Hvad er sikkerhedstest? Eksempel

Af: Thomas Hamilton Thomas Hamilton
Hours Opdateret

โšก Smart opsummering

Sikkerhedstestning er en disciplin inden for softwaretestning, der afdรฆkker sรฅrbarheder, trusler og risici i en applikation, fรธr angribere gรธr det. Denne artikel dรฆkker de syv kernetyper, SDLC-integrationsmodellen, almindelige metoder, nรธgleroller og de vigtigste vรฆrktรธjer.

  • ๐Ÿ›ก๏ธ Kernedefinition: Sikkerhedstest finder sรฅrbarheder, der kan lรฆkke information, omsรฆtning eller omdรธmme.
  • ๐ŸŽฏ Syv typer: Sรฅrbarhedsscanning, sikkerhedsscanning, penetrationstest, risikovurdering, sikkerhedsrevision, etisk hacking, holdningsvurdering.
  • ๐Ÿ” Shift Venstre: Integrer sikkerhed i alle SDLC-faser fra krav til support โ€” tidlig reparation er langt billigere end reparation efter udgivelsen.
  • ๐Ÿงช Tre tilgange: Tiger Box, Black Boxog grรฅ Box reprรฆsenterer spektret fra fuld viden- til nul-viden-testning.
  • ๐Ÿ› ๏ธ Vรฆrktรธjskรฆde: Teramind, OWASP ZAP, Wireshark, og w3af bruges i vid udstrรฆkning pรฅ tvรฆrs af insidertrusler, webapps og netvรฆrkstest.
  • ๐Ÿค– AI Boost: AI-agenter prioriterer scanneroutput, prioriterer CVE'er efter sandsynlighed for udnyttelse og udarbejder afhjรฆlpningsrettelser.
Lรฆs mere

Hvad er sikkerhedstestning?

Hvad er sikkerhedstestning?

Sikkerhedstest er en type af software test der afdรฆkker sรฅrbarheder, trusler og risici i en applikation og forhindrer ondsindede angreb fra ubudne gรฆster. Formรฅlet med sikkerhedstests er at identificere ethvert smuthul og enhver svaghed i systemet, der kan fรธre til tab af information, indtรฆgter eller omdรธmme i hรฆnderne pรฅ insidere eller outsidere.

Sikkerhedstest beskytter en applikation mod ubudne gรฆster

Hvorfor er sikkerhedstestning vigtig?

Hovedformรฅlet med sikkerhedstest er at identificere trusler i systemet og mรฅle deres potentielle indvirkning, sรฅ truslerne kan afbรธdes, og systemet fortsat fungerer sikkert. Sikkerhedstest registrerer alle mulige risici og giver udviklere handlingsrettede oplysninger til at lรธse problemer i koden fรธr implementering.

Typer af sikkerhedstest i softwaretest

Ifรธlge Open Source Security Testing Methodology Manual (OSSTMM) er der syv primรฆre typer sikkerhedstestning.

Syv typer sikkerhedstestning i softwaretestning

  • Sรฅrbarhedsscanning: Automatiseret software scanner et system mod kendte sรฅrbarhedssignaturer.
  • Sikkerhedsscanning: Identificerer netvรฆrks- og systemsvagheder og anbefaler lรธsninger. Kan vรฆre manuel, automatiseret eller begge dele.
  • Penetrationstest: Simulerer et ondsindet angreb for at afdรฆkke sรฅrbarheder, som en ekstern angriber kan udnytte.
  • Risikovurdering: Analyserer observerede sikkerhedsrisici i organisationen og klassificerer dem som Lav, Mellem eller Hรธj, og anbefaler kontroller.
  • Sikkerhedsrevision: En intern inspektion af ansรธgninger og operativsystemer for sikkerhedsfejl. Kan omfatte linje-for-linje kodegennemgang.
  • Etisk hacking: Autoriseret hacking af en organisations software for at afslรธre sikkerhedshuller โ€“ den modsatte hensigt af ondsindede hackere.
  • Kropsholdningsvurdering: Kombinerer sikkerhedsscanning, etisk hackingog risikovurdering for at vise en organisations overordnede sikkerhedstilstand.

Sรฅdan udfรธrer du sikkerhedstest

Det er bredt accepteret, at omkostningerne ved at udbedre en sikkerhedsfejl stiger dramatisk, jo senere den opdages. sikkerhedstest indtil efter implementeringen er langt dyrere end at integrere det i SDLC fra starten.

Tabellen nedenfor kortlรฆgger sikkerhedsaktiviteter for hver SDLC-fase.

Sikkerhedsprocesser pรฅ tvรฆrs af hver SDLC-fase

SDLC-fase Sikkerhedsprocesser
Krav Sikkerhedsanalyse af krav og gennemgang af misbrugssager.
Design Sikkerhedsrisikoanalyse for designet. Udvikling af en testplan som inkluderer sikkerhedstests.
Kodning og enhedstest Statisk og dynamisk testning plus sikkerhed white-box-testning.
Integrationstest Black-box test.
Systemtest Black-box-test og sรฅrbarhedsscanning.
Implementering Penetrationstest og sรฅrbarhedsscanning.
Stรธtte Konsekvensanalyse af patches.

Sikkerhedstestplanen bรธr omfatte:

  • Sikkerhedsrelaterede testcases og scenarier.
  • Testdata designet til sikkerhedstestning.
  • Testvรฆrktรธjer, der krรฆves til hver sikkerhedsaktivitet.
  • Analyse af output fra de forskellige sikkerhedsvรฆrktรธjer.

Eksempel pรฅ testscenarier til sikkerhedstest

Listen nedenfor giver et glimt af typiske sikkerhedstests.

  • Adgangskoder gemmes i krypteret form, aldrig i almindelig tekst.
  • Applikationen eller systemet blokerer ugyldige brugere.
  • Cookies og sessionstimeouts valideres for alle arbejdsgange.
  • For finansielle websteder mรฅ browserens tilbageknap ikke vise beskyttede sider efter udlogning.

Metoder og teknikker til sikkerhedstestning

Sikkerhedstestning fรธlger flere etablerede metoder.

  • Tiger Box: Test udfรธrt fra en bรฆrbar computer med flere operativsystemer og hackingvรฆrktรธjer. Bruges af penetrationstestere til at vurdere sรฅrbarheder og kรธre angreb.
  • Sort Box: Testeren har ingen intern viden om netvรฆrkstopologien eller teknologistakken og undersรธger systemet, som en udenforstรฅende ville gรธre.
  • Grรฅ Box: Testeren modtager delvise oplysninger om systemet. Denne hybrid af white-box- og black-box-teknikker afspejler en realistisk trusselsmodel, hvor nogle detaljer er lรฆkket.

Sikkerhedstestroller

  • hacker: Generisk betegnelse for en person, der tilgรฅr et computersystem eller netvรฆrk โ€” almindeligvis brugt i dag til at henvise til black-hat-hackere, der gรธr det uden tilladelse.
  • Kiks: Bryder ind i systemer for at stjรฆle eller รธdelรฆgge data.
  • Etisk hacker: Udfรธrer de samme aktiviteter som en hacker, men med ejerens udtrykkelige tilladelse, helping at hรฆrde systemet.
  • Script Kiddies / Pakkeaber: Uerfarne angribere med begrรฆnset programmeringsviden, der er afhรฆngige af prรฆbyggede scripts og vรฆrktรธjer.

Vรฆrktรธjer til sikkerhedstest

1) Teramind

Teramind Leverer en omfattende pakke til forebyggelse af insidertrusler og medarbejderovervรฅgning. Den forbedrer sikkerheden gennem adfรฆrdsanalyse og forebyggelse af datatab, sikrer overholdelse af regler og optimerer forretningsprocesser. Dens brugerdefinerbare platform passer til forskellige organisatoriske behov og giver handlingsrettet indsigt, der fokuserer pรฅ at รธge produktiviteten og beskytte dataintegriteten.

Teramind Platform til overvรฅgning af insidertrusler og medarbejdere

Funktioner:

  • Insider-forebyggelse af trusler: Registrerer og forhindrer brugerhandlinger, der kan indikere insidertrusler mod data.
  • Optimering af forretningsprocesser: Anvender datadreven adfรฆrdsanalyse til at forfine driftsprocesser.
  • Arbejdsstyrkens produktivitet: Overvรฅger produktivitet, sikkerhed og compliance-adfรฆrd.
  • Overholdelsesstyring: Hรฅndterer compliance fra รฉn skalerbar lรธsning, der er velegnet til smรฅ virksomheder, storselskaber og offentlige myndigheder.
  • Hรฆndelsesforensik: Leverer beviser til at berige hรฆndelsesrespons, efterforskning og trusselsefterretning.
  • Forebyggelse af datatab: Overvรฅger og beskytter mod tab af fรธlsomme data.
  • Medarbejderovervรฅgning: Tracks medarbejderprรฆstation og aktiviteter.
  • Adfรฆrdsanalyse: Analyserer detaljerede data om brugeradfรฆrd i apps for at fรฅ indsigt.
  • Brugerdefinerbare overvรฅgningsindstillinger: Tillader overvรฅgningsregler at passe til specifikke brugsscenarier.
  • Dashboard-indsigt: Giver synlighed og handlingsrettet indsigt gennem et omfattende dashboard.

Besรธg Teramind >>

2) OWASP

Open Web Application Security Project (OWASP) er en verdensomspรฆndende nonprofitorganisation dedikeret til at forbedre softwaresikkerhed. Projektet leverer adskillige vรฆrktรธjer til pentestning af forskellige softwaremiljรธer og protokoller. Flagskibsvรฆrktรธjerne omfatter:

  1. Zed Attack Proxy (ZAP) โ€” et integreret penetrationstestvรฆrktรธj.
  2. OWASP-afhรฆngighedskontrol โ€” scanner projektafhรฆngigheder mod kendte sรฅrbarheder.
  3. OWASP webtestmiljรธprojekt โ€” en kurateret samling af sikkerhedsvรฆrktรธjer og dokumentation.

3) Wireshark

Wireshark er et netvรฆrksanalysevรฆrktรธj, tidligere kendt som Ethereal. Det opfanger pakker i realtid og viser dem i et menneskelรฆsbart format. Wireshark er open source og kรธrer pรฅ Linux, Windows, macOS, Solaris, NetBSD, FreeBSD og mange andre systemer. Data kan ses i en GUI eller via kommandolinjevรฆrktรธjet TShark.

4) w3af

w3af er et rammevรฆrk til angreb og revision af webapplikationer. Det har tre plugin-kategorier โ€“ opdagelse, revision og angreb โ€“ der kommunikerer med hinanden. Et opdagelsesplugin leder efter URLs til test, videresender dem til revisions-plugin'et, som scanner for sรฅrbarheder, og angrebs-plugin'et forsรธger derefter at udnytte dem.

Myter og fakta om sikkerhedstest

Adskillige vedvarende myter bremser sikkerhedsprogrammer. Listen nedenfor forbinder hver myte med den underliggende kendsgerning.

Myte #1: En lille virksomhed behรธver ikke en sikkerhedspolitik.
Faktum: Enhver person og enhver virksomhed har brug for en sikkerhedspolitik.

Myte #2: Sikkerhedstestning giver intet investeringsafkast.
Faktum: Sikkerhedstest afdรฆkker forbedringsomrรฅder, der รธger effektiviteten, reducerer nedetid og muliggรธr maksimal gennemlรธbshastighed.

Myte #3: Den eneste mรฅde at vรฆre sikker pรฅ er at frakoble systemet.
Faktum: Praktisk sikkerhed kommer fra en vurdering af arbejdsmiljรธet, der er i overensstemmelse med forretningsmรฆssige, juridiske og branchemรฆssige krav โ€“ ikke fra at afbryde netvรฆrket.

Myte #4: Kรธb af mere software eller hardware vil beskytte virksomheden.
Faktum: Vรฆrktรธjer erstatter ikke strategi. Forstรฅ trusselsbilledet fรธrst, og vรฆlg derefter de kontroller, der passer.

Ofte Stillede Spรธrgsmรฅl

SAST (Static Application Security Testing) scanner kildekode for sรฅrbarheder uden at udfรธre den. DAST (Dynamic Application Security Testing) undersรธger den kรธrende applikation. Modne teams bruger begge dele โ€“ SAST i CI, DAST i staging โ€“ til at dรฆkke kode- og runtime-risici.

Automatiserede scanninger kรธrer pรฅ alle builds, afhรฆngighedstjek dagligt, fuld penetrationstest mindst รฅrligt eller efter stรธrre udgivelser, og statusvurderinger kvartalsvis. Fรธlsomme brancher som finans og sundhedsvรฆsen krรฆver ofte mรฅnedlige scanninger for overholdelse af regler og standarder.

OWASP ASVS, OWASP Top 10, NIST SP 800-115, ISO/IEC 27001, PCI-DSS og OSSTMM er de mest udbredte standarder. De definerer testdรฆkning, kontrolmรฅl og rapporteringskrav til sikkerhedstest af applikationer og infrastruktur.

AI Vรฆrktรธjer til at indsamle klyngescannerfund, deduplikere falske positiver, forudsige sandsynligheden for udnyttelse fra trusselsintelligensfeeds og generere programrettelser til almindelige CVE-klasser โ€“ hvilket giver analytikere mulighed for at fokusere pรฅ de forretningskritiske problemer med hรธj risiko.

Generative AI-agenter kan kรฆde rekognoscerings-, udnyttelses- og rapporteringstrin sammen for at udfรธre autonome penetrationstests inden for afgrรฆnsede miljรธer. Menneskelige anmeldere validerer stadig resultater og godkender udnyttelseskรฆder for live-mรฅl for at sikre etisk og juridisk overholdelse.

Opsummer dette indlรฆg med: