Mi az a biztonsági tesztelés? Példa

By: Thomas Hamilton Thomas Hamilton
Hours korszerűsített

Mi az a biztonsági tesztelés?

Biztonsági tesztelés egy olyan szoftvertesztelés, amely feltárja a szoftveralkalmazások sebezhetőségeit, fenyegetéseit és kockázatait, és megakadályozza a behatolók rosszindulatú támadásait. A Biztonsági Tesztek célja a szoftverrendszer minden lehetséges kiskapujának és gyengeségének azonosítása, amely információ-, bevétel- vagy hírnévvesztést eredményezhet a Szervezet alkalmazottai vagy kívülállói részéről.

Biztonsági tesztelés

Miért fontos a biztonsági tesztelés?

A fő cél Biztonsági tesztelés célja a rendszerben lévő fenyegetések azonosítása és lehetséges sebezhetőségeinek mérése, hogy a fenyegetésekkel szembesülni lehessen, és a rendszer működése ne álljon le, vagy ne lehessen kihasználni. Ezenkívül segít a rendszer összes lehetséges biztonsági kockázatának észlelésében, és segít a fejlesztőknek a problémák kódolással történő megoldásában.

A biztonsági tesztelés típusai a szoftvertesztelésben

A nyílt forráskódú biztonsági tesztelési módszertan kézikönyve szerint hét fő biztonsági tesztelési típus létezik. Ezek magyarázata a következő:

A biztonsági tesztelés típusai a szoftvertesztelésben

  • A biztonsági rés szkennelése: Ez automatizált szoftveren keresztül történik, amely a rendszert az ismert sebezhetőségi aláírások ellen ellenőrzi.
  • Biztonsági szkennelés: Ez magában foglalja a hálózat és a rendszer gyengeségeinek azonosítását, és később megoldásokat kínál ezeknek a kockázatoknak a csökkentésére. Ez a szkennelés kézi és automatikus szkennelés esetén is elvégezhető.
  • Behatolásteszt: Ez a fajta tesztelés egy rosszindulatú hacker támadását szimulálja. Ez a tesztelés egy adott rendszer elemzését foglalja magában, hogy megvizsgálja a külső feltörési kísérlet lehetséges sebezhetőségét.
  • Kockázatértékelés: Ez a tesztelés magában foglalja a szervezetben megfigyelt biztonsági kockázatok elemzését. A kockázatok besorolása alacsony, közepes és magas. Ez a tesztelés ellenőrzéseket és intézkedéseket javasol a kockázat csökkentésére.
  • Biztonsági audit: Ez egy belső ellenőrzés az Alkalmazások és Operadolgok rendszerei biztonsági hibák miatt. Az audit a kód soronkénti ellenőrzésével is elvégezhető
  • Etikus hackelés: Ez egy szervezeti szoftverrendszer feltörése. Ellentétben a rosszindulatú hackerekkel, akik saját haszonszerzés céljából lopnak, a cél az, hogy felfedjék a rendszer biztonsági hibáit.
  • Testtartás értékelése: Ez egyesíti a biztonsági szkennelést, Etikai hackelés és kockázatértékelések, amelyek bemutatják a szervezet általános biztonsági helyzetét.

Hogyan végezzünk biztonsági tesztelést

Mindig megállapodunk, hogy több lesz a költség, ha elhalasztjuk biztonsági tesztelés a szoftver bevezetési szakasza vagy a telepítés után. Ezért szükséges a biztonsági tesztelés bevonása az SDLC életciklusába a korábbi fázisokban.

Nézzük meg a megfelelő biztonsági folyamatokat, amelyeket az SDLC minden fázisához alkalmazni kell

Biztonsági tesztelés

SDLC fázisok Biztonsági folyamatok
követelmények A követelmények biztonsági elemzése és a visszaélések/visszaélések ellenőrzése
Tervezés Biztonsági kockázatelemzés a tervezéshez. Fejlesztése Teszt terv beleértve a biztonsági teszteket is
Kódolás és egységteszt Statikus és dinamikus tesztelés és biztonság fehér Box Tesztelés
Integrációs tesztelés Fekete Box Tesztelés
Rendszer tesztelés Fekete Box Tesztelés és sebezhetőségi vizsgálat
Implementáció Penetrációs vizsgálat, Sebezhetőség vizsgálata
Támogatás Patchek hatáselemzése

A vizsgálati tervnek tartalmaznia kell

  • Biztonsággal kapcsolatos tesztesetek vagy forgatókönyvek
  • Teszt Biztonsági teszteléssel kapcsolatos adatok
  • A biztonsági teszteléshez szükséges teszteszközök
  • Különböző biztonsági eszközök különböző tesztkimeneteinek elemzése

Példa tesztforgatókönyvekre a biztonsági teszteléshez

Mintateszt-forgatókönyvek, hogy bepillantást nyújtsanak a biztonsági tesztesetekbe –

  • A jelszónak titkosított formátumúnak kell lennie
  • Az alkalmazás vagy a rendszer nem engedélyezhet érvénytelen felhasználókat
  • Ellenőrizze a cookie-kat és a munkamenet idejét az alkalmazáshoz
  • Pénzügyi oldalak esetén a Böngésző vissza gombja nem működik.

Módszerek / Megközelítés / Technikák a biztonsági teszteléshez

A biztonsági tesztelés során különböző módszertanokat követnek, ezek a következők:

  • tigris Box: Ezt a feltörést általában olyan laptopokon hajtják végre, amelyek operációs rendszereket és hackereszközöket tartalmaznak. Ez a tesztelés segíti a behatolást és a biztonsági tesztelőket a sebezhetőségek felmérésében és a támadásokban.
  • Fekete Box: A tesztelő jogosult mindent tesztelni a hálózati topológiával és a technológiával kapcsolatban.
  • szürke Box: Részinformációkat kap a tesztelő a rendszerről, és fehér és fekete dobozos modellek hibridje.

Biztonsági tesztelési szerepkörök

  • Hackerek – Hozzáférés a számítógépes rendszerhez vagy hálózathoz engedély nélkül
  • Crackerek – Behatolhat a rendszerekbe, hogy adatokat lopjon vagy semmisítsen meg
  • Ethical Hacker – A legtöbb feltörési tevékenységet végzi, de a tulajdonos engedélyével
  • Script Kiddies vagy csomagmajmok – Tapasztalatlan hackerek programozási nyelvtudással

Biztonsági tesztelési eszközök

1) Teramind

Teramind átfogó csomagot kínál a bennfentes fenyegetések megelőzésére és az alkalmazottak megfigyelésére. A viselkedéselemzés és az adatvesztés-megelőzés révén fokozza a biztonságot, biztosítja a megfelelőséget és optimalizálja az üzleti folyamatokat. Testreszabható platformja megfelel a különféle szervezeti igényeknek, és olyan gyakorlati betekintést nyújt, amely a termelékenység növelésére és az adatok integritásának megőrzésére összpontosít.

Teramind

Jellemzők:

  • Bennfentes fenyegetés megelőzése: Érzékeli és megakadályozza azokat a felhasználói műveleteket, amelyek bennfentes adatok fenyegetésére utalhatnak.
  • Üzleti folyamatok optimalizálása: Adatvezérelt viselkedéselemzést használ a működési folyamatok újradefiniálásához.
  • Munkaerő termelékenysége: Figyelemmel kíséri a munkaerő termelékenységét, biztonságát és megfelelőségi viselkedését.
  • Megfelelőség menedzsment: Segít kezelni a megfelelőséget egyetlen, méretezhető megoldással, amely alkalmas kisvállalkozások, vállalatok és kormányzati szervek számára.
  • Incidens kriminalisztika: Bizonyítékot nyújt az incidensekre adott válaszok, a nyomozások és a fenyegetésekkel kapcsolatos hírszerzés gazdagításához.
  • Az adatvesztés megelőzése: Figyeli és védi az érzékeny adatok esetleges elvesztését.
  • Munkavállalói megfigyelés: Lehetőséget kínál az alkalmazottak teljesítményének és tevékenységeinek nyomon követésére.
  • Viselkedéselemzés: Elemzi az ügyfélalkalmazások viselkedésére vonatkozó részletes adatokat, hogy betekintést nyerjen.
  • Testreszabható felügyeleti beállítások: Lehetővé teszi a megfigyelési beállítások testreszabását az adott használati eseteknek megfelelően vagy előre meghatározott szabályok megvalósításához.
  • Irányítópult Insights: Átfogó műszerfalon keresztül láthatóságot és gyakorlati betekintést biztosít a munkaerő tevékenységeibe.

Látogat Teramind >>

2) Owasp

Az Open Web Application Security Project (OWASP) egy világméretű non-profit szervezet, amely a szoftverek biztonságának javítására összpontosít. A projekt számos eszközzel rendelkezik különféle szoftverkörnyezetek és protokollok tollteszteléséhez. A projekt kiemelt eszközei közé tartozik

  1. Zed Attack Proxy (ZAP – integrált penetrációs tesztelő eszköz)
  2. OWASP függőségi ellenőrzés (keresi a projektfüggőségeket, és ellenőrzi az ismert sebezhetőségeket)
  3. OWASP Web Testing Environment projekt (biztonsági eszközök és dokumentáció gyűjteménye)

3) WireShark

Wireshark egy korábban Etheral néven ismert hálózatelemző eszköz. Valós időben rögzíti a csomagokat, és ember által olvasható formátumban jeleníti meg. Alapvetően ez egy hálózati csomagelemző, amely a legapróbb részleteket nyújtja a hálózati protokollokról, a visszafejtésről, a csomaginformációkról stb. Ez egy nyílt forráskódú, és használható Linuxon, Windows, OS X, Solaris, NetBSD, FreeBSD és sok más rendszer. Az ezen az eszközön keresztül letöltött információk grafikus felhasználói felületen vagy a TTY módú TShark Utility segítségével tekinthetők meg.

4) W3af

w3af egy webalkalmazás-támadási és auditálási keretrendszer. Háromféle beépülő modulja van; felfedezés, ellenőrzés és támadás, amelyek egymással kommunikálnak a webhelyen található esetleges sebezhetőségek miatt, például a w3af felderítő beépülő modulja különböző URL-eket keres a sebezhetőségek teszteléséhez, és továbbítja azokat az audit bővítménynek, amely ezeket az URL-címeket használja a sebezhetőségek keresésére.

A biztonsági tesztelés mítoszai és tényei

Beszéljünk egy érdekes témáról a biztonsági tesztelés mítoszai és tényei:

1. mítosz Nincs szükségünk biztonsági politikára, mivel kisvállalkozásunk van

Tény: Mindenkinek és minden vállalatnak szüksége van egy biztonsági szabályzatra

2. mítosz A biztonsági tesztelésbe fordított befektetés nem térül meg

Tény: A biztonsági tesztelés rámutat azokra a fejlesztendő területekre, amelyek javíthatják a hatékonyságot és csökkenthetik az állásidőt, lehetővé téve a maximális átvitelt.

3. mítosz: A biztonság egyetlen módja, ha kihúzza a konnektorból.

Tény: A szervezet biztonságának egyetlen és legjobb módja a „Tökéletes biztonság” megtalálása. Tökéletes biztonság érhető el a testtartás felmérésével és az üzleti, jogi és iparági indokokkal való összehasonlítással.

4. mítosz: Az internet nem biztonságos. Szoftvert vagy hardvert vásárolok a rendszer védelméhez és az üzlet megmentéséhez.

Tény: Az egyik legnagyobb probléma a szoftver és a hardver vásárlása a biztonság érdekében. Ehelyett a szervezetnek először meg kell értenie a biztonságot, majd alkalmaznia kell azt.

Következtetés

A biztonsági tesztelés az alkalmazások legfontosabb tesztelése, és ellenőrzi, hogy a bizalmas adatok bizalmasak maradnak-e. Az ilyen típusú tesztelés során a tesztelő a támadó szerepét tölti be, és körüljárja a rendszert, hogy megtalálja a biztonsággal kapcsolatos hibákat. A biztonsági tesztelés nagyon fontos a szoftverfejlesztésben az adatok minden eszközzel történő védelme érdekében.