Što je sigurnosno testiranje? Primjer

By: Thomas Hamilton Thomas Hamilton
Hours Ažurirano

⚡ Pametni sažetak

Sigurnosno testiranje je disciplina testiranja softvera koja otkriva ranjivosti, prijetnje i rizike u aplikaciji prije nego što to učine napadači. Ovaj članak pokriva sedam osnovnih tipova, SDLC model integracije, uobičajene metodologije, ključne uloge i glavne alate.

  • 🛡️ Osnovna definicija: Sigurnosno testiranje pronalazi ranjivosti koje bi mogle uzrokovati curenje informacija, prihoda ili ugleda.
  • 🎯 Sedam vrsta: Skeniranje ranjivosti, sigurnosno skeniranje, testiranje penetracije, procjena rizika, sigurnosna revizija, etičko hakiranje, procjena posture.
  • 🔁 Shift Lijevo: Ugradite sigurnost u svaku SDLC fazu, od zahtjeva do podrške - rano ispravljanje je daleko jeftinije od ispravljanja nakon objavljivanja.
  • 🧪 Tri pristupa: Tigar Box, Crna Boxi siva Box predstavljaju spektar od testiranja s punim znanjem do testiranja s nultim znanjem.
  • 🛠️ Alatna shema: Teramind, OWASP ZAP, Wireshark, a w3af se široko koriste u testiranju insajderskih prijetnji, web aplikacija i mreža.
  • 🤖 Poboljšanje umjetne inteligencije: Agenti umjetne inteligencije trijažiraju rezultate skenera, određuju prioritet CVE-a prema vjerojatnosti iskorištavanja i izrađuju zakrpe za sanaciju.
Pročitaj više

Što je sigurnosno testiranje?

Što je sigurnosno testiranje?

Ispitivanje sigurnosti je vrsta testiranje softvera koji otkriva ranjivosti, prijetnje i rizike u aplikaciji te sprječava zlonamjerne napade uljeza. Svrha sigurnosnih testova je identificirati svaku rupu i slabost u sustavu koja bi mogla dovesti do gubitka informacija, prihoda ili ugleda od strane insajdera ili autsajdera.

Sigurnosno testiranje štiti aplikaciju od uljeza

Zašto je sigurnosno testiranje važno?

Glavni cilj sigurnosnog testiranja je identificirati prijetnje u sustavu i izmjeriti njihov potencijalni utjecaj kako bi se prijetnje mogle ublažiti i sustav nastavio sigurno funkcionirati. Sigurnosni testovi otkrivaju svaki mogući rizik i daju programerima korisne informacije za ispravljanje problema u kodu prije implementacije.

Vrste testiranja sigurnosti u testiranju softvera

Prema Priručniku za metodologiju testiranja sigurnosti otvorenog koda (OSSTMM), postoji sedam glavnih vrsta sigurnosnog testiranja.

Sedam vrsta sigurnosnih testova u testiranju softvera

  • Skeniranje ranjivosti: Automatizirani softver skenira sustav u potrazi za poznatim potpisima ranjivosti.
  • Sigurnosno skeniranje: Identificira slabosti mreže i sustava te predlaže rješenja. Može biti ručno, automatizirano ili oboje.
  • Ispitivanje prodiranja: Simulira zlonamjerni napad kako bi otkrio ranjivosti koje bi vanjski napadač mogao iskoristiti.
  • Procjena rizika: Analizira sigurnosne rizike uočene u organizaciji i klasificira ih kao niske, srednje ili visoke, preporučujući kontrole.
  • Sigurnosna revizija: Interni pregled prijava i Operativnih sustava za sigurnosne nedostatke. Može uključivati ​​pregled koda redak po redak.
  • Etičko hakiranje: Ovlašteno hakiranje softvera organizacije radi otkrivanja sigurnosnih nedostataka - suprotna namjera od zlonamjernih hakera.
  • Procjena držanja: Kombinira sigurnosno skeniranje, Etički sjeckanjei procjenu rizika kako bi se prikazala cjelokupna sigurnosna pozicija organizacije.

Kako provesti sigurnosno testiranje

Općeprihvaćeno je da trošak popravka sigurnosnog nedostatka dramatično raste što se kasnije otkrije. Odgađanje testiranje sigurnosti implementacija do nakon toga je daleko skuplja od ugradnje u SDLC od samog početka.

Donja tablica prikazuje sigurnosne aktivnosti za svaku fazu SDLC-a.

Sigurnosni procesi u svakoj fazi SDLC-a

SDLC faza Sigurnosni procesi
Zahtjevi Sigurnosna analiza zahtjeva i pregled slučajeva zloupotrebe/nepravilnog korištenja.
dizajn Analiza sigurnosnih rizika za dizajn. Razvoj plan ispitivanja što uključuje sigurnosne testove.
Kodiranje i testiranje jedinica Statičko i dinamičko testiranje plus sigurnost testiranje bijele kutije.
Ispitivanje integracije Ispitivanje crne kutije.
Ispitivanje sustava Testiranje crne kutije i skeniranje ranjivosti.
Izvršenje Ispitivanje penetracije i skeniranje ranjivosti.
podrška Analiza utjecaja zakrpa.

Plan sigurnosnog testiranja trebao bi uključivati:

  • Testni slučajevi i scenariji vezani uz sigurnost.
  • Testni podaci dizajnirani za sigurnosno testiranje.
  • Alati za testiranje potrebni za svaku sigurnosnu aktivnost.
  • Analiza izlaza iz različitih sigurnosnih alata.

Primjeri testnih scenarija za testiranje sigurnosti

Donji popis nudi uvid u tipične slučajeve sigurnosnog testiranja.

  • Lozinke se pohranjuju u šifriranom obliku, nikada kao obični tekst.
  • Aplikacija ili sustav blokira nevažeće korisnike.
  • Kolačići i vremensko ograničenje sesije provjeravaju se za svaki tijek rada.
  • Za financijske stranice, gumb za povratak u pregledniku ne smije otkrivati ​​zaštićene stranice nakon odjave.

Metodologije i tehnike za sigurnosno testiranje

Sigurnosno testiranje slijedi nekoliko utvrđenih metodologija.

  • Tigar Box: Testiranje provedeno s prijenosnog računala s više operativnih sustava i alata za hakiranje. Koriste ga testeri penetracije za procjenu ranjivosti i izvođenje napada.
  • Crna Box: Tester nema interno znanje o topologiji mreže ili tehnološkom stogu i ispituje sustav kao što bi to učinio autsajder.
  • siva Box: Tester prima djelomične informacije o sustavu. Ovaj hibrid tehnika bijele i crne kutije odražava realističan model prijetnje gdje su neki detalji procurili.

Uloge testiranja sigurnosti

  • Haker: Generički izraz za nekoga tko pristupa računalnom sustavu ili mreži — danas se često koristi za označavanje black-hat hakera koji to čine bez ovlaštenja.
  • Kreker: Provaljuje u sustave radi krađe ili uništavanja podataka.
  • Etički haker: Obavlja iste aktivnosti kao haker, ali uz izričito dopuštenje vlasnika, helping očvrsnuti sustav.
  • Script Kiddies / Packet Monkeys: Neiskusni napadači s ograničenim znanjem programiranja koji se oslanjaju na unaprijed izgrađene skripte i alate.

Alati za testiranje sigurnosti

1) Teramind

Teramind Pruža sveobuhvatan paket za sprječavanje unutarnjih prijetnji i praćenje zaposlenika. Poboljšava sigurnost analizom ponašanja i sprječavanjem gubitka podataka, osiguravajući usklađenost i optimizirajući poslovne procese. Njegova prilagodljiva platforma odgovara raznim organizacijskim potrebama, pružajući praktične uvide usmjerene na povećanje produktivnosti i zaštitu integriteta podataka.

Teramind platforma za nadzor unutarnjih prijetnji i zaposlenika

Značajke:

  • Prevencija prijetnji iznutra: Otkriva i sprječava korisničke radnje koje mogu ukazivati ​​na unutarnje prijetnje podacima.
  • Optimizacija poslovnih procesa: Koristi analizu ponašanja temeljenu na podacima za poboljšanje operativnih procesa.
  • Produktivnost radne snage: Prati produktivnost, sigurnost i ponašanje u skladu s propisima.
  • Upravljanje usklađenošću: Omogućuje usklađenost iz jednog skalabilnog rješenja, pogodnog za mala poduzeća, velika poduzeća i vladine agencije.
  • Forenzika incidenta: Pruža dokaze za obogaćivanje odgovora na incidente, istrage i obavještajnih podataka o prijetnjama.
  • Sprječavanje gubitka podataka: Prati i štiti od gubitka osjetljivih podataka.
  • Praćenje zaposlenika: Tracučinak i aktivnosti zaposlenika ks.
  • Bihevioralna analitika: Analizira detaljne podatke o ponašanju korisnika aplikacije radi uvida.
  • Prilagodljive postavke praćenja: Omogućuje pravila praćenja koja odgovaraju specifičnim slučajevima upotrebe.
  • Uvidi nadzorne ploče: Pruža vidljivost i praktične uvide putem sveobuhvatne nadzorne ploče.

Posjetiti Teramind >>

2) OWASP

The Projekt sigurnosti otvorenih web aplikacija (OWASP) je svjetska neprofitna organizacija posvećena poboljšanju sigurnosti softvera. Projekt nudi više alata za testiranje penom različitih softverskih okruženja i protokola. Vodeći alati uključuju:

  1. Zed napadački proxy (ZAP) — integrirani alat za testiranje penetracije.
  2. OWASP Provjera ovisnosti — skenira ovisnosti projekta u potrazi za poznatim ranjivostima.
  3. Projekt okruženja za web testiranje OWASP — odabrana zbirka sigurnosnih alata i dokumentacije.

3) Wireshark

Wireshark je alat za analizu mreže, prethodno poznat kao Ethereal. Snima pakete u stvarnom vremenu i prikazuje ih u formatu čitljivom ljudima. Wireshark otvorenog je koda i radi na Linuxu, Windows, macOS, Solaris, NetBSD, FreeBSD i mnogi drugi sustavi. Podaci se mogu pregledavati u GUI-ju ili putem uslužnog programa naredbenog retka TShark.

4) w3af

w3af je okvir za napad i reviziju web aplikacija. Ima tri kategorije dodataka - otkrivanje, revizija i napad - koji međusobno komuniciraju. Dodatak za otkrivanje traži URLza testiranje, prosljeđuje ih dodatku za reviziju, koji skenira ranjivosti, a dodatak za napad zatim pokušava iskoristiti ih.

Mitovi i činjenice o testiranju sigurnosti

Nekoliko upornih mitova usporava sigurnosne programe. Popis u nastavku povezuje svaki mit s temeljnom činjenicom.

Mit #1: Malo poduzeće ne treba sigurnosnu politiku.
Činjenica: Svaka osoba i svaka tvrtka trebaju sigurnosnu politiku.

Mit #2: Sigurnosno testiranje ne nudi povrat ulaganja.
Činjenica: Sigurnosno testiranje otkriva područja za poboljšanja koja povećavaju učinkovitost, smanjuju vrijeme zastoja i omogućuju maksimalnu propusnost.

Mit #3: Jedini način da budete sigurni jest isključiti sustav iz struje.
Činjenica: Praktična sigurnost proizlazi iz procjene stanja usklađene s poslovnim, pravnim i industrijskim zahtjevima, a ne iz isključenja mreže.

Mit #4: Kupnja dodatnog softvera ili hardvera zaštitit će poslovanje.
Činjenica: Alati ne zamjenjuju strategiju. Prvo shvatite krajolik prijetnji, a zatim odaberite kontrole koje odgovaraju.

Pitanja i odgovori

SAST (Statično testiranje sigurnosti aplikacija) skenira izvorni kod u potrazi za ranjivostima bez njegovog izvršavanja. DAST (Dinamičko testiranje sigurnosti aplikacija) ispituje aplikaciju koja se izvršava. Zreli timovi koriste oboje - SAST u CI, DAST u pripremi - kako bi pokrili rizike koda i vremena izvođenja.

Automatizirano skeniranje izvodi se na svakoj verziji, provjera ovisnosti provodi se svakodnevno, potpuni test penetracije provodi se barem jednom godišnje ili nakon većih izdanja, a procjene stanja sustava tromjesečno. Osjetljive industrije poput financija i zdravstva često zahtijevaju mjesečno skeniranje radi usklađenosti.

OWASP ASVS, OWASP Top 10, NIST SP 800-115, ISO/IEC 27001, PCI-DSS i OSSTMM su najčešće prihvaćeni standardi. Oni definiraju pokrivenost testiranjem, ciljeve kontrole i zahtjeve za izvještavanje za testiranje sigurnosti aplikacija i infrastrukture.

AI Alati grupiraju nalaze skenera, uklanjaju duplikate lažno pozitivnih rezultata, predviđaju vjerojatnost iskorištavanja iz obavještajnih podataka o prijetnjama i generiraju zakrpe za uobičajene CVE klase - omogućujući analitičarima da se usredotoče na visokorizične, poslovno kritične probleme.

Generativni AI agenti mogu povezati korake izviđanja, iskorištavanja i izvještavanja kako bi provodili autonomne testove prodiranja unutar ograničenih okruženja. Ljudski recenzenti i dalje potvrđuju nalaze i odobravaju lance iskorištavanja za aktivne mete kako bi osigurali etičku i pravnu usklađenost.

Sažmite ovu objavu uz: