Шта је испитивање сигурности? Врсте са примером

Преглед садржаја:

Anonim

Шта је испитивање сигурности?

ТЕСТИРАЊЕ БЕЗБЕДНОСТИ је врста софтверског тестирања која открива рањивости, претње, ризике у софтверској апликацији и спречава злонамерне нападе уљеза. Сврха сигурносних тестова је да идентификују све могуће рупе и слабости софтверског система које могу довести до губитка информација, прихода, угледа у рукама запослених или странаца Организације.

Зашто је безбедносно тестирање важно?

Главни циљ испитивања безбедности је идентификација претњи у систему и мерење његових потенцијалних рањивости, тако да се претње могу сусрести и систем не престаје да функционише или не може да се користи. Такође помаже у откривању свих могућих сигурносних ризика у систему и помаже програмерима да проблеме реше кодирањем.

У овом упутству ћете научити-

  • Шта је испитивање сигурности?
  • Врсте испитивања сигурности
  • Како се врши сигурносно тестирање
  • Примери тест сценарија за безбедносно тестирање
  • Методологије / приступ / технике за испитивање сигурности
  • Улоге испитивања безбедности
  • Алат за испитивање сигурности
  • Митови и чињенице испитивања сигурности

Врсте испитивања сигурности:

Према приручнику о методологији за тестирање безбедности отвореног кода постоји седам главних врста сигурносних тестова. Објашњени су на следећи начин:

  • Скенирање рањивости : То се ради путем аутоматизованог софтвера за скенирање система према познатим потписима рањивости.
  • Сигурносно скенирање: Укључује идентификовање мрежних и системских слабости, а касније нуди решења за смањење ових ризика. Ово скенирање се може извести и за ручно и за аутоматско скенирање.
  • Тестирање пенетрације : Ова врста тестирања симулира напад злонамерног хакера. Ово тестирање укључује анализу одређеног система ради провере потенцијалних рањивости на спољни покушај хаковања.
  • Процена ризика: Ово тестирање укључује анализу безбедносних ризика уочених у организацији. Ризици се класификују као ниски, средњи и високи. Ово тестирање препоручује контроле и мере за смањење ризика.
  • Ревизија сигурности: Ово је интерна инспекција апликација и оперативних система због сигурносних недостатака. Ревизија се такође може обавити путем линијске инспекције кода
  • Етичко хаковање: То је хаковање софтверских система организације. За разлику од злонамерних хакера који краду ради сопствене користи, намера је да се разоткрију сигурносне недостатке у систему.
  • Процена држања тела : Ово комбинује безбедносно скенирање, етичко хаковање и процену ризика да би се показало целокупно безбедносно држање организације.

Како се врши сигурносно тестирање

Увек се договори да ће та цена бити већа ако одложимо безбедносно тестирање након фазе имплементације софтвера или након примене. Дакле, неопходно је укључити сигурносно тестирање у животни циклус СДЛЦ у ранијим фазама.

Погледајмо одговарајуће сигурносне процесе који ће се усвојити за сваку фазу у СДЛЦ-у

СДЛЦ фазе Процеси безбедности
Захтеви Сигурносна анализа захтева и провера случајева злоупотребе / злоупотребе
Дизајн Анализа безбедносних ризика за пројектовање. Израда плана испитивања, укључујући сигурносне тестове
Кодирање и јединствено тестирање Статичко и динамичко тестирање и безбедносно тестирање беле кутије
Испитивање интеграције Тестирање црне кутије
Тестирање система Тестирање црне кутије и скенирање рањивости
Имплементација Испитивање пенетрације, скенирање рањивости
Подршка Анализа утицаја закрпа

План испитивања треба да садржи

  • Тест случајеви или сценарији у вези са безбедношћу
  • Тест подаци у вези са сигурносним тестирањем
  • Алати за тестирање потребни за безбедносно тестирање
  • Анализа различитих резултата тестова из различитих сигурносних алата

Примери тест сценарија за безбедносно тестирање:

Узорци сценарија за тестирање који ће вам дати увид у безбедносне тестове -

  • Лозинка треба да буде у шифрованом формату
  • Апликација или систем не смеју да дозволе неваљане кориснике
  • Проверите колачиће и време сесије за пријаву
  • За финансијске веб локације, дугме за повратак прегледача не би требало да ради.

