Какво е тестване на сигурността?
ИЗПИТВАНЕТО НА СИГУРНОСТ е вид Тестване на софтуер, който разкрива уязвимости, заплахи, рискове в софтуерно приложение и предотвратява злонамерени атаки от натрапници. Целта на тестовете за сигурност е да идентифицират всички възможни вратички и слабости на софтуерната система, които могат да доведат до загуба на информация, приходи, репутация от страна на служителите или външни лица на Организацията.
Защо тестването на сигурността е важно?
Основната цел на тестването на сигурността е да идентифицира заплахите в системата и да измери потенциалните й уязвимости, така че заплахите да могат да се срещнат и системата да не спира да функционира или да не може да бъде използвана. Той също така помага при откриването на всички възможни рискове за сигурността в системата и помага на разработчиците да отстранят проблемите чрез кодиране.
В този урок ще научите -
- Какво е тестване на сигурността?
- Видове тестове за сигурност
- Как да направите тестване на сигурността
- Примерни тестови сценарии за тестване на сигурността
- Методологии / подход / техники за тестване на сигурността
- Роли за тестване на сигурността
- Инструмент за тестване на сигурността
- Митове и факти за тестване на сигурността
Видове тестове за сигурност:
Съществуват седем основни типа тестване на сигурността според ръководството за методология за тестване на сигурността с отворен код. Те се обясняват по следния начин:
- Сканиране на уязвимост : Това се прави чрез автоматизиран софтуер за сканиране на система срещу известни подписи за уязвимост.
- Сканиране за сигурност: Включва идентифициране на мрежови и системни слабости и по-късно предоставя решения за намаляване на тези рискове. Това сканиране може да се извърши както за ръчно, така и за автоматично сканиране.
- Тестване за проникване : Този вид тестване симулира атака от злонамерен хакер. Това тестване включва анализ на определена система за проверка за потенциални уязвимости на външен опит за хакване.
- Оценка на риска: Това тестване включва анализ на рисковете за сигурността, наблюдавани в организацията. Рисковете се класифицират като ниски, средни и високи. Това тестване препоръчва контрол и мерки за намаляване на риска.
- Одит на сигурността: Това е вътрешна проверка на приложения и операционни системи за грешки в сигурността. Одит може да се извърши и чрез проверка на код по ред
- Етично хакване: Това е хакерство на софтуерни системи на организация. За разлика от злонамерените хакери, които крадат за собствени печалби, намерението е да се разкрият недостатъците на сигурността в системата.
- Оценка на позата: Това съчетава сканиране за сигурност, етично хакерство и оценка на риска, за да покаже цялостната поза на организацията.
Как да направите тестване на сигурността
Винаги е договорено, че разходите ще бъдат повече, ако отложим тестването на сигурността след фазата на внедряване на софтуера или след внедряването. Така че е необходимо да се включат тестове за сигурност в жизнения цикъл на SDLC в по-ранните фази.
Нека да разгледаме съответните процеси за сигурност, които да бъдат приети за всяка фаза в SDLC
SDLC фази | Процеси за сигурност |
---|---|
Изисквания | Анализ на сигурността за изисквания и проверка на случаи на злоупотреба / злоупотреба |
Дизайн | Анализ на рисковете за сигурността при проектиране. Разработване на план за тестове, включително тестове за сигурност |
Кодиране и единично тестване | Статично и динамично тестване и тестване на бяла кутия за сигурност |
Тестване на интеграцията | Тестване на черна кутия |
Тестване на системата | Тестване на черна кутия и сканиране за уязвимост |
Изпълнение | Тестване на проникване, сканиране за уязвимост |
поддържа | Анализ на въздействието на пластирите |
Планът за тестване трябва да включва
- Свързани със сигурността тестови случаи или сценарии
- Тестови данни, свързани с тестване на сигурността
- Тестови инструменти, необходими за тестване на сигурността
- Анализ на различни резултати от тестове от различни инструменти за сигурност
Примерни тестови сценарии за тестване на сигурността:
Примерни тестови сценарии, които да ви дадат представа за тестовите случаи -
- Паролата трябва да бъде в криптиран формат
- Приложението или системата не трябва да позволяват невалидни потребители
- Проверете бисквитките и времето на сесията за кандидатстване
- За финансови сайтове бутонът за връщане на браузъра не трябва да работи.
Методологии / подход / техники за тестване на сигурността
При тестването на сигурността се следват различни методологии и те са както следва:
- Tiger Box : Това хакване обикновено се извършва на лаптоп, който има колекция от операционни системи и инструменти за хакване. Това тестване помага на тестерите за проникване и тестерите за сигурност да извършват оценка на уязвимости и атаки.
- Black Box : Tester е упълномощен да прави тестове за всичко относно мрежовата топология и технологията.
- Сива кутия : Частична информация се дава на тестера за системата и е хибрид от модели с бяла и черна кутия.
Роли за тестване на сигурността
- Хакери - Достъп до компютърна система или мрежа без разрешение
- Крекери - проникнете в системите, за да откраднете или унищожите данни
- Етичен хакер - Изпълнява повечето дейности за разбиване, но с разрешение от собственика
- Скрипт Киди или пакетни маймуни - Неопитни хакери с умения за програмиране
Инструмент за тестване на сигурността
1) Натрапник
Intruder е корпоративен скенер за уязвимост, който е лесен за използване. Той провежда над 10 000 висококачествени проверки на сигурността във вашата ИТ инфраструктура, които включват, но не се ограничават до: слабости на конфигурацията, слабости на приложенията (като SQL инжектиране и скриптове между сайтове) и липсващи кръпки. Предоставяйки интелигентно приоритетни резултати, както и проактивно сканиране за най-новите заплахи, Intruder помага да спестите време и предпазва бизнеса от всякакви размери в безопасност от хакери.
Характеристика:
- Конектори AWS, Azure и Google Cloud
- Специфични за периметъра резултати за намаляване на външната ви повърхност за атака
- Висококачествено отчитане
- Slack, интеграции на Microsoft Teams, Jira, Zapier
- API интеграция с вашия CI / CD тръбопровод
2) Owasp
Проектът за защита на отворените уеб приложения (OWASP) е световна организация с нестопанска цел, фокусирана върху подобряването на сигурността на софтуера. Проектът разполага с множество инструменти за тестване на химикалки в различни софтуерни среди и протоколи. Водещите инструменти на проекта включват
- Zed Attack Proxy (ZAP - интегриран инструмент за тестване на проникване)
- Проверка на зависимостта на OWASP (сканира за зависимости на проекта и проверява срещу известни уязвимости)
- Проект за среда за уеб тестване на OWASP (колекция от инструменти за сигурност и документация)
3) WireShark
Wireshark е инструмент за мрежов анализ, известен преди като Ethereal. Той улавя пакети в реално време и ги показва в читав формат. По принцип това е анализатор на мрежови пакети - който предоставя най-малките подробности за вашите мрежови протоколи, дешифриране, информация за пакети и т.н. Той е с отворен код и може да се използва в Linux, Windows, OS X, Solaris, NetBSD, FreeBSD и много други системи. Информацията, която се извлича чрез този инструмент, може да се види чрез графичен интерфейс или помощната програма TShark в режима TTY.
4) W3af
w3af е рамка за атаки и одит на уеб приложения. Той има три вида плъгини; откриване, одит и атака, които комуникират помежду си за всякакви уязвимости в сайта, например приставката за откриване в w3af търси различни URL адреси, за да тества за уязвимости и да ги препраща към приставката за одит, която след това използва тези URL адреси за търсене на уязвимости.
Митове и факти за тестване на сигурността:
Нека поговорим за интересна тема за митовете и фактите за тестване на сигурността:
Мит №1 Нямаме нужда от политика за сигурност, тъй като имаме малък бизнес
Факт: Всички и всяка компания се нуждаят от политика за сигурност
Мит №2 Няма възвръщаемост на инвестициите в тестване на сигурността
Факт: Тестването на сигурността може да посочи области за подобрение, които могат да подобрят ефективността и да намалят престоя, позволявайки максимална производителност.
Мит # 3 : Единственият начин да се осигури е да го изключите от контакта.
Факт: Единственият и най-добрият начин да си осигурите организация е да намерите „Perfect Security“. Перфектна сигурност може да бъде постигната чрез извършване на оценка на стойката и сравнение с бизнес, правни и отраслови обосновки.
Мит # 4 : Интернет не е безопасен. Ще закупя софтуер или хардуер, за да защитя системата и да запазя бизнеса.
Факт: Един от най-големите проблеми е закупуването на софтуер и хардуер за сигурност. Вместо това организацията трябва първо да разбере сигурността и след това да я приложи.
Заключение:
Тестването на сигурността е най-важното тестване за приложение и проверява дали поверителните данни остават поверителни. При този тип тестване тестерът играе роля на нападател и играе около системата, за да открие грешки, свързани със сигурността. Тестването на сигурността е много важно в софтуерното инженерство, за да се защитят данните по всякакъв начин.