Какво е тестване на сигурността? Пример
Томас Хамилтън
Какво представлява тестването за сигурност?
Тестване на сигурността е вид софтуерно тестване, което разкрива уязвимости, заплахи, рискове в софтуерно приложение и предотвратява злонамерени атаки от нарушители. Целта на тестовете за сигурност е да се идентифицират всички възможни вратички и слабости на софтуерната система, които могат да доведат до загуба на информация, приходи, репутация от страна на служителите или външни лица на Организацията.
Защо тестването за сигурност е важно?
Основната цел на Тестване на сигурността е да се идентифицират заплахите в системата и да се измерят нейните потенциални уязвимости, така че заплахите да могат да бъдат открити и системата да не спре да функционира или да не може да бъде използвана. Той също така помага при откриването на всички възможни рискове за сигурността в системата и помага на разработчиците да коригират проблемите чрез кодиране.
Видове тестове за сигурност при тестване на софтуер
Съществуват седем основни вида тестване на сигурността според методологичното ръководство за тестване на сигурността с отворен код. Те се обясняват по следния начин:
- Сканиране на уязвимостта: Това се прави чрез автоматизиран софтуер за сканиране на система срещу сигнатури за известни уязвимости.
- Сканиране за сигурност: Това включва идентифициране на мрежови и системни слабости и по-късно предоставя решения за намаляване на тези рискове. Това сканиране може да се извърши както за ръчно, така и за автоматично сканиране.
- Изпитване за проникване: Този вид тестване симулира атака от злонамерен хакер. Това тестване включва анализ на конкретна система, за да се провери за потенциални уязвимости при външен опит за хакване.
- Оценка на риска: Това тестване включва анализ на рисковете за сигурността, наблюдавани в организацията. Рисковете се класифицират като ниски, средни и високи. Това изпитване препоръчва контрол и мерки за намаляване на риска.
- Одит на сигурността: Това е вътрешна проверка на приложения и Operaтинг системи за пропуски в сигурността. Одитът може да се извърши и чрез проверка на кода ред по ред
- Етично хакване: Това е хакване на организационни софтуерни системи. За разлика от злонамерените хакери, които крадат за собствените си печалби, намерението е да разкрият пропуски в сигурността на системата.
- Оценка на позата: Това комбинира сканиране за сигурност, Етичен хакерство и оценки на риска, за да се покаже цялостното състояние на сигурността на организацията.
Как да направите тест за сигурност
Винаги се съгласяваме, че разходите ще бъдат повече, ако отложим тестване на сигурността след фаза на внедряване на софтуера или след внедряване. Така че е необходимо да се включи тестване на сигурността в жизнения цикъл на SDLC в по-ранните фази.
Нека да разгледаме съответните процеси за сигурност, които да бъдат приети за всяка фаза в SDLC
| SDLC фази | Процеси на сигурност |
|---|---|
| Изисквания | Анализ на сигурността за изисквания и проверка на случаи на злоупотреба/злоупотреба |
| Дизайн | Анализ на рисковете за сигурността за проектиране. Развитие на План за тестване включително тестове за сигурност |
| Кодиране и модулно тестване | Статично и динамично тестване и сигурност Бял Box Тестване |
| Тестване на интеграцията | черно Box Тестване |
| Тестване на системата | черно Box Тестване и сканиране на уязвимости |
| изпълнение | Проверка на проникването, Сканиране за уязвимости |
| Подръжка | Анализ на въздействието на кръпките |
Планът за изпитване трябва да включва
- Тестови случаи или сценарии, свързани със сигурността
- Тестови данни, свързани с тестване на сигурността
- Инструменти за тестване, необходими за тестване на сигурността
- Анализ на резултатите от различни тестове от различни инструменти за сигурност
Примерни тестови сценарии за тестване на сигурността
Примерни тестови сценарии, които да ви дадат представа за тестови случаи за сигурност –
- Паролата трябва да е в криптиран формат
- Приложението или системата не трябва да позволяват невалидни потребители
- Проверете бисквитките и времето за сесия за кандидатстване
- За финансови сайтове бутонът за връщане назад в браузъра не трябва да работи.
Методологии/ Подход/ Техники за тестване на сигурността
При тестването на сигурността се следват различни методологии и те са както следва:
- Тигър Box: Това хакване обикновено се извършва на лаптоп, който има колекция от операционни системи и инструменти за хакване. Това тестване помага на тестерите за проникване и тестерите за сигурност да извършват оценка на уязвимостите и атаки.
- черно Box: Тестерът е упълномощен да прави тестове на всичко относно топологията на мрежата и технологията.
- Сив Box: На тестера се дава частична информация за системата и тя е хибрид от модели с бяла и черна кутия.
Роли за тестване на сигурността
- Хакери – достъп до компютърна система или мрежа без разрешение
- Кракери – проникват в системите, за да откраднат или унищожат данни
- Етичен хакер – Извършва повечето дейности за разбиване, но с разрешение от собственика
- Script Kiddies или packet monkeys – неопитни хакери с умения за програмиране
Инструменти за тестване на сигурността
1) Teramind
Teramind предоставя цялостен пакет за предотвратяване на вътрешни заплахи и наблюдение на служителите. Той подобрява сигурността чрез анализ на поведението и предотвратяване на загуба на данни, като гарантира съответствие и оптимизира бизнес процесите. Неговата платформа с възможност за персонализиране отговаря на различни организационни нужди, предоставяйки практични прозрения, които се фокусират върху повишаване на производителността и защита на целостта на данните.
Характеристики:
- Предотвратяване на вътрешни заплахи: Открива и предотвратява потребителски действия, които могат да показват вътрешни заплахи за данните.
- Оптимизация на бизнес процеси: Използва управляван от данни анализ на поведението, за да предефинира оперативните процеси.
- Производителност на работната сила: Наблюдава производителността, сигурността и поведението за съответствие на работната сила.
- Управление на съответствието: Помага за управление на съответствието с едно, мащабируемо решение, подходящо за малки фирми, предприятия и държавни агенции.
- Криминалистика на инциденти: Предоставя доказателства за обогатяване на реакцията при инциденти, разследванията и разузнаването на заплахи.
- Превенция на загубата на данни: Наблюдава и предпазва от потенциална загуба на чувствителни данни.
- Мониторинг на служителите: Предлага възможности за наблюдение на представянето и дейностите на служителите.
- Анализ на поведението: Анализира подробни данни за поведението на клиентското приложение за прозрения.
- Персонализирани настройки за наблюдение: Позволява персонализиране на настройките за наблюдение, за да отговарят на конкретни случаи на употреба или за прилагане на предварително дефинирани правила.
- Статистика на таблото за управление: Осигурява видимост и практическа информация за дейностите на работната сила чрез цялостно табло за управление.
2) Owasp
Проектът за сигурност на отвореното уеб приложение (OWASP) е световна организация с нестопанска цел, фокусирана върху подобряване на сигурността на софтуера. Проектът разполага с множество инструменти за тестване на различни софтуерни среди и протоколи. Водещите инструменти на проекта включват
- Zed Attack Proxy (ZAP – интегриран инструмент за тестване на проникване)
- Проверка на зависимостта от OWASP (сканира за зависимости на проекта и проверява за известни уязвимости)
- Проект за среда за уеб тестване OWASP (колекция от инструменти за сигурност и документация)
3) WireShark
Wireshark е инструмент за мрежов анализ, известен преди като Ethereal. Той улавя пакети в реално време и ги показва в четим от хора формат. По принцип това е анализатор на мрежови пакети - който предоставя най-малките подробности за вашите мрежови протоколи, декриптиране, информация за пакети и т.н. Той е с отворен код и може да се използва на Linux, Windows, OS X, Solaris, NetBSD, FreeBSD и много други системи. Информацията, която се извлича чрез този инструмент, може да бъде прегледана чрез GUI или помощната програма TShark в режим TTY.
4) W3af
w3af е рамка за атака и одит на уеб приложения. Има три вида плъгини; откриване, одит и атака, които комуникират помежду си за всякакви уязвимости в сайта, например плъгин за откриване в w3af търси различни URL адреси, за да тества за уязвимости и го препраща към приставката за одит, която след това използва тези URL адреси за търсене на уязвимости.
Митове и факти за тестването на сигурността
Нека поговорим за една интересна тема за митовете и фактите за тестването на сигурността:
Мит #1 Нямаме нужда от политика за сигурност, тъй като имаме малък бизнес
Факт: Всеки и всяка компания се нуждае от политика за сигурност
Мит #2 Няма възвръщаемост на инвестицията в тестване на сигурността
Факт: Тестването на сигурността може да посочи области за подобрение, които могат да подобрят ефективността и да намалят времето на престой, позволявайки максимална производителност.
Мит #3: Единственият начин да се подсигурите е да го изключите от контакта.
Факт: Единственият и най-добрият начин да защитите една организация е да намерите „Перфектна сигурност“. Перфектната сигурност може да бъде постигната чрез извършване на оценка на позицията и сравнение с бизнес, правни и индустриални обосновки.
Мит #4: Интернет не е безопасен. Ще закупя софтуер или хардуер, за да предпазя системата и да спася бизнеса.
Факт: Един от най-големите проблеми е закупуването на софтуер и хардуер за сигурност. Вместо това организацията трябва първо да разбере сигурността и след това да я прилага.
Заключение
Тестването за сигурност е най-важното тестване за приложение и проверява дали поверителните данни остават поверителни. При този тип тестване тестерът играе ролята на нападателя и обикаля системата, за да открие грешки, свързани със сигурността. Тестването на сигурността е много важно в софтуерното инженерство за защита на данните с всички средства.