Методологије / приступ / технике за испитивање сигурности

У сигурносном тестирању слиједе се различите методологије, а оне су сљедеће:

  • Тигер Бок : Ово хаковање се обично врши на преносном рачунару који има колекцију ОС-а и алата за хаковање. Ово тестирање помаже испитивачима пенетрације и испитивачима сигурности да изврше процену рањивости и нападе.
  • Црна кутија : Тестер је овлашћен да тестира све у вези са топологијом мреже и технологијом.
  • Сива кутија : Испитивачу се дају делимичне информације о систему, а то је хибрид модела беле и црне кутије.

Улоге испитивања безбедности

  • Хакери - Приступите рачунарском систему или мрежи без одобрења
  • Крекери - провалите у системе да бисте украли или уништили податке
  • Етички хакер - Обавља већину ломних активности, али уз дозволу власника
  • Мајстори скрипте или пакетни мајмуни - Неискусни хакери са вештином програмског језика

Алат за испитивање сигурности

1) уљез

Интрудер је корпоративни скенер за рањивост који је једноставан за употребу. Извршава преко 10.000 висококвалитетних безбедносних провера преко ваше ИТ инфраструктуре, које укључују, али нису ограничене на: слабости конфигурације, слабости апликација (попут СКЛ убризгавања и скриптирање на више локација) и недостајуће закрпе. Пружајући паметно приоритетне резултате, као и проактивно скенирање најновијих претњи, Интрудер помаже уштеди времена и штити предузећа свих величина од хакера.

Карактеристике:

  • АВС, Азуре и Гоогле Цлоуд конектори
  • Резултати специфични за обод како бисте смањили спољну површину напада
  • Квалитетно извештавање
  • Слацк, Мицрософт Теамс, Јира, Запиер интеграције
  • АПИ интеграција са вашим ЦИ / ЦД цевоводом

2) Овасп

Пројекат заштите отворених веб апликација (ОВАСП) је светска непрофитна организација усмерена на побољшање сигурности софтвера. Пројекат има више алата за тестирање различитих софтверских окружења и протокола. Водећи алати пројекта укључују

  1. Зед Аттацк Проки (ЗАП - интегрисани алат за тестирање пенетрације)
  2. ОВАСП Провера зависности (скенира зависности од пројекта и проверава против рањивости)
  3. Пројекат окружења за веб тестирање ОВАСП (колекција безбедносних алата и документације)

3) ВиреСхарк

Виресхарк је алат за мрежну анализу раније познат као Етхереал. Пакет снима у реалном времену и приказује их у читљивом формату. У основи, то је анализатор мрежног пакета - који пружа детаљне детаље о вашим мрежним протоколима, дешифровању, подацима о пакетима итд. То је отворени извор и може се користити на Линуку, Виндовсу, ОС Кс, Соларису, НетБСД, ФрееБСД и многим другим други системи. Информације до којих се долази помоћу овог алата могу се прегледати путем ГУИ-а или услужног програма ТСхарк у режиму ТТИ.

4) В3аф

в3аф је оквир за напад и ревизију веб апликација. Има три врсте додатака; откривање, ревизија и напад који међусобно комуницирају за било какве рањивости на локацији, на пример додатак за откривање у в3аф тражи различите УРЛ-ове за тестирање рањивости и прослеђује их додатку за проверу који затим користи ове УРЛ-ове за тражење рањивости.

Митови и чињенице сигурносног тестирања:

Разговарајмо о занимљивој теми о митовима и чињеницама сигурносног тестирања:

Мит 1. Не треба нам безбедносна политика јер имамо мало предузеће

Чињеница: Свима и свакој компанији је потребна безбедносна политика

Мит # 2 Нема повраћаја улагања у сигурносно тестирање

Чињеница: Испитивање сигурности може указати на подручја за побољшање која могу побољшати ефикасност и смањити застоје, омогућавајући максималан проток.

Мит # 3 : Једини начин да се осигура је искључивање.

Чињеница: Једини и најбољи начин да се обезбеди организација је проналажење „Савршене заштите“. Савршена сигурност може се постићи извођењем процене држања тела и упоређивањем са пословним, правним и индустријским оправдањима.

Мит # 4 : Интернет није сигуран. Куповат ћу софтвер или хардвер како бих заштитио систем и спасио посао.

Чињеница: Један од највећих проблема је куповина софтвера и хардвера ради безбедности. Уместо тога, организација би прво требало да разуме сигурност, а затим да је примени.

Закључак:

Испитивање сигурности је најважније тестирање за апликацију и проверава да ли поверљиви подаци остају поверљиви. У овој врсти тестирања, тестер игра улогу нападача и игра се око система како би пронашао грешке повезане са безбедношћу. Тестирање сигурности је веома важно у софтверском инжењерству да би се заштитили подаци на све начине.