Hvad er sikkerhedstest? Eksempel

Af: Thomas Hamilton Thomas Hamilton
Hours Opdateret

Hvad er sikkerhedstestning?

Sikkerhedstest er en type softwaretest, der afdækker sårbarheder, trusler, risici i en softwareapplikation og forhindrer ondsindede angreb fra ubudne gæster. Formålet med sikkerhedstests er at identificere alle mulige smuthuller og svagheder i softwaresystemet, som kan resultere i tab af information, omsætning, omdømme i hænderne på medarbejdere eller udenforstående i organisationen.

Sikkerhedstest

Hvorfor er sikkerhedstest vigtig?

Hovedmålet med Sikkerhedstest er at identificere truslerne i systemet og måle dets potentielle sårbarheder, så truslerne kan stødes på, og systemet ikke holder op med at fungere eller ikke kan udnyttes. Det hjælper også med at opdage alle mulige sikkerhedsrisici i systemet og hjælper udviklere med at løse problemerne gennem kodning.

Typer af sikkerhedstest i softwaretest

Der er syv hovedtyper af sikkerhedstest i henhold til Open Source Security Testing-metodologimanualen. De er forklaret som følger:

Typer af sikkerhedstest i softwaretest

  • Sårbarhedsscanning: Dette gøres gennem automatiseret software til at scanne et system mod kendte sårbarhedssignaturer.
  • Sikkerhedsscanning: Det involverer identificering af netværks- og systemsvagheder og giver senere løsninger til at reducere disse risici. Denne scanning kan udføres til både manuel og automatisk scanning.
  • Penetrationstest: Denne form for test simulerer et angreb fra en ondsindet hacker. Denne test involverer analyse af et bestemt system for at kontrollere for potentielle sårbarheder til et eksternt hackingforsøg.
  • Risikovurdering: Denne test involverer analyse af sikkerhedsrisici observeret i organisationen. Risici er klassificeret som lav, medium og høj. Denne test anbefaler kontroller og foranstaltninger til at reducere risikoen.
  • Sikkerhedsrevision: Dette er en intern inspektion af applikationer og Operating systemer for sikkerhedsmangler. En audit kan også foretages via linje for linje kontrol af kode
  • Etisk hacking: Det hacker en organisations softwaresystemer. I modsætning til ondsindede hackere, der stjæler for deres egen vindings skyld, er hensigten at afsløre sikkerhedsfejl i systemet.
  • Kropsholdningsvurdering: Dette kombinerer sikkerhedsscanning, Etisk Hacking og risikovurderinger for at vise en overordnet sikkerhedsposition for en organisation.

Sådan laver du sikkerhedstest

Det er altid aftalt, at omkostningerne bliver mere, hvis vi udsætter sikkerhedstest efter softwareimplementeringsfasen eller efter implementeringen. Så det er nødvendigt at inddrage sikkerhedstest i SDLC-livscyklussen i de tidligere faser.

Lad os se nærmere på de tilsvarende sikkerhedsprocesser, der skal vedtages for hver fase i SDLC

Sikkerhedstest

SDLC faser Sikkerhedsprocesser
Krav Sikkerhedsanalyse for krav og tjek misbrug/misbrugssager
Design Sikkerhedsrisikoanalyse til design. Udvikling af Testplan herunder sikkerhedstest
Kodning og enhedstest Statisk og dynamisk test og sikkerhed Hvid Box Test
Integrationstest Sort Box Test
Systemtest Sort Box Test og sårbarhedsscanning
Implementering Penetration Testing, Sårbarhedsscanning
Support Effektanalyse af Patches

Testplanen skal indeholde

  • Sikkerhedsrelaterede testscenarier eller -scenarier
  • Testdata relateret til sikkerhedstest
  • Testværktøjer, der kræves til sikkerhedstest
  • Analyse af forskellige testoutput fra forskellige sikkerhedsværktøjer

Eksempel på testscenarier til sikkerhedstest

Prøvescenarier for at give dig et glimt af sikkerhedstestsager –

  • En adgangskode skal være i krypteret format
  • Applikationen eller systemet bør ikke tillade ugyldige brugere
  • Tjek cookies og sessionstid for ansøgning
  • For finansielle websteder, bør Browser tilbage-knappen ikke fungere.

Metoder/tilgang/teknikker til sikkerhedstest

Ved sikkerhedstestning følges forskellige metoder, og de er som følger:

  • Tiger Box: Denne hacking udføres normalt på en bærbar computer, som har en samling af operativsystemer og hackingværktøjer. Denne test hjælper penetrationstestere og sikkerhedstestere med at udføre sårbarhedsvurdering og angreb.
  • Sort Box: Testeren er autoriseret til at teste alt om netværkstopologien og teknologien.
  • Grå Box: Delvis information gives til testeren om systemet, og det er en hybrid af hvide og sorte boksmodeller.

Sikkerhedstestroller

  • Hackere – Få adgang til computersystem eller netværk uden tilladelse
  • Crackers – Bryd ind i systemerne for at stjæle eller ødelægge data
  • Ethical Hacker – Udfører de fleste bryderaktiviteter, men med tilladelse fra ejeren
  • Script Kiddies eller pakkeaber – uerfarne hackere med færdigheder i programmeringssprog

Værktøjer til sikkerhedstest

1) Teramind

Teramind leverer en omfattende suite til forebyggelse af insidertrusler og medarbejderovervågning. Det øger sikkerheden gennem adfærdsanalyse og forebyggelse af datatab, sikrer overholdelse og optimerer forretningsprocesser. Dens brugerdefinerbare platform passer til forskellige organisatoriske behov og giver praktisk indsigt, der fokuserer på at øge produktiviteten og beskytte dataintegriteten.

Teramind

Funktioner:

  • Insider-forebyggelse af trusler: Registrerer og forhindrer brugerhandlinger, der kan indikere insidertrusler mod data.
  • Optimering af forretningsprocesser: Anvender datadrevet adfærdsanalyse til at omdefinere operationelle processer.
  • Arbejdsstyrkens produktivitet: Overvåger arbejdsstyrkens produktivitet, sikkerhed og overholdelsesadfærd.
  • Overholdelsesstyring: Hjælper med at administrere overholdelse med en enkelt, skalerbar løsning, der er egnet til små virksomheder, virksomheder og offentlige myndigheder.
  • Hændelsesforensik: Leverer beviser for at berige hændelsesrespons, undersøgelser og trusselsefterretninger.
  • Forebyggelse af datatab: Overvåger og beskytter mod potentielt tab af følsomme data.
  • Medarbejderovervågning: Tilbyder kapacitet til at overvåge medarbejdernes præstationer og aktiviteter.
  • Adfærdsanalyse: Analyserer detaljerede kundeappadfærdsdata for at få indsigt.
  • Tilpasselige overvågningsindstillinger: Tillader tilpasning af overvågningsindstillinger, så de passer til specifikke brugstilfælde eller for at implementere foruddefinerede regler.
  • Dashboard-indsigt: Giver synlighed og handlingsorienteret indsigt i arbejdsstyrkens aktiviteter gennem et omfattende dashboard.

Besøg Teramind >>

2) Owasp

Open Web Application Security Project (OWASP) er en verdensomspændende non-profit organisation fokuseret på at forbedre sikkerheden af ​​software. Projektet har flere værktøjer til at teste forskellige softwaremiljøer og protokoller. Projektets flagskibsværktøjer omfatter

  1. Zed Attack Proxy (ZAP – et integreret penetrationstestværktøj)
  2. OWASP afhængighedstjek (det scanner for projektafhængigheder og kontrollerer for kendte sårbarheder)
  3. OWASP webtestmiljøprojekt (samling af sikkerhedsværktøjer og dokumentation)

3) WireShark

Wireshark er et netværksanalyseværktøj tidligere kendt som Ethereal. Det fanger pakker i realtid og viser dem i et menneskeligt læsbart format. Grundlæggende er det en netværkspakkeanalysator - som giver de små detaljer om dine netværksprotokoller, dekryptering, pakkeinformation osv. Det er en open source og kan bruges på Linux, Windows, OS X, Solaris, NetBSD, FreeBSD og mange andre systemer. Den information, der hentes via dette værktøj, kan ses gennem en GUI eller TTY-tilstanden TShark Utility.

4) W3af

w3af er en webapplikationsangrebs- og revisionsramme. Den har tre typer plugins; opdagelse, revision og angreb, der kommunikerer med hinanden for eventuelle sårbarheder på webstedet, for eksempel et discovery-plugin i w3af leder efter forskellige url'er for at teste for sårbarheder og videresende det til audit-plugin'et, som derefter bruger disse URL'er til at søge efter sårbarheder.

Myter og fakta om sikkerhedstest

Lad os tale om et interessant emne om myter og fakta om sikkerhedstest:

Myte #1 Vi har ikke brug for en sikkerhedspolitik, da vi har en lille virksomhed

Fakta: Alle og enhver virksomhed har brug for en sikkerhedspolitik

Myte #2 Der er intet afkast af investeringen i sikkerhedstest

Fakta: Sikkerhedstest kan pege på forbedringsområder, der kan forbedre effektiviteten og reducere nedetiden, hvilket muliggør maksimal gennemstrømning.

Myte #3: Den eneste måde at sikre på er at tage stikket ud.

Fakta: Den eneste og bedste måde at sikre en organisation på er at finde "Perfekt sikkerhed". Perfekt sikkerhed kan opnås ved at udføre en holdningsvurdering og sammenligne med forretningsmæssige, juridiske og branchemæssige begrundelser.

Myte #4: Internettet er ikke sikkert. Jeg køber software eller hardware for at beskytte systemet og redde virksomheden.

Fakta: Et af de største problemer er at købe software og hardware til sikkerhed. I stedet bør organisationen først forstå sikkerhed og derefter anvende den.

Konklusion

Sikkerhedstest er den vigtigste test for en applikation og kontrollerer, om fortrolige data forbliver fortrolige. I denne type test spiller testeren en rolle som angriberen og spiller rundt i systemet for at finde sikkerhedsrelaterede fejl. Sikkerhedstest er meget vigtigt i Software Engineering for at beskytte data på alle måder.

Du kan lide: