Τι είναι ο έλεγχος ασφαλείας; Παράδειγμα

Τι είναι ο έλεγχος ασφαλείας;

Δοκιμή ασφαλείας είναι ένας τύπος δοκιμής λογισμικού που αποκαλύπτει τρωτά σημεία, απειλές, κινδύνους σε μια εφαρμογή λογισμικού και αποτρέπει κακόβουλες επιθέσεις από intruderμικρό. Ο σκοπός των Δοκιμών Ασφαλείας είναι να εντοπίσει όλα τα πιθανά κενά και τις αδυναμίες του συστήματος λογισμικού που μπορεί να οδηγήσουν σε απώλεια πληροφοριών, εσόδων, φήμης στα χέρια των υπαλλήλων ή τρίτων του Οργανισμού.

Δοκιμή ασφαλείας

Γιατί είναι σημαντική η δοκιμή ασφαλείας;

Ο κύριος στόχος του Δοκιμή ασφαλείας είναι ο εντοπισμός των απειλών στο σύστημα και η μέτρηση των πιθανών τρωτών σημείων του, ώστε να μπορούν να αντιμετωπιστούν οι απειλές και το σύστημα να μην σταματήσει να λειτουργεί ή να μην μπορεί να γίνει αντικείμενο εκμετάλλευσης. Βοηθά επίσης στον εντοπισμό όλων των πιθανών κινδύνων ασφαλείας στο σύστημα και βοηθά τους προγραμματιστές να επιλύσουν τα προβλήματα μέσω κωδικοποίησης.

Τύποι δοκιμών ασφαλείας στη δοκιμή λογισμικού

Υπάρχουν επτά κύριοι τύποι δοκιμών ασφαλείας σύμφωνα με το εγχειρίδιο μεθοδολογίας δοκιμών ασφαλείας ανοιχτού κώδικα. Εξηγούνται ως εξής:

Τύποι δοκιμών ασφαλείας στη δοκιμή λογισμικού

  • Σάρωση ευπάθειας: Αυτό γίνεται μέσω αυτοματοποιημένου λογισμικού για τη σάρωση ενός συστήματος έναντι γνωστών υπογραφών ευπάθειας.
  • Σάρωση ασφαλείας: Περιλαμβάνει τον εντοπισμό αδυναμιών δικτύου και συστημάτων και later παρέχει λύσεις για τη μείωση αυτών των κινδύνων. Αυτή η σάρωση μπορεί να πραγματοποιηθεί τόσο για χειροκίνητη όσο και για αυτόματη σάρωση.
  • Δοκιμή διείσδυσης: Αυτό το είδος δοκιμής προσομοιώνει μια επίθεση από κακόβουλο χάκερ. Αυτή η δοκιμή περιλαμβάνει ανάλυση ενός συγκεκριμένου συστήματος για τον έλεγχο πιθανών τρωτών σημείων σε μια εξωτερική προσπάθεια εισβολής.
  • Εκτίμηση κινδύνου: Αυτή η δοκιμή περιλαμβάνει ανάλυση των κινδύνων ασφαλείας που παρατηρούνται στον οργανισμό. Οι κίνδυνοι ταξινομούνται σε Χαμηλούς, Μεσαίους και Υψηλούς. Αυτή η δοκιμή συνιστά ελέγχους και μέτρα για τη μείωση του κινδύνου.
  • Έλεγχος ασφάλειας: Αυτή είναι μια εσωτερική επιθεώρηση των Εφαρμογών και Operaσυστήματα ting για ελαττώματα ασφαλείας. Ένας έλεγχος μπορεί επίσης να γίνει μέσω επιθεώρησης κώδικα γραμμή προς γραμμή
  • Ηθική πειρατεία: Χκαρίζει συστήματα λογισμικού οργανισμού. Σε αντίθεση με τους κακόβουλους χάκερ, που κλέβουν για τα δικά τους κέρδη, η πρόθεση είναι να αποκαλύψουν ελαττώματα ασφαλείας στο σύστημα.
  • Αξιολόγηση στάσης: Αυτό συνδυάζει τη σάρωση ασφαλείας, Ηθική Hacking και Αξιολογήσεις Κινδύνων για την εμφάνιση μιας συνολικής στάσης ασφάλειας ενός οργανισμού.

Πώς να κάνετε δοκιμές ασφαλείας

Πάντα συμφωνείται, ότι το κόστος θα είναι μεγαλύτερο αν αναβάλουμε δοκιμές ασφαλείας μετά τη φάση υλοποίησης του λογισμικού ή μετά την ανάπτυξη. Επομένως, είναι απαραίτητο να συμπεριλάβουμε τη δοκιμή ασφαλείας στον κύκλο ζωής του SDLC στις προηγούμενες φάσεις.

Ας δούμε τις αντίστοιχες διαδικασίες ασφαλείας που πρέπει να υιοθετηθούν για κάθε φάση στο SDLC

Δοκιμή ασφαλείας

Φάσεις SDLC Διαδικασίες Ασφαλείας
απαιτήσεις Ανάλυση ασφάλειας για απαιτήσεις και έλεγχος περιπτώσεων κατάχρησης/κατάχρησης
Υπηρεσίες Ανάλυση κινδύνων ασφαλείας για σχεδιασμό. Ανάπτυξη του Σχέδιο δοκιμής συμπεριλαμβανομένων των δοκιμών ασφαλείας
Κωδικοποίηση και Δοκιμή Μονάδων Στατικές και δυναμικές δοκιμές και ασφάλεια Άσπρο Box Δοκιμές
Δοκιμή ολοκλήρωσης Μαύρη Box Δοκιμές
Δοκιμή συστήματος Μαύρη Box Δοκιμές και σάρωση ευπάθειας
Εκτέλεση Δοκιμή διείσδυσης, Σάρωση ευπάθειας
Υποστήριξη Ανάλυση επιπτώσεων των μπαλωμάτων

Το σχέδιο δοκιμής πρέπει να περιλαμβάνει

  • Δοκιμές ή σενάρια που σχετίζονται με την ασφάλεια
  • Δοκιμαστικά δεδομένα που σχετίζονται με δοκιμές ασφαλείας
  • Εργαλεία δοκιμής που απαιτούνται για δοκιμές ασφαλείας
  • Ανάλυση διαφόρων εξόδων δοκιμών από διαφορετικά εργαλεία ασφαλείας

Παραδείγματα δοκιμαστικών σεναρίων για δοκιμές ασφαλείας

Δείγματα σεναρίων δοκιμών για να σας δώσουν μια γεύση από περιπτώσεις δοκιμών ασφαλείας –

  • Ο κωδικός πρόσβασης πρέπει να είναι σε κρυπτογραφημένη μορφή
  • Η εφαρμογή ή το σύστημα δεν πρέπει να επιτρέπει μη έγκυρους χρήστες
  • Ελέγξτε τα cookies και τον χρόνο συνεδρίας για εφαρμογή
  • Για οικονομικούς ιστότοπους, το κουμπί επιστροφής προγράμματος περιήγησης δεν πρέπει να λειτουργεί.

Μεθοδολογίες/ Προσέγγιση / Τεχνικές για Δοκιμές Ασφαλείας

Στις δοκιμές ασφαλείας ακολουθούνται διαφορετικές μεθοδολογίες και είναι οι εξής:

  • Τίγρη Box: Αυτό το hacking γίνεται συνήθως σε φορητό υπολογιστή που διαθέτει μια συλλογή από λειτουργικά συστήματα και εργαλεία hacking. Αυτή η δοκιμή βοηθά τους ελεγκτές διείσδυσης και τους ελεγκτές ασφαλείας να πραγματοποιούν αξιολόγηση τρωτών σημείων και επιθέσεις.
  • Μαύρη Box: Ο ελεγκτής είναι εξουσιοδοτημένος να κάνει δοκιμές σε οτιδήποτε αφορά την τοπολογία του δικτύου και την τεχνολογία.
  • Γκρί Box: Δίνονται μερικές πληροφορίες στον ελεγκτή σχετικά με το σύστημα και είναι ένα υβρίδιο λευκού και μαύρου box μοντέλα.

Ρόλοι δοκιμών ασφαλείας

  • Χάκερ – Πρόσβαση σε σύστημα υπολογιστή ή δίκτυο χωρίς εξουσιοδότηση
  • Crackers – Εισβάλετε στα συστήματα για να κλέψετε ή να καταστρέψετε δεδομένα
  • Ethical Hacker – Εκτελεί τις περισσότερες από τις δραστηριότητες διάρρηξης, αλλά με την άδεια του ιδιοκτήτη
  • Script Kiddies ή packet monkeys – Άπειροι χάκερ με δεξιότητες στη γλώσσα προγραμματισμού

Εργαλεία δοκιμών ασφαλείας

1) Intruder

Intruder είναι ένα ισχυρό, αυτοματοποιημένο εργαλείο δοκιμών διείσδυσης που ανακαλύπτει αδυναμίες ασφάλειας σε όλο το περιβάλλον πληροφορικής σας. Προσφέροντας κορυφαίους στον κλάδο ελέγχους ασφαλείας, συνεχή παρακολούθηση και μια εύχρηστη πλατφόρμα, Intruder προστατεύει τις επιχειρήσεις όλων των μεγεθών από τους χάκερ.

Intruder

Χαρακτηριστικά:

  • Καλύτερη κάλυψη απειλών στην κατηγορία με το over 10,000 έλεγχοι ασφαλείας
  • Έλεγχοι για αδυναμίες διαμόρφωσης, ενημερώσεις κώδικα που λείπουν, αδυναμίες εφαρμογών (όπως η ένεση SQL και η δέσμη ενεργειών μεταξύ τοποθεσιών) και άλλα
  • Αυτόματη ανάλυση και ιεράρχηση των αποτελεσμάτων σάρωσης
  • Διαισθητική διεπαφή, γρήγορη ρύθμιση και εκτέλεση των πρώτων σας σαρώσεων
  • Προληπτική παρακολούθηση ασφάλειας για τις πιο πρόσφατες ευπάθειες
  • AWS, Azure και Google Cloud υποδοχές
  • Ενσωμάτωση API με το δικό σας Σωλήνας CI/CD

Επίσκεψη Intruder >>


2) Teramind

Teramind προσφέρει μια ολοκληρωμένη σουίτα για την πρόληψη απειλών από εσωτερικές πληροφορίες και την παρακολούθηση των εργαζομένων. Ενισχύει την ασφάλεια μέσω της ανάλυσης συμπεριφοράς και της πρόληψης απώλειας δεδομένων, διασφαλίζοντας τη συμμόρφωση και βελτιστοποιώντας τις επιχειρηματικές διαδικασίες. Η προσαρμόσιμη πλατφόρμα του ταιριάζει σε διάφορες οργανωτικές ανάγκες, παρέχοντας χρήσιμες πληροφορίες που εστιάζουν στην ενίσχυση της παραγωγικότητας και στη διαφύλαξη της ακεραιότητας των δεδομένων.

Teramind

Χαρακτηριστικά:

  • Πρόληψη εσωτερικών απειλών: Εντοπίζει και αποτρέπει ενέργειες χρήστη που μπορεί να υποδεικνύουν εσωτερικές απειλές για δεδομένα.
  • Βελτιστοποίηση Επιχειρηματικών Διαδικασιών: Χρησιμοποιεί αναλύσεις συμπεριφοράς βάσει δεδομένων για επαναπροσδιορισμό operaεθνικές διαδικασίες.
  • Παραγωγικότητα εργατικού δυναμικού: Παρακολουθεί την παραγωγικότητα, την ασφάλεια και τις συμπεριφορές συμμόρφωσης του εργατικού δυναμικού.
  • Διαχείριση συμμόρφωσης: Βοηθά στη διαχείριση της συμμόρφωσης με μια ενιαία, επεκτάσιμη λύση κατάλληλη για μικρές επιχειρήσεις, επιχειρήσεις και κρατικούς φορείς.
  • Ιατροδικαστικά περιστατικών: Παρέχει στοιχεία για τον εμπλουτισμό της απόκρισης, των ερευνών και των πληροφοριών σχετικά με τις απειλές.
  • Πρόληψη απώλειας δεδομένων: Παρακολουθεί και προστατεύει από πιθανή απώλεια ευαίσθητων δεδομένων.
  • Παρακολούθηση εργαζομένων: Προσφέρει δυνατότητες παρακολούθησης της απόδοσης και των δραστηριοτήτων των εργαζομένων.
  • Αναλυτικά στοιχεία συμπεριφοράς: Αναλύει αναλυτικά δεδομένα συμπεριφοράς εφαρμογών πελατών για πληροφορίες.
  • Προσαρμόσιμες ρυθμίσεις παρακολούθησης: Επιτρέπει την προσαρμογή των ρυθμίσεων παρακολούθησης ώστε να ταιριάζουν σε συγκεκριμένες περιπτώσεις χρήσης ή να εφαρμόζουν προκαθορισμένους κανόνες.
  • Πληροφορίες πίνακα ελέγχου: Παρέχει ορατότητα και χρήσιμες πληροφορίες για τις δραστηριότητες του εργατικού δυναμικού μέσω ενός ολοκληρωμένου πίνακα ελέγχου.

Επίσκεψη Teramind >>


3) Owasp

Το Έργο Ασφάλειας Ανοιχτής Εφαρμογής Ιστού (OWASP) είναι ένας παγκόσμιος μη κερδοσκοπικός οργανισμός που επικεντρώνεται στη βελτίωση της ασφάλειας του λογισμικού. Το έργο διαθέτει πολλά εργαλεία για τη δοκιμή διαφόρων περιβαλλόντων λογισμικού και πρωτοκόλλων. Τα εμβληματικά εργαλεία του έργου περιλαμβάνουν

  1. Διαμεσολαβητής επίθεσης Zed (ZAP – ένα ολοκληρωμένο εργαλείο δοκιμών διείσδυσης)
  2. OWASP Έλεγχος εξάρτησης (κάνει σάρωση για εξαρτήσεις έργου και ελέγχει τα τρωτά σημεία)
  3. OWASP Web Testing Environment Project (συλλογή εργαλείων ασφαλείας και τεκμηρίωση)

4) WireShark

Wireshark είναι ένα εργαλείο ανάλυσης δικτύου που παλαιότερα ήταν γνωστό ως Ethereal. Καταγράφει πακέτα σε πραγματικό χρόνο και τα εμφανίζει σε άνθρωπο readable μορφή. Βασικά, είναι ένας αναλυτής πακέτων δικτύου- που παρέχει το λεπτό details σχετικά με τα πρωτόκολλα του δικτύου σας, την αποκρυπτογράφηση, τις πληροφορίες πακέτων κ.λπ. Είναι ανοιχτού κώδικα και μπορεί να χρησιμοποιηθεί σε Linux, Windows, OS X, Solaris, NetBSD, FreeBSD και πολλά άλλα συστήματα. Οι πληροφορίες που ανακτώνται μέσω αυτού του εργαλείου μπορούν να προβληθούν μέσω ενός GUI ή του βοηθητικού προγράμματος λειτουργίας TTY TShark Utility.

5) W3af

w3af είναι μια επίθεση διαδικτυακής εφαρμογής και πλαίσιο ελέγχου. Έχει τρεις τύπους plugins. ανακάλυψη, έλεγχος και επίθεση που επικοινωνούν μεταξύ τους για τυχόν ευπάθειες στον ιστότοπο, για παράδειγμα ένα πρόσθετο Discovery στο w3af αναζητά διαφορετικά url για να ελέγξει για τρωτά σημεία και το προωθεί στην προσθήκη ελέγχου, το οποίο στη συνέχεια χρησιμοποιεί αυτές τις διευθύνσεις URL για να αναζητήσει τρωτά σημεία.

Μύθοι και γεγονότα των δοκιμών ασφαλείας

Ας μιλήσουμε για ένα ενδιαφέρον θέμα σχετικά με τους μύθους και τα γεγονότα των δοκιμών ασφαλείας:

Μύθος #1 Δεν χρειαζόμαστε πολιτική ασφάλειας καθώς έχουμε μια μικρή επιχείρηση

Γεγονός: Όλοι και κάθε εταιρεία χρειάζεται μια πολιτική ασφαλείας

Μύθος #2 Δεν υπάρχει απόδοση επένδυσης στις δοκιμές ασφαλείας

Γεγονός: Οι δοκιμές ασφαλείας μπορούν να υποδείξουν τομείς προς βελτίωση που μπορούν να βελτιώσουν την απόδοση και να μειώσουν το χρόνο διακοπής λειτουργίας, επιτρέποντας τη μέγιστη απόδοση.

Μύθος #3: Ο μόνος τρόπος για να το ασφαλίσετε είναι να το αποσυνδέσετε.

Γεγονός: Ο μόνος και ο καλύτερος τρόπος για να εξασφαλίσετε έναν οργανισμό είναι να βρείτε την «Τέλεια ασφάλεια». Η τέλεια ασφάλεια μπορεί να επιτευχθεί με την εκτέλεση αξιολόγησης στάσης και σύγκριση με επιχειρηματικές, νομικές και βιομηχανικές δικαιολογίες.

Μύθος #4: Το Διαδίκτυο δεν είναι ασφαλές. Θα αγοράσω λογισμικό ή υλικό για να προστατεύσω το σύστημα και να σώσω την επιχείρηση.

Γεγονός: Ένα από τα μεγαλύτερα προβλήματα είναι η αγορά λογισμικού και υλικού για ασφάλεια. Αντίθετα, ο οργανισμός πρέπει πρώτα να κατανοήσει την ασφάλεια και μετά να την εφαρμόσει.

Συμπέρασμα

Η δοκιμή ασφαλείας είναι η πιο σημαντική δοκιμή για μια εφαρμογή και ελέγχει εάν τα εμπιστευτικά δεδομένα παραμένουν εμπιστευτικά. Σε αυτόν τον τύπο δοκιμών, ο ελεγκτής παίζει ρόλο του εισβολέα και παίζει γύρω από το σύστημα για να βρει σφάλματα που σχετίζονται με την ασφάλεια. Η δοκιμή ασφαλείας είναι πολύ σημαντική στη Μηχανική Λογισμικού για την προστασία των δεδομένων με κάθε μέσο.