Какво е тестване на сигурността? Пример

по: Томас Хамилтън Томас Хамилтън
Hours Обновено

⚡ Умно обобщение

Тестването за сигурност е дисциплина в софтуерното тестване, която разкрива уязвимости, заплахи и рискове в дадено приложение, преди да го направят атакуващите. Тази статия разглежда седемте основни типа, модела на интеграция на SDLC, често срещаните методологии, ключовите роли и най-добрите инструменти.

  • Основна дефиниция: Тестването за сигурност открива уязвимости, които биха могли да доведат до изтичане на информация, приходи или репутация.
  • 🎯 Седем вида: Сканиране за уязвимости, сканиране за сигурност, тестване за проникване, оценка на риска, одит на сигурността, етично хакерство, оценка на състоянието.
  • 🔁 Shift Наляво: Вградете сигурността във всяка фаза на SDLC, от изискванията до поддръжката – ранното отстраняване на проблемите е много по-евтино от отстраняването им след пускането им на пазара.
  • 🧪 Три подхода: Тигър Box, Черен Boxи Грей Box представляват спектъра от тестване с пълно знание до тестване с нулево знание.
  • 🛠️ Инструментална верига: Teramind, OWASP ZAP, Wiresharkи w3af се използват широко в тестовете за вътрешни заплахи, уеб приложения и мрежи.
  • 🤖 AI Boost: Агентите с изкуствен интелект триажират резултатите от сканирането, приоритизират CVE по вероятност за експлоатация и изготвят корекции за отстраняване на проблеми.
Прочетете повече

Какво представлява тестването за сигурност?

Какво представлява тестването за сигурност?

Тестване на сигурността е вид тестване на софтуер който разкрива уязвимости, заплахи и рискове в дадено приложение и предотвратява злонамерени атаки от натрапници. Целта на тестовете за сигурност е да идентифицират всяка „вратичка“ и слабост в системата, които биха могли да доведат до загуба на информация, приходи или репутация от страна на вътрешни или външни лица.

Тестването за сигурност защитава приложението от натрапници

Защо е важно тестването за сигурност?

Основната цел на тестовете за сигурност е да се идентифицират заплахи в системата и да се измери потенциалното им въздействие, така че заплахите да могат да бъдат смекчени и системата да продължи да функционира безопасно. Тестовете за сигурност откриват всеки възможен риск и предоставят на разработчиците практическа информация за отстраняване на проблемите в кода преди внедряването.

Видове тестове за сигурност при тестване на софтуер

Според Ръководството за методология за тестване на сигурността с отворен код (OSSTMM), има седем основни вида тестове за сигурност.

Седем вида тестове за сигурност при тестване на софтуер

  • Сканиране на уязвимост: Автоматизиран софтуер сканира системата за известни сигнатури на уязвимости.
  • Сканиране за сигурност: Идентифицира слабости в мрежата и системата и препоръчва решения. Може да бъде ръчно, автоматизирано или и двете.
  • Изпитване за проникване: Симулира злонамерена атака, за да разкрие уязвимости, които външен нападател би могъл да използва.
  • Оценка на риска: Анализира наблюдаваните в организацията рискове за сигурността и ги класифицира като ниски, средни или високи, като препоръчва мерки за контрол.
  • Одит на сигурността: Вътрешна проверка на заявленията и операционна система за пропуски в сигурността. Може да включва преглед на кода ред по ред.
  • Етично хакерство: Оторизирано хакване на софтуер на организация с цел разкриване на пропуски в сигурността – обратното намерение на злонамерените хакери.
  • Оценка на позата: Комбинира сканиране за сигурност, етичен хакерствои оценка на риска, за да се покаже цялостната система за сигурност на организацията.

Как да се направи тестване за сигурност

Общоприето е, че цената на отстраняването на дефект в сигурността се увеличава драстично, колкото по-късно бъде открит. Отлагане тестване на сигурността Вграждането му в SDLC от самото начало е много по-скъпо, отколкото дотогава, докато не бъде внедрено.

Таблицата по-долу съпоставя дейностите по сигурността с всяка фаза на SDLC.

Процеси на сигурност във всяка фаза на SDLC

SDLC фаза Процеси на сигурност
Изисквания Анализ на сигурността на изискванията и преглед на случаи на злоупотреба/неправилно използване.
Дизайн Анализ на риска за сигурността на проекта. Разработване на план за изпитване което включва тестове за сигурност.
Кодиране и модулно тестване Статично и динамично тестване плюс сигурност тестване с бяла кутия.
Тестване на интеграцията Тестване в черна кутия.
Тестване на системата Тестване на черна кутия и сканиране за уязвимости.
изпълнение Изпитване за проникване и сканиране за уязвимости.
Подкрепа Анализ на въздействието на кръпки.

Планът за тестване на сигурността трябва да включва:

  • Тестови случаи и сценарии, свързани със сигурността.
  • Тестови данни, предназначени за тестване на сигурността.
  • Необходими инструменти за тестване за всяка дейност по сигурността.
  • Анализ на резултатите от различните инструменти за сигурност.

Примерни тестови сценарии за тестване на сигурността

Списъкът по-долу предлага преглед на типични случаи на тестове за сигурност.

  • Паролите се съхраняват в криптирана форма, никога в обикновен текст.
  • Приложението или системата блокира невалидни потребители.
  • „Бисквитките“ и времето за изчакване на сесиите се валидират за всеки работен процес.
  • За финансови сайтове бутонът за връщане назад в браузъра не трябва да показва защитени страници след излизане от системата.

Методологии и техники за тестване на сигурността

Тестването за сигурност следва няколко установени методологии.

  • Тигър Box: Тестване, извършено от лаптоп, на който са инсталирани множество операционни системи и хакерски инструменти. Използва се от тестери за проникване за оценка на уязвимости и извършване на атаки.
  • черно Box: Тестерът няма вътрешни познания за мрежовата топология или технологичния стек и изследва системата така, както би го направил външен човек.
  • Сив Box: Тестерът получава частична информация за системата. Този хибрид от техники „бяла кутия“ и „черна кутия“ отразява реалистичен модел на заплаха, при който някои детайли са изтекли.

Роли за тестване на сигурността

  • Хакер: Общ термин за някой, който има достъп до компютърна система или мрежа — често използван днес за обозначаване на хакери, които правят това без разрешение.
  • Крекер: Пробива в системи, за да открадне или унищожи данни.
  • Етичен хакер: Извършва същите дейности като хакер, но с изричното разрешение на собственика, helping да се втвърди системата.
  • Скриптови деца / Пакетни маймуни: Неопитни нападатели с ограничени познания по програмиране, които разчитат на предварително изградени скриптове и инструменти.

Инструменти за тестване на сигурността

1) Teramind

Teramind предоставя цялостен пакет за предотвратяване на вътрешни заплахи и наблюдение на служителите. Той подобрява сигурността чрез анализ на поведението и предотвратяване на загуба на данни, осигурявайки съответствие и оптимизирайки бизнес процесите. Неговата персонализируема платформа отговаря на различни организационни нужди, предоставяйки практическа информация, фокусирана върху повишаване на производителността и защита на целостта на данните.

Teramind платформа за наблюдение на вътрешни заплахи и служители

Характеристики:

  • Предотвратяване на вътрешни заплахи: Открива и предотвратява потребителски действия, които могат да показват вътрешни заплахи за данните.
  • Оптимизация на бизнес процесите: Използва анализи на поведението, базирани на данни, за усъвършенстване на оперативните процеси.
  • Производителност на работната сила: Следи производителността, сигурността и поведението, свързано със съответствието.
  • Управление на съответствието: Управлява съответствието от едно мащабируемо решение, подходящо за малки фирми, предприятия и държавни агенции.
  • Криминалистика на инциденти: Предоставя доказателства за обогатяване на реакцията при инциденти, разследването и разузнаването на заплахите.
  • Превенция на загубата на данни: Следи и предпазва от загуба на чувствителни данни.
  • Мониторинг на служителите: Tracпредставяне и дейности на служителите в ks.
  • Поведенчески анализ: Анализира подробни данни за поведението на потребителите в приложението за анализ.
  • Персонализируеми настройки за мониторинг: Позволява правилата за наблюдение да отговарят на специфични случаи на употреба.
  • Статистика на таблото за управление: Осигурява видимост и практически анализи чрез цялостно табло за управление.

посещение Teramind >>

2) ОУАСП

- Проект за сигурност на отворени уеб приложения (OWASP) е световна организация с нестопанска цел, посветена на подобряването на софтуерната сигурност. Проектът предлага множество инструменти за тестване с писалка на различни софтуерни среди и протоколи. Водещите инструменти включват:

  1. Zed Attack Proxy (ZAP) — интегриран инструмент за тестване за проникване.
  2. OWASP проверка на зависимостта — сканира зависимостите на проекта за известни уязвимости.
  3. Проект за среда за уеб тестване OWASP — подбрана колекция от инструменти и документация за сигурност.

3) Wireshark

Wireshark е инструмент за мрежов анализ, известен преди като Ethereal. Той улавя пакети в реално време и ги показва във формат, четим за човек. Wireshark е с отворен код и работи на Linux, Windows, macOS, Solaris, NetBSD, FreeBSD и много други системи. Данните могат да се преглеждат в графичен потребителски интерфейс или чрез помощната програма за команден ред TShark.

4) w3af

w3af е рамка за атаки и одити на уеб приложения. Тя има три категории плъгини – откриване, одит и атака – които комуникират помежду си. Плъгинът за откриване търси URLза тестване, ги препраща към плъгина за одит, който сканира за уязвимости, а плъгинът за атака след това се опитва да ги експлоатира.

Митове и факти за тестването на сигурността

Няколко упорити мита забавят програмите за сигурност. Списъкът по-долу съпоставя всеки мит с основния факт.

Мит #1: Малкият бизнес не се нуждае от политика за сигурност.
Факт: Всеки човек и всяка компания се нуждае от политика за сигурност.

Мит #2: Тестването за сигурност не предлага възвръщаемост на инвестицията.
Факт: Тестването за сигурност разкрива области за подобрение, които повишават ефективността, намаляват времето на престой и осигуряват максимална производителност.

Мит #3: Единственият начин да се осигури безопасност е да изключите системата от контакта.
Факт: Практическата сигурност идва от оценка на състоянието, съобразена с бизнес, правните и индустриалните изисквания, а не от прекъсване на мрежата.

Мит #4: Закупуването на повече софтуер или хардуер ще защити бизнеса.
Факт: Инструментите не заместват стратегията. Първо разберете пейзажа на заплахите, след което изберете контролите, които са подходящи.

Въпроси и Отговори

SAST (Статично тестване на сигурността на приложенията) сканира изходния код за уязвимости, без да го изпълнява. DAST (Динамично тестване на сигурността на приложенията) сондира работещото приложение. Зрелите екипи използват и двете - SAST в непрекъсната интеграция, DAST в етапа на подготовка - за покриване на рисковете, свързани с кода и изпълнението.

Автоматизирани сканирания се изпълняват при всяка компилация, проверка на зависимостите се извършва ежедневно, пълен тест за проникване се извършва поне веднъж годишно или след големи издания, а оценките на състоянието се извършват на тримесечие. Чувствителни индустрии като финанси и здравеопазване често изискват месечни сканирания за съответствие.

OWASP ASVS, OWASP Top 10, NIST SP 800-115, ISO/IEC 27001, PCI-DSS и OSSTMM са най-широко възприетите стандарти. Те определят обхвата на тестовете, целите на контрола и изискванията за отчитане при тестване на сигурността на приложенията и инфраструктурата.

AI Инструментите клъстерират открития от сканиране, дедубликат фалшиво положителни резултати, прогнозират вероятността от експлоатация от информационни канали за заплахи и генерират корекции за често срещани CVE класове - позволявайки на анализаторите да се съсредоточат върху високорисковите, критични за бизнеса проблеми.

Генеративните ИИ агенти могат да свързват стъпките за разузнаване, експлоатация и отчитане, за да извършват автономни тестове за проникване в рамките на обхватни среди. Човешките проверяващи все още валидират констатациите и одобряват вериги от експлойти за живи цели, за да гарантират етично и правно съответствие.

Обобщете тази публикация с: