝队框架,迭代提升系统鲁棒性。 - 多模态红队测试可以识别新模态带来的风险。公开的社区红队测试可以汇集更广泛的观点。 - 红队结果可以转化为定量评估指标,并围绕其不断改进系统。需要政策支持红队测试的标准化和采纳。 - 红队测试是确保AI系统安全的重要手段之一。需要多个利益相关方参与,建立行业共识,推动AI的负责任发展。
封面图片

《2024注册安全工程师》

《2024注册安全工程师》 简介:2024注册安全工程师是一门系统性的学习课程,涵盖相关领域的核心知识。通过详尽的讲解和案例分析,帮助学习者深入理解课程主题,提高实践应用能力,适合希望扩展知识储备、提升专业技能的学员。 标签: #知识#学习资源#技能提升 文件大小:NG 链接:https://pan.quark.cn/s/d6b027c2c743
封面图片

中国工程院院士方滨兴澳大谈网络安全

中国工程院院士方滨兴澳大谈网络安全 #澳门大学 澳门大学今(27)日举行“大学讲坛"讲座,由著名的网络空间安全专家、中国工程院院士方滨兴担任讲者,就“网络空间新技术安全”为题发表演说,探讨新技术涌现下网络空间安全态势及其方方面面。 澳大副校长葛伟致辞时表示,在推动前沿科学发展上,澳大联同鹏城实验室和广州大学达成合作协议,开展域名系统实验合作框架,这项目对于防范国家的域名系统安全风险具有重要意义。方滨兴是项目总召集人...
封面图片

Chrome 发布了一个新版本,紧急修复了一个(没有公开说明的但有迹象表明有明确安全危险的)0-day 级别安全漏洞。现代浏览器

Chrome 发布了一个新版本,紧急修复了一个(没有公开说明的但有迹象表明有明确安全危险的)0-day 级别安全漏洞。现代浏览器事实上是一个比操作系统还复杂的超级巨型软件系统,从软件工程的角度来说基本超出任何公司人力所能完全管理的范围。这就是为什么几乎所有成功的浏览器都是开源的。 #抽屉IT
封面图片

美国参议院推动人工智能安全法案 旨在防止AI模型出现安全漏洞

美国参议院推动人工智能安全法案 旨在防止AI模型出现安全漏洞 该中心将领导研究法案中所说的"反人工智能",即学习如何操纵人工智能系统的技术。该中心还将制定预防反人工智能措施的指南。该法案还将要求国家标准与技术研究院(NIST)和网络安全与基础设施安全局建立一个人工智能漏洞数据库,包括"近乎得手的漏洞"。华纳和蒂利斯提出的法案重点关注对抗人工智能的技术,并将其分为数据中毒、规避攻击、基于隐私的攻击和滥用攻击。数据中毒指的是在人工智能模型刮取的数据中插入代码,破坏模型输出的方法。它是防止人工智能图像生成器在互联网上复制艺术作品的一种流行方法。规避攻击会改变人工智能模型所研究的数据,以至于模型变得混乱。人工智能安全是拜登政府人工智能行政命令的关键项目之一,该命令指示美国国家标准与技术研究院(NIST)制定"红队"指导方针,并要求人工智能开发人员提交安全报告。所谓"红队"(red teaming),是指开发人员故意让人工智能模型对不应该出现的提示做出反应。理想情况下,人工智能模型的开发者会对平台进行安全测试,并在向公众发布之前对其进行广泛的红队测试。一些公司如微软已经创建了一些工具,帮助人工智能项目更容易地添加安全防护措施。《人工智能安全法案》在提交给更大范围的参议院审议之前,必须经过一个委员会的审议。 ... PC版: 手机版:
封面图片

《【小迪安全】网络安全工程师(Web攻防 漏洞 提权 免杀等) 2023》

《【小迪安全】网络安全工程师(Web攻防 漏洞 提权 免杀等) 2023》 简介:《【小迪安全】网络安全工程师(Web攻防 漏洞 提权 免杀等) 2023》是小迪安全推出的针对2023年网络安全领域的培训课程。课程围绕网络安全工程师所需技能展开,重点讲解Web攻防技术,包括如何检测和防范Web应用程序中的漏洞,如SQL注入、XSS攻击等常见漏洞的原理和应对方法。还涉及提权操作,即获取系统更高权限的技巧,以及免杀技术,让恶意程序绕过杀毒软件的检测。通过理论讲解、案例分析和实践操作,帮助学员掌握网络安全领域的核心技能,为从事网络安全相关工作或提升网络安全防护意识提供有力支持 标签:#网络安全工程师 #Web攻防 #漏洞检测 #提权 #免杀技术 文件大小:NG 链接:https://pan.quark.cn/s/bd21b02d64c1

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人