Τι είναι ο έλεγχος ασφαλείας; Παράδειγμα
Τι είναι ο έλεγχος ασφαλείας;
Δοκιμή ασφαλείας είναι ένας τύπος δοκιμής λογισμικού που αποκαλύπτει τρωτά σημεία, απειλές, κινδύνους σε μια εφαρμογή λογισμικού και αποτρέπει κακόβουλες επιθέσεις από εισβολείς. Ο σκοπός των Δοκιμών Ασφαλείας είναι να εντοπίσει όλα τα πιθανά κενά και τις αδυναμίες του συστήματος λογισμικού που μπορεί να οδηγήσουν σε απώλεια πληροφοριών, εσόδων, φήμης στα χέρια των υπαλλήλων ή τρίτων του Οργανισμού.
Γιατί είναι σημαντική η δοκιμή ασφαλείας;
Ο κύριος στόχος του Δοκιμή ασφαλείας είναι ο εντοπισμός των απειλών στο σύστημα και η μέτρηση των πιθανών τρωτών σημείων του, ώστε να μπορούν να αντιμετωπιστούν οι απειλές και το σύστημα να μην σταματήσει να λειτουργεί ή να μην μπορεί να γίνει αντικείμενο εκμετάλλευσης. Βοηθά επίσης στον εντοπισμό όλων των πιθανών κινδύνων ασφαλείας στο σύστημα και βοηθά τους προγραμματιστές να επιλύσουν τα προβλήματα μέσω κωδικοποίησης.
Τύποι δοκιμών ασφαλείας στη δοκιμή λογισμικού
Υπάρχουν επτά κύριοι τύποι δοκιμών ασφαλείας σύμφωνα με το εγχειρίδιο μεθοδολογίας δοκιμών ασφαλείας ανοιχτού κώδικα. Εξηγούνται ως εξής:
- Σάρωση ευπάθειας: Αυτό γίνεται μέσω αυτοματοποιημένου λογισμικού για τη σάρωση ενός συστήματος έναντι γνωστών υπογραφών ευπάθειας.
- Σάρωση ασφαλείας: Περιλαμβάνει τον εντοπισμό αδυναμιών δικτύου και συστημάτων και αργότερα παρέχει λύσεις για τη μείωση αυτών των κινδύνων. Αυτή η σάρωση μπορεί να πραγματοποιηθεί τόσο για χειροκίνητη όσο και για αυτόματη σάρωση.
- Δοκιμή διείσδυσης: Αυτό το είδος δοκιμής προσομοιώνει μια επίθεση από κακόβουλο χάκερ. Αυτή η δοκιμή περιλαμβάνει ανάλυση ενός συγκεκριμένου συστήματος για τον έλεγχο πιθανών τρωτών σημείων σε μια εξωτερική προσπάθεια εισβολής.
- Εκτίμηση κινδύνου: Αυτή η δοκιμή περιλαμβάνει ανάλυση των κινδύνων ασφαλείας που παρατηρούνται στον οργανισμό. Οι κίνδυνοι ταξινομούνται σε Χαμηλούς, Μεσαίους και Υψηλούς. Αυτή η δοκιμή συνιστά ελέγχους και μέτρα για τη μείωση του κινδύνου.
- Έλεγχος ασφάλειας: Αυτή είναι μια εσωτερική επιθεώρηση των Εφαρμογών και Operaσυστήματα ting για ελαττώματα ασφαλείας. Ένας έλεγχος μπορεί επίσης να γίνει μέσω επιθεώρησης κώδικα γραμμή προς γραμμή
- Ηθική πειρατεία: Χκαρίζει συστήματα λογισμικού οργανισμού. Σε αντίθεση με τους κακόβουλους χάκερ, που κλέβουν για τα δικά τους κέρδη, η πρόθεση είναι να αποκαλύψουν ελαττώματα ασφαλείας στο σύστημα.
- Αξιολόγηση στάσης: Αυτό συνδυάζει τη σάρωση ασφαλείας, Ηθική Hacking και Αξιολογήσεις Κινδύνων για την εμφάνιση μιας συνολικής στάσης ασφάλειας ενός οργανισμού.
Πώς να κάνετε δοκιμές ασφαλείας
Πάντα συμφωνείται, ότι το κόστος θα είναι μεγαλύτερο αν αναβάλουμε δοκιμές ασφαλείας μετά τη φάση υλοποίησης του λογισμικού ή μετά την ανάπτυξη. Επομένως, είναι απαραίτητο να συμπεριλάβουμε τη δοκιμή ασφαλείας στον κύκλο ζωής του SDLC στις προηγούμενες φάσεις.
Ας δούμε τις αντίστοιχες διαδικασίες ασφαλείας που πρέπει να υιοθετηθούν για κάθε φάση στο SDLC
Φάσεις SDLC | Διαδικασίες Ασφαλείας |
---|---|
απαιτήσεις | Ανάλυση ασφάλειας για απαιτήσεις και έλεγχος περιπτώσεων κατάχρησης/κατάχρησης |
Υπηρεσίες | Ανάλυση κινδύνων ασφαλείας για σχεδιασμό. Ανάπτυξη του Σχέδιο δοκιμής συμπεριλαμβανομένων των δοκιμών ασφαλείας |
Κωδικοποίηση και Δοκιμή Μονάδων | Στατικές και δυναμικές δοκιμές και ασφάλεια Άσπρο Box Δοκιμές |
Δοκιμή ολοκλήρωσης | Μαύρη Box Δοκιμές |
Δοκιμή συστήματος | Μαύρη Box Δοκιμές και σάρωση ευπάθειας |
Εκτέλεση | Δοκιμή διείσδυσης, Σάρωση ευπάθειας |
Υποστήριξη | Ανάλυση επιπτώσεων των μπαλωμάτων |
Το σχέδιο δοκιμής πρέπει να περιλαμβάνει
- Δοκιμές ή σενάρια που σχετίζονται με την ασφάλεια
- Δοκιμαστικά δεδομένα που σχετίζονται με δοκιμές ασφαλείας
- Εργαλεία δοκιμής που απαιτούνται για δοκιμές ασφαλείας
- Ανάλυση διαφόρων εξόδων δοκιμών από διαφορετικά εργαλεία ασφαλείας
Παραδείγματα δοκιμαστικών σεναρίων για δοκιμές ασφαλείας
Δείγματα σεναρίων δοκιμών για να σας δώσουν μια γεύση από περιπτώσεις δοκιμών ασφαλείας –
- Ο κωδικός πρόσβασης πρέπει να είναι σε κρυπτογραφημένη μορφή
- Η εφαρμογή ή το σύστημα δεν πρέπει να επιτρέπει μη έγκυρους χρήστες
- Ελέγξτε τα cookies και τον χρόνο συνεδρίας για εφαρμογή
- Για οικονομικούς ιστότοπους, το κουμπί επιστροφής προγράμματος περιήγησης δεν πρέπει να λειτουργεί.
Μεθοδολογίες/ Προσέγγιση / Τεχνικές για Δοκιμές Ασφαλείας
Στις δοκιμές ασφαλείας ακολουθούνται διαφορετικές μεθοδολογίες και είναι οι εξής:
- Τίγρη Box: Αυτό το hacking γίνεται συνήθως σε φορητό υπολογιστή που διαθέτει μια συλλογή από λειτουργικά συστήματα και εργαλεία hacking. Αυτή η δοκιμή βοηθά τους ελεγκτές διείσδυσης και τους ελεγκτές ασφαλείας να πραγματοποιούν αξιολόγηση τρωτών σημείων και επιθέσεις.
- Μαύρη Box: Ο ελεγκτής είναι εξουσιοδοτημένος να κάνει δοκιμές σε οτιδήποτε αφορά την τοπολογία του δικτύου και την τεχνολογία.
- Γκρί Box: Δίνονται μερικές πληροφορίες στον ελεγκτή σχετικά με το σύστημα και είναι ένα υβρίδιο μοντέλων λευκού και μαύρου κουτιού.
Ρόλοι δοκιμών ασφαλείας
- Χάκερ – Πρόσβαση σε σύστημα υπολογιστή ή δίκτυο χωρίς εξουσιοδότηση
- Crackers – Εισβάλετε στα συστήματα για να κλέψετε ή να καταστρέψετε δεδομένα
- Ethical Hacker – Εκτελεί τις περισσότερες από τις δραστηριότητες διάρρηξης, αλλά με την άδεια του ιδιοκτήτη
- Script Kiddies ή packet monkeys – Άπειροι χάκερ με δεξιότητες στη γλώσσα προγραμματισμού
Εργαλεία δοκιμών ασφαλείας
1) Teramind
Teramind προσφέρει μια ολοκληρωμένη σουίτα για την πρόληψη απειλών από εσωτερικές πληροφορίες και την παρακολούθηση των εργαζομένων. Ενισχύει την ασφάλεια μέσω της ανάλυσης συμπεριφοράς και της πρόληψης απώλειας δεδομένων, διασφαλίζοντας τη συμμόρφωση και βελτιστοποιώντας τις επιχειρηματικές διαδικασίες. Η προσαρμόσιμη πλατφόρμα του ταιριάζει σε διάφορες οργανωτικές ανάγκες, παρέχοντας χρήσιμες πληροφορίες που εστιάζουν στην ενίσχυση της παραγωγικότητας και στη διαφύλαξη της ακεραιότητας των δεδομένων.
Χαρακτηριστικά:
- Πρόληψη εσωτερικών απειλών: Εντοπίζει και αποτρέπει ενέργειες χρήστη που μπορεί να υποδεικνύουν εσωτερικές απειλές για δεδομένα.
- Βελτιστοποίηση Επιχειρηματικών Διαδικασιών: Χρησιμοποιεί αναλύσεις συμπεριφοράς που βασίζονται σε δεδομένα για να επαναπροσδιορίσει τις λειτουργικές διαδικασίες.
- Παραγωγικότητα εργατικού δυναμικού: Παρακολουθεί την παραγωγικότητα, την ασφάλεια και τις συμπεριφορές συμμόρφωσης του εργατικού δυναμικού.
- Διαχείριση συμμόρφωσης: Βοηθά στη διαχείριση της συμμόρφωσης με μια ενιαία, επεκτάσιμη λύση κατάλληλη για μικρές επιχειρήσεις, επιχειρήσεις και κρατικούς φορείς.
- Ιατροδικαστικά περιστατικών: Παρέχει στοιχεία για τον εμπλουτισμό της απόκρισης, των ερευνών και των πληροφοριών σχετικά με τις απειλές.
- Πρόληψη απώλειας δεδομένων: Παρακολουθεί και προστατεύει από πιθανή απώλεια ευαίσθητων δεδομένων.
- Παρακολούθηση εργαζομένων: Προσφέρει δυνατότητες παρακολούθησης της απόδοσης και των δραστηριοτήτων των εργαζομένων.
- Αναλυτικά στοιχεία συμπεριφοράς: Αναλύει αναλυτικά δεδομένα συμπεριφοράς εφαρμογών πελατών για πληροφορίες.
- Προσαρμόσιμες ρυθμίσεις παρακολούθησης: Επιτρέπει την προσαρμογή των ρυθμίσεων παρακολούθησης ώστε να ταιριάζουν σε συγκεκριμένες περιπτώσεις χρήσης ή να εφαρμόζουν προκαθορισμένους κανόνες.
- Πληροφορίες πίνακα ελέγχου: Παρέχει ορατότητα και χρήσιμες πληροφορίες για τις δραστηριότητες του εργατικού δυναμικού μέσω ενός ολοκληρωμένου πίνακα ελέγχου.
2) Owasp
Το Έργο Ασφάλειας Ανοιχτής Εφαρμογής Ιστού (OWASP) είναι ένας παγκόσμιος μη κερδοσκοπικός οργανισμός που επικεντρώνεται στη βελτίωση της ασφάλειας του λογισμικού. Το έργο διαθέτει πολλά εργαλεία για τη δοκιμή διαφόρων περιβαλλόντων λογισμικού και πρωτοκόλλων. Τα εμβληματικά εργαλεία του έργου περιλαμβάνουν
- Διαμεσολαβητής επίθεσης Zed (ZAP – ένα ολοκληρωμένο εργαλείο δοκιμών διείσδυσης)
- Έλεγχος εξάρτησης OWASP (κάνει σάρωση για εξαρτήσεις έργου και ελέγχει τα τρωτά σημεία)
- OWASP Web Testing Environment Project (συλλογή εργαλείων ασφαλείας και τεκμηρίωση)
3) WireShark
Wireshark είναι ένα εργαλείο ανάλυσης δικτύου που παλαιότερα ήταν γνωστό ως Ethereal. Καταγράφει τα πακέτα σε πραγματικό χρόνο και τα εμφανίζει σε μορφή αναγνώσιμη από τον άνθρωπο. Βασικά, είναι ένας αναλυτής πακέτων δικτύου - ο οποίος παρέχει τις μικρές λεπτομέρειες σχετικά με τα πρωτόκολλα του δικτύου σας, την αποκρυπτογράφηση, τις πληροφορίες πακέτων κ.λπ. Είναι ανοιχτός κώδικας και μπορεί να χρησιμοποιηθεί σε Linux, Windows, OS X, Solaris, NetBSD, FreeBSD και πολλά άλλα συστήματα. Οι πληροφορίες που ανακτώνται μέσω αυτού του εργαλείου μπορούν να προβληθούν μέσω ενός GUI ή του βοηθητικού προγράμματος λειτουργίας TTY TShark Utility.
4) W3af
w3af είναι μια επίθεση διαδικτυακής εφαρμογής και πλαίσιο ελέγχου. Έχει τρεις τύπους plugins. ανακάλυψη, έλεγχος και επίθεση που επικοινωνούν μεταξύ τους για τυχόν ευπάθειες στον ιστότοπο, για παράδειγμα ένα πρόσθετο Discovery στο w3af αναζητά διαφορετικά url για να ελέγξει για τρωτά σημεία και το προωθεί στην προσθήκη ελέγχου, το οποίο στη συνέχεια χρησιμοποιεί αυτές τις διευθύνσεις URL για να αναζητήσει τρωτά σημεία.
Μύθοι και γεγονότα των δοκιμών ασφαλείας
Ας μιλήσουμε για ένα ενδιαφέρον θέμα σχετικά με τους μύθους και τα γεγονότα των δοκιμών ασφαλείας:
Μύθος #1 Δεν χρειαζόμαστε πολιτική ασφάλειας καθώς έχουμε μια μικρή επιχείρηση
Γεγονός: Όλοι και κάθε εταιρεία χρειάζεται μια πολιτική ασφαλείας
Μύθος #2 Δεν υπάρχει απόδοση επένδυσης στις δοκιμές ασφαλείας
Γεγονός: Οι δοκιμές ασφαλείας μπορούν να υποδείξουν τομείς προς βελτίωση που μπορούν να βελτιώσουν την απόδοση και να μειώσουν το χρόνο διακοπής λειτουργίας, επιτρέποντας τη μέγιστη απόδοση.
Μύθος #3: Ο μόνος τρόπος για να το ασφαλίσετε είναι να το αποσυνδέσετε.
Γεγονός: Ο μόνος και ο καλύτερος τρόπος για να εξασφαλίσετε έναν οργανισμό είναι να βρείτε την «Τέλεια ασφάλεια». Η τέλεια ασφάλεια μπορεί να επιτευχθεί με την εκτέλεση αξιολόγησης στάσης και σύγκριση με επιχειρηματικές, νομικές και βιομηχανικές δικαιολογίες.
Μύθος #4: Το Διαδίκτυο δεν είναι ασφαλές. Θα αγοράσω λογισμικό ή υλικό για να προστατεύσω το σύστημα και να σώσω την επιχείρηση.
Γεγονός: Ένα από τα μεγαλύτερα προβλήματα είναι η αγορά λογισμικού και υλικού για ασφάλεια. Αντίθετα, ο οργανισμός πρέπει πρώτα να κατανοήσει την ασφάλεια και μετά να την εφαρμόσει.
Συμπέρασμα
Η δοκιμή ασφαλείας είναι η πιο σημαντική δοκιμή για μια εφαρμογή και ελέγχει εάν τα εμπιστευτικά δεδομένα παραμένουν εμπιστευτικά. Σε αυτόν τον τύπο δοκιμών, ο ελεγκτής παίζει ρόλο του εισβολέα και παίζει γύρω από το σύστημα για να βρει σφάλματα που σχετίζονται με την ασφάλεια. Η δοκιμή ασφαλείας είναι πολύ σημαντική στη Μηχανική Λογισμικού για την προστασία των δεδομένων με κάθε μέσο.