Wat is beveiligingstesten? Voorbeeld
Wat is beveiligingstests?
Beveiligingstests is een type softwaretesten dat kwetsbaarheden, bedreigingen en risico's in een softwaretoepassing blootlegt en kwaadaardige aanvallen van indringers voorkomt. Het doel van beveiligingstesten is om alle mogelijke mazen en zwakheden van het softwaresysteem te identificeren die kunnen leiden tot verlies van informatie, inkomsten en reputatie door toedoen van werknemers of buitenstaanders van de organisatie.
Waarom beveiligingstesten belangrijk zijn?
Het hoofddoel van Beveiligingstests is het identificeren van de bedreigingen in het systeem en het meten van de potentiële kwetsbaarheden ervan, zodat de bedreigingen kunnen worden aangetroffen en het systeem niet stopt met functioneren of niet kan worden uitgebuit. Het helpt ook bij het detecteren van alle mogelijke beveiligingsrisico's in het systeem en helpt ontwikkelaars de problemen op te lossen door middel van codering.
Soorten beveiligingstests bij het testen van software
Er zijn zeven hoofdtypen beveiligingstests volgens de Open Source Security Testing-methodologiehandleiding. Ze worden als volgt uitgelegd:
- Kwetsbaarheid van kwetsbaarheid: Dit wordt gedaan via geautomatiseerde software om een systeem te scannen op bekende kwetsbaarheidssignaturen.
- Beveiligingsscannen: Het omvat het identificeