Какво е тестване на сигурността? Типове с пример

Съдържание:

Anonim

Какво е тестване на сигурността?

ИЗПИТВАНЕТО НА СИГУРНОСТ е вид Тестване на софтуер, който разкрива уязвимости, заплахи, рискове в софтуерно приложение и предотвратява злонамерени атаки от натрапници. Целта на тестовете за сигурност е да идентифицират всички възможни вратички и слабости на софтуерната система, които могат да доведат до загуба на информация, приходи, репутация от страна на служителите или външни лица на Организацията.

Защо тестването на сигурността е важно?

Основната цел на тестването на сигурността е да идентифицира заплахите в системата и да измери потенциалните й уязвимости, така че заплахите да могат да се срещнат и системата да не спира да функционира или да не може да бъде използвана. Той също така помага при откриването на всички възможни рискове за сигурността в системата и помага на разработчиците да отстранят проблемите чрез кодиране.

В този урок ще научите -

  • Какво е тестване на сигурността?
  • Видове тестове за сигурност
  • Как да направите тестване на сигурността
  • Примерни тестови сценарии за тестване на сигурността
  • Методологии / подход / техники за тестване на сигурността
  • Роли за тестване на сигурността
  • Инструмент за тестване на сигурността
  • Митове и факти за тестване на сигурността

Видове тестове за сигурност:

Съществуват седем основни типа тестване на сигурността според ръководството за методология за тестване на сигурността с отворен код. Те се обясняват по следния начин:

  • Сканиране на уязвимост : Това се прави чрез автоматизиран софтуер за сканиране на система срещу известни подписи за уязвимост.
  • Сканиране за сигурност: Включва идентифициране на мрежови и системни слабости и по-късно предоставя решения за намаляване на тези рискове. Това сканиране може да се извърши както за ръчно, така и за автоматично сканиране.
  • Тестване за проникване : Този вид тестване симулира атака от злонамерен хакер. Това тестване включва анализ на определена система за проверка за потенциални уязвимости на външен опит за хакване.
  • Оценка на риска: Това тестване включва анализ на рисковете за сигурността, наблюдавани в организацията. Рисковете се класифицират като ниски, средни и високи. Това тестване препоръчва контрол и мерки за намаляване на риска.
  • Одит на сигурността: Това е вътрешна проверка на приложения и операционни системи за грешки в сигурността. Одит може да се извърши и чрез проверка на код по ред
  • Етично хакване: Това е хакерство на софтуерни системи на организация. За разлика от злонамерените хакери, които крадат за собствени печалби, намерението е да се разкрият недостатъците на сигурността в системата.
  • Оценка на позата: Това съчетава сканиране за сигурност, етично хакерство и оценка на риска, за да покаже цялостната поза на организацията.

Как да направите тестване на сигурността

Винаги е договорено, че разходите ще бъдат повече, ако отложим тестването на сигурността след фазата на внедряване на софтуера или след внедряването. Така че е необходимо да се включат тестове за сигурност в жизнения цикъл на SDLC в по-ранните фази.

Нека да разгледаме съответните процеси за сигурност, които да бъдат приети за всяка фаза в SDLC

SDLC фази Процеси за сигурност
Изисквания Анализ на сигурността за изисквания и проверка на случаи на злоупотреба / злоупотреба
Дизайн Анализ на рисковете за сигурността при проектиране. Разработване на план за тестове, включително тестове за сигурност
Кодиране и единично тестване Статично и динамично тестване и тестване на бяла кутия за сигурност
Тестване на интеграцията Тестване на черна кутия
Тестване на системата Тестване на черна кутия и сканиране за уязвимост
Изпълнение Тестване на проникване, сканиране за уязвимост
поддържа Анализ на въздействието на пластирите

Планът за тестване трябва да включва

  • Свързани със сигурността тестови случаи или сценарии
  • Тестови данни, свързани с тестване на сигурността
  • Тестови инструменти, необходими за тестване на сигурността
  • Анализ на различни резултати от тестове от различни инструменти за сигурност

Примерни тестови сценарии за тестване на сигурността:

Примерни тестови сценарии, които да ви дадат представа за тестовите случаи -

  • Паролата трябва да бъде в криптиран формат
  • Приложението или системата не трябва да позволяват невалидни потребители
  • Проверете бисквитките и времето на сесията за кандидатстване
  • За финансови сайтове бутонът за връщане на браузъра не трябва да работи.

Методологии / подход / техники за тестване на сигурността

При тестването на сигурността се следват различни методологии и те са както следва:

  • Tiger Box : Това хакване обикновено се извършва на лаптоп, който има колекция от операционни системи и инструменти за хакване. Това тестване помага на тестерите за проникване и тестерите за сигурност да извършват оценка на уязвимости и атаки.
  • Black Box : Tester е упълномощен да прави тестове за всичко относно мрежовата топология и технологията.
  • Сива кутия : Частична информация се дава на тестера за системата и е хибрид от модели с бяла и черна кутия.

Роли за тестване на сигурността

  • Хакери - Достъп до компютърна система или мрежа без разрешение
  • Крекери - проникнете в системите, за да откраднете или унищожите данни
  • Етичен хакер - Изпълнява повечето дейности за разбиване, но с разрешение от собственика
  • Скрипт Киди или пакетни маймуни - Неопитни хакери с умения за програмиране

Инструмент за тестване на сигурността

1) Натрапник

Intruder е корпоративен скенер за уязвимост, който е лесен за използване. Той провежда над 10 000 висококачествени проверки на сигурността във вашата ИТ инфраструктура, които включват, но не се ограничават до: слабости на конфигурацията, слабости на приложенията (като SQL инжектиране и скриптове между сайтове) и липсващи кръпки. Предоставяйки интелигентно приоритетни резултати, както и проактивно сканиране за най-новите заплахи, Intruder помага да спестите време и предпазва бизнеса от всякакви размери в безопасност от хакери.

Характеристика:

  • Конектори AWS, Azure и Google Cloud
  • Специфични за периметъра резултати за намаляване на външната ви повърхност за атака
  • Висококачествено отчитане
  • Slack, интеграции на Microsoft Teams, Jira, Zapier
  • API интеграция с вашия CI / CD тръбопровод

2) Owasp

Проектът за защита на отворените уеб приложения (OWASP) е световна организация с нестопанска цел, фокусирана върху подобряването на сигурността на софтуера. Проектът разполага с множество инструменти за тестване на химикалки в различни софтуерни среди и протоколи. Водещите инструменти на проекта включват

  1. Zed Attack Proxy (ZAP - интегриран инструмент за тестване на проникване)
  2. Проверка на зависимостта на OWASP (сканира за зависимости на проекта и проверява срещу известни уязвимости)
  3. Проект за среда за уеб тестване на OWASP (колекция от инструменти за сигурност и документация)

3) WireShark

Wireshark е инструмент за мрежов анализ, известен преди като Ethereal. Той улавя пакети в реално време и ги показва в читав формат. По принцип това е анализатор на мрежови пакети - който предоставя най-малките подробности за вашите мрежови протоколи, дешифриране, информация за пакети и т.н. Той е с отворен код и може да се използва в Linux, Windows, OS X, Solaris, NetBSD, FreeBSD и много други системи. Информацията, която се извлича чрез този инструмент, може да се види чрез графичен интерфейс или помощната програма TShark в режима TTY.

4) W3af

w3af е рамка за атаки и одит на уеб приложения. Той има три вида плъгини; откриване, одит и атака, които комуникират помежду си за всякакви уязвимости в сайта, например приставката за откриване в w3af търси различни URL адреси, за да тества за уязвимости и да ги препраща към приставката за одит, която след това използва тези URL адреси за търсене на уязвимости.

Митове и факти за тестване на сигурността:

Нека поговорим за интересна тема за митовете и фактите за тестване на сигурността:

Мит №1 Нямаме нужда от политика за сигурност, тъй като имаме малък бизнес

Факт: Всички и всяка компания се нуждаят от политика за сигурност

Мит №2 Няма възвръщаемост на инвестициите в тестване на сигурността

Факт: Тестването на сигурността може да посочи области за подобрение, които могат да подобрят ефективността и да намалят престоя, позволявайки максимална производителност.

Мит # 3 : Единственият начин да се осигури е да го изключите от контакта.

Факт: Единственият и най-добрият начин да си осигурите организация е да намерите „Perfect Security“. Перфектна сигурност може да бъде постигната чрез извършване на оценка на стойката и сравнение с бизнес, правни и отраслови обосновки.

Мит # 4 : Интернет не е безопасен. Ще закупя софтуер или хардуер, за да защитя системата и да запазя бизнеса.

Факт: Един от най-големите проблеми е закупуването на софтуер и хардуер за сигурност. Вместо това организацията трябва първо да разбере сигурността и след това да я приложи.

Заключение:

Тестването на сигурността е най-важното тестване за приложение и проверява дали поверителните данни остават поверителни. При този тип тестване тестерът играе роля на нападател и играе около системата, за да открие грешки, свързани със сигурността. Тестването на сигурността е много важно в софтуерното инженерство, за да се защитят данните по всякакъв начин.