Što je sigurnosno testiranje? Primjer

By: Thomas Hamilton Thomas Hamilton
Hours Ažurirano

Što je sigurnosno testiranje?

Ispitivanje sigurnosti je vrsta testiranja softvera koja otkriva ranjivosti, prijetnje, rizike u softverskoj aplikaciji i sprječava zlonamjerne napade uljeza. Svrha sigurnosnih testova je identificirati sve moguće rupe i slabosti softverskog sustava koje bi mogle rezultirati gubitkom informacija, prihoda, ugleda od strane zaposlenika ili vanjskih osoba Organizacije.

Ispitivanje sigurnosti

Zašto je sigurnosno testiranje važno?

Glavni cilj Ispitivanje sigurnosti je identificirati prijetnje u sustavu i izmjeriti njegove potencijalne ranjivosti, tako da se prijetnje mogu susresti i sustav ne prestane funkcionirati ili se ne može iskoristiti. Također pomaže u otkrivanju svih mogućih sigurnosnih rizika u sustavu i pomaže programerima da riješe probleme kodiranjem.

Vrste testiranja sigurnosti u testiranju softvera

Postoji sedam glavnih vrsta testiranja sigurnosti prema priručniku za metodologiju testiranja sigurnosti otvorenog koda. Oni su objašnjeni na sljedeći način:

Vrste testiranja sigurnosti u testiranju softvera

  • Skeniranje ranjivosti: Ovo se radi putem automatiziranog softvera za skeniranje sustava protiv poznatih potpisa ranjivosti.
  • Sigurnosno skeniranje: Uključuje prepoznavanje slabosti mreže i sustava, a kasnije nudi rješenja za smanjenje tih rizika. Ovo skeniranje može se izvesti i za ručno i za automatsko skeniranje.
  • Ispitivanje penetracije: Ova vrsta testiranja simulira napad zlonamjernog hakera. Ovo testiranje uključuje analizu određenog sustava kako bi se provjerile potencijalne ranjivosti na vanjski pokušaj hakiranja.
  • Procjena rizika: Ovo testiranje uključuje analizu sigurnosnih rizika uočenih u organizaciji. Rizici su klasificirani kao niski, srednji i visoki. Ovo ispitivanje preporučuje kontrole i mjere za smanjenje rizika.
  • Sigurnosna revizija: Ovo je interni pregled aplikacija i Operating sustavi za sigurnosne propuste. Revizija se također može provesti pregledom koda red po red
  • Etičko hakiranje: To je hakiranje organizacijskih softverskih sustava. Za razliku od zlonamjernih hakera, koji kradu radi vlastite dobiti, namjera je razotkriti sigurnosne propuste u sustavu.
  • Procjena držanja: Ovo kombinira sigurnosno skeniranje, Etičko hakiranje i Procjene rizika za prikaz ukupnog sigurnosnog stanja organizacije.

Kako napraviti sigurnosno testiranje

Uvijek se dogovorimo da će taj trošak biti veći ako odgodimo testiranje sigurnosti nakon faze implementacije softvera ili nakon postavljanja. Dakle, potrebno je uključiti sigurnosno testiranje u životni ciklus SDLC-a u ranijim fazama.

Pogledajmo odgovarajuće sigurnosne procese koje treba usvojiti za svaku fazu u SDLC-u

Ispitivanje sigurnosti

SDLC faze Sigurnosni procesi
Zahtjevi Sigurnosna analiza zahtjeva i provjera slučajeva zlouporabe/zlouporabe
dizajn Analiza sigurnosnih rizika za projektiranje. Razvoj Plan testiranja uključujući sigurnosne testove
Kodiranje i testiranje jedinica Statičko i dinamičko testiranje i sigurnost bijela Box Ispitivanje
Ispitivanje integracije Crna Box Ispitivanje
Ispitivanje sustava Crna Box Testiranje i skeniranje ranjivosti
Izvršenje Ispitivanje penetracije, Skeniranje ranjivosti
podrška Analiza utjecaja zakrpa

Plan testiranja treba sadržavati

  • Slučajevi ili scenariji vezani uz sigurnost
  • Testni podaci koji se odnose na sigurnosno testiranje
  • Alati za testiranje potrebni za testiranje sigurnosti
  • Analiza rezultata različitih testova iz različitih sigurnosnih alata

Primjeri testnih scenarija za testiranje sigurnosti

Primjeri testnih scenarija koji vam daju uvid u sigurnosne testove –

  • Lozinka bi trebala biti u šifriranom formatu
  • Aplikacija ili sustav ne bi trebali dopustiti nevažeće korisnike
  • Provjerite kolačiće i vrijeme sesije za prijavu
  • Za financijske stranice, gumb za povratak u preglednik ne bi trebao raditi.

Metodologije/pristupi/tehnike za testiranje sigurnosti

U testiranju sigurnosti slijede različite metodologije, a one su sljedeće:

  • Tigar Box: Ovo hakiranje obično se radi na prijenosnom računalu koje ima kolekciju operativnih sustava i alata za hakiranje. Ovo testiranje pomaže ispitivačima penetracije i sigurnosnim ispitivačima da provedu procjenu ranjivosti i napade.
  • Crna Box: Tester je ovlašten testirati sve o mrežnoj topologiji i tehnologiji.
  • siva Box: Testeru se daju djelomične informacije o sustavu, a riječ je o hibridu modela bijele i crne kutije.

Uloge testiranja sigurnosti

  • Hakeri – Neovlašteno pristupaju računalnom sustavu ili mreži
  • Krekeri – Provaliti u sustave kako bi ukrali ili uništili podatke
  • Etički haker – Izvodi većinu aktivnosti razbijanja, ali uz dopuštenje vlasnika
  • Script Kiddies ili packet monkeys – neiskusni hakeri s vještinom programiranja jezika

Alati za testiranje sigurnosti

1) Teramind

Teramind isporučuje sveobuhvatan paket za prevenciju prijetnji iznutra i praćenje zaposlenika. Poboljšava sigurnost putem analitike ponašanja i sprječavanja gubitka podataka, osigurava usklađenost i optimizira poslovne procese. Njegova prilagodljiva platforma odgovara različitim organizacijskim potrebama, pružajući korisne uvide koji su usmjereni na povećanje produktivnosti i očuvanje integriteta podataka.

Teramind

Značajke:

  • Prevencija prijetnji iznutra: Otkriva i sprječava korisničke radnje koje mogu ukazivati ​​na unutarnje prijetnje podacima.
  • Optimizacija poslovnih procesa: Koristi analitiku ponašanja temeljenu na podacima za redefiniranje operativnih procesa.
  • Produktivnost radne snage: Prati produktivnost, sigurnost i usklađenost ponašanja radne snage.
  • Upravljanje usklađenošću: Pomaže u upravljanju usklađenošću s jedinstvenim, skalabilnim rješenjem prikladnim za mala poduzeća, poduzeća i vladine agencije.
  • Forenzika incidenta: Pruža dokaze koji obogaćuju odgovor na incidente, istrage i obavještajne podatke o prijetnjama.
  • Sprječavanje gubitka podataka: Prati i štiti od mogućeg gubitka osjetljivih podataka.
  • Praćenje zaposlenika: Nudi mogućnosti praćenja učinka i aktivnosti zaposlenika.
  • Analitika ponašanja: Analizira precizne podatke o ponašanju aplikacija korisnika radi uvida.
  • Prilagodljive postavke nadzora: Omogućuje prilagodbu postavki nadzora kako bi odgovarale specifičnim slučajevima upotrebe ili za implementaciju unaprijed definiranih pravila.
  • Uvidi nadzorne ploče: Pruža vidljivost i djelotvorne uvide u aktivnosti radne snage putem sveobuhvatne nadzorne ploče.

Posjetiti Teramind >>

2) Owasp

Projekt sigurnosti otvorene web aplikacije (OWASP) svjetska je neprofitna organizacija usmjerena na poboljšanje sigurnosti softvera. Projekt ima više alata za testiranje različitih softverskih okruženja i protokola. Glavni alati projekta uključuju

  1. Zed Attack Proxy (ZAP – integrirani alat za testiranje prodora)
  2. OWASP provjera ovisnosti (traži ovisnosti o projektu i provjerava poznate ranjivosti)
  3. Projekt okruženja za web testiranje OWASP (zbirka sigurnosnih alata i dokumentacije)

3) WireShark

Wireshark je alat za analizu mreže prethodno poznat kao Ethereal. Snima pakete u stvarnom vremenu i prikazuje ih u formatu čitljivom za čovjeka. U osnovi, to je analizator mrežnih paketa - koji pruža najsitnije pojedinosti o vašim mrežnim protokolima, dešifriranju, informacijama o paketima, itd. To je otvoreni izvor i može se koristiti na Linuxu, Windows, OS X, Solaris, NetBSD, FreeBSD i mnogi drugi sustavi. Informacije koje se dohvate putem ovog alata mogu se pregledati kroz GUI ili TTY način rada TShark Utility.

4) W3af

w3af je okvir za napad i reviziju web aplikacija. Ima tri vrste dodataka; otkrivanje, revizija i napad koji međusobno komuniciraju za bilo kakve ranjivosti na web-mjestu, na primjer dodatak za otkrivanje u w3af-u traži različite url-ove za testiranje ranjivosti i prosljeđuje ih dodatku za reviziju koji zatim koristi te URL-ove za traženje ranjivosti.

Mitovi i činjenice o testiranju sigurnosti

Razgovarajmo o zanimljivoj temi o mitovima i činjenicama o testiranju sigurnosti:

Mit broj 1 Ne treba nam sigurnosna politika jer imamo malu tvrtku

Činjenica: Svatko i svaka tvrtka treba sigurnosnu politiku

Mit broj 2 Nema povrata ulaganja u sigurnosno testiranje

Činjenica: Sigurnosno testiranje može ukazati na područja za poboljšanje koja mogu poboljšati učinkovitost i smanjiti vrijeme zastoja, omogućujući maksimalnu propusnost.

Mit broj 3: Jedini način da se osigurate je isključiti ga.

Činjenica: Jedini i najbolji način da osigurate organizaciju je pronaći "Savršenu sigurnost". Savršena sigurnost može se postići izvođenjem procjene položaja i usporedbom s poslovnim, pravnim i industrijskim opravdanjima.

Mit broj 4: Internet nije siguran. Kupit ću softver ili hardver kako bih zaštitio sustav i spasio posao.

Činjenica: Jedan od najvećih problema je kupnja softvera i hardvera radi sigurnosti. Umjesto toga, organizacija bi trebala prvo razumjeti sigurnost, a zatim je primijeniti.

Zaključak

Sigurnosno testiranje je najvažnije testiranje za aplikaciju i provjerava ostaju li povjerljivi podaci povjerljivi. U ovoj vrsti testiranja, ispitivač igra ulogu napadača i igra se po sustavu kako bi pronašao sigurnosne pogreške. Sigurnosno testiranje vrlo je važno u softverskom inženjerstvu za zaštitu podataka svim sredstvima.