Mis on turvatestimine? Näide

Mis on turvatestimine?

Turvalisuse testimine on tarkvara testimise tüüp, mis paljastab tarkvararakenduse haavatavused, ohud ja riskid ning hoiab ära sissetungijate pahatahtlikud rünnakud. Turvatestide eesmärk on tuvastada kõik võimalikud lüngad ja tarkvarasüsteemi nõrkused, mis võivad organisatsiooni töötajate või autsaiderite käest kaasa tuua teabe, tulu või maine kaotuse.

Turvalisuse testimine

Miks on turvatestimine oluline?

Peamine eesmärk Turvalisuse testimine eesmärk on tuvastada süsteemis olevad ohud ja mõõta selle võimalikke haavatavusi, et ohtudega saaks kokku puutuda ja süsteem ei lakkaks toimimast või seda ei saaks ära kasutada. Samuti aitab see tuvastada kõik võimalikud turvariskid süsteemis ja aitab arendajatel probleeme kodeerimise abil lahendada.

Turvatestimise tüübid tarkvara testimisel

Vastavalt avatud lähtekoodiga turbetestimise metoodika juhendile on seitse peamist turbetesti tüüpi. Neid selgitatakse järgmiselt:

Turvatestimise tüübid tarkvara testimisel

  • Haavatavuse skaneerimine: seda tehakse automatiseeritud tarkvara kaudu, et kontrollida süsteemi teadaolevate haavatavuse allkirjade vastu.
  • Turvaskaneerimine: See hõlmab võrgu ja süsteemi nõrkade külgede tuvastamist ning hiljem lahendusi nende riskide vähendamiseks. Seda skannimist saab teha nii käsitsi kui ka automaatse skannimise jaoks.
  • Tungimistestimine: selline testimine simuleerib pahatahtliku häkkeri rünnakut. See testimine hõlmab konkreetse süsteemi analüüsi, et kontrollida välise häkkimise katse võimalikke haavatavusi.
  • Riskianalüüs: See testimine hõlmab organisatsioonis täheldatud turvariskide analüüsi. Riskid liigitatakse madalateks, keskmisteks ja kõrgeteks. See testimine soovitab kontrolli ja meetmeid riski vähendamiseks.
  • Turvalisuse audit: See on rakenduste sisekontroll ja Operaasjade süsteemid turvavigade pärast. Auditit saab teha ka koodi rida-realt kontrollimise teel
  • Eetiline häkkimine: See on organisatsiooni tarkvarasüsteemide häkkimine. Erinevalt pahatahtlikest häkkeritest, kes varastavad oma kasu saamiseks, on eesmärk paljastada süsteemi turvavead.
  • Kehaasendi hindamine: See ühendab turvaskaneerimise, Eetiline häkkimine ja riskihinnangud, et näidata organisatsiooni üldist turvalisust.

Kuidas turvatesti teha

Alati lepitakse kokku, et edasilükkamisel läheb see kulu rohkem turvalisuse testimine pärast tarkvara juurutamisetappi või pärast juurutamist. Seega on vaja varasemates faasides kaasata SDLC elutsüklisse turvatestid.

Vaatame vastavaid turbeprotsesse, mis tuleb SDLC iga etapi jaoks kasutusele võtta

Turvalisuse testimine

SDLC faasid Turvaprotsessid
Nõuded Nõuete turvaanalüüs ja kuritarvitamise / väärkasutuse juhtumite kontrollimine
Disain Turvariskide analüüs projekteerimiseks. Arendamine Katseplaan sealhulgas turvatestid
Kodeerimine ja ühikutestimine Staatiline ja dünaamiline testimine ja turvalisus Valge Box Testimine
Integratsiooni testimine Must Box Testimine
Süsteemi testimine Must Box Testimine ja haavatavuse skannimine
Täitmine Läbitungivuskatse, haavatavuse skannimine
Toetus Plaastrite mõjuanalüüs

Katseplaan peaks sisaldama

  • Turvalisusega seotud testjuhtumid või stsenaariumid
  • Test Turvatestiga seotud andmed
  • Turvatestimiseks vajalikud testtööriistad
  • Erinevate turvatööriistade erinevate testide väljundite analüüs

Turvatestimise näidisstsenaariumid

Näidistesti stsenaariumid, et anda teile ülevaade turvatesti juhtumitest –

  • Parool peab olema krüptitud vormingus
  • Rakendus või süsteem ei tohiks lubada kehtetuid kasutajaid
  • Kontrollige rakenduse jaoks küpsiseid ja seansi aega
  • Finantssaitide puhul ei tohiks brauseri tagasinupp töötada.

Metoodikad/ Lähenemisviis / Turvatestimise tehnikad

Turvatestimisel järgitakse erinevaid metoodikaid ja need on järgmised:

  • Tiiger Box: seda häkkimist tehakse tavaliselt sülearvutis, millel on OS-ide ja häkkimistööriistade kogu. See testimine aitab läbitungimistestidel ja turbetestijatel läbi viia turvaaukude hindamist ja ründeid.
  • Must Box: Tester on volitatud testima kõike võrgu topoloogia ja tehnoloogia kohta.
  • Grey Box: Testijale antakse süsteemi kohta osaline info ning tegemist on valge ja musta kasti mudelite hübriidiga.

Turvatesti rollid

  • Häkkerid – juurdepääs arvutisüsteemile või võrgule ilma loata
  • Kreekerid – murdke süsteemidesse, et andmeid varastada või hävitada
  • Eetiline häkker – sooritab enamiku murdmistoimingutest, kuid omaniku loal
  • Script Kiddies või pakettahvid – programmeerimiskeele oskusega kogenematud häkkerid

Turvalisuse testimise tööriistad

1) Teramind

Teramind pakub terviklikku komplekti siseohtude ennetamiseks ja töötajate jälgimiseks. See suurendab turvalisust käitumisanalüütika ja andmekao vältimise kaudu, tagades vastavuse ja optimeerides äriprotsesse. Selle kohandatav platvorm sobib erinevate organisatsiooniliste vajadustega, pakkudes praktilisi teadmisi, mis keskenduvad tootlikkuse suurendamisele ja andmete terviklikkuse kaitsmisele.

Teramind

Funktsioonid:

  • Insaiderohtude ennetamine: Tuvastab ja takistab kasutaja tegevusi, mis võivad viidata siseringi puudutavatele ohtudele andmetele.
  • Äriprotsesside optimeerimine: Kasutab tööprotsesside ümberdefineerimiseks andmepõhist käitumisanalüütikat.
  • Tööjõu tootlikkus: Jälgib tööjõu tootlikkust, turvalisust ja nõuetele vastavust.
  • Vastavusjuhtimine: Aitab hallata vastavust ühtse skaleeritava lahendusega, mis sobib väikeettevõtetele, ettevõtetele ja valitsusasutustele.
  • Juhtumi kohtuekspertiisi: Pakub tõendeid, et rikastada intsidentidele reageerimist, uurimist ja ohuteavet.
  • Andmekaotuse ennetamine: Jälgib ja kaitseb tundlike andmete võimaliku kadumise eest.
  • Töötajate jälgimine: Pakub võimalusi jälgida töötajate jõudlust ja tegevust.
  • Käitumisanalüüs: Analüüsib klientide rakenduste käitumise üksikasjalikke andmeid, et saada ülevaadet.
  • Kohandatavad jälgimisseaded: Võimaldab kohandada jälgimisseadeid, et need sobiksid konkreetsete kasutusjuhtudega või rakendaksid eelmääratletud reegleid.
  • Juhtpaneeli ülevaade: Pakub nähtavust ja praktilist ülevaadet tööjõu tegevustest tervikliku armatuurlaua kaudu.

visiit Teramind >>


2) Owasp

Avatud veebirakenduse turbeprojekt (OWASP) on ülemaailmne mittetulundusühing, mis keskendub tarkvara turvalisuse parandamisele. Projektil on mitu tööriista erinevate tarkvarakeskkondade ja protokollide testimiseks. Projekti juhttööriistade hulka kuuluvad

  1. Zed Attacki puhverserver (ZAP – integreeritud läbitungimise testimise tööriist)
  2. OWASP-i sõltuvuskontroll (see otsib projekti sõltuvusi ja kontrollib teadaolevaid haavatavusi)
  3. OWASP veebi testimiskeskkonna projekt (turvatööriistade ja dokumentatsiooni kogumine)

3) WireShark

Wireshark on võrguanalüüsi tööriist, mida varem tunti Etherali nime all. See jäädvustab paketid reaalajas ja kuvab need inimesele loetavas vormingus. Põhimõtteliselt on see võrgupakettide analüsaator, mis pakub väikseid üksikasju teie võrguprotokollide, dekrüpteerimise, paketiteabe jne kohta. See on avatud lähtekoodiga ja seda saab kasutada Linuxis, Windows, OS X, Solaris, NetBSD, FreeBSD ja paljud teised süsteemid. Selle tööriista kaudu hangitud teavet saab vaadata GUI või TTY-režiimi TShark Utility kaudu.

4) W3af

w3af on veebirakenduste ründe- ja auditiraamistik. Sellel on kolme tüüpi pistikprogrammid; avastus, audit ja rünnak, mis suhtlevad üksteisega saidi haavatavuste suhtes, näiteks otsib w3afi avastusplugin turvaaukude testimiseks erinevaid URL-e ja edastab selle auditi pistikprogrammile, mis seejärel kasutab neid URL-e turvaaukude otsimiseks.

Turvatesti müüdid ja faktid

Räägime huvitaval teemal Turvatesti müüdid ja faktid:

Müüt nr 1 Me ei vaja turvapoliitikat, kuna meil on väikeettevõte

Fakt: turvapoliitikat vajavad kõik ja iga ettevõte

Müüt nr 2 Turvatestidesse tehtud investeeringutasuvus puudub

Fakt: turbetestimine võib välja tuua täiustamist vajavad valdkonnad, mis võivad parandada tõhusust ja vähendada seisakuid, võimaldades maksimaalset läbilaskevõimet.

Müüt nr 3: Ainus viis turvalisuse tagamiseks on see vooluvõrgust lahti ühendada.

Fakt: Ainus ja parim viis organisatsiooni turvamiseks on leida "Täiuslik turvalisus". Täiusliku turvalisuse saab saavutada, kui teostate kehaasendi hindamist ja võrdlete seda äriliste, juriidiliste ja tööstuslike põhjendustega.

Müüt nr 4: Internet pole turvaline. Ostan tarkvara või riistvara süsteemi kaitsmiseks ja ettevõtte päästmiseks.

Fakt: üks suurimaid probleeme on turvalisuse tagamiseks tarkvara ja riistvara ostmine. Selle asemel peaks organisatsioon esmalt mõistma turvalisust ja seejärel seda rakendama.

Järeldus

Turvatestimine on rakenduse jaoks kõige olulisem testimine ja kontrollib, kas konfidentsiaalsed andmed jäävad konfidentsiaalseks. Seda tüüpi testimisel mängib testija ründaja rolli ja mängib süsteemi ümber, et leida turvalisusega seotud vigu. Turvatestimine on tarkvaratehnikas väga oluline, et kaitsta andmeid kõigi vahenditega.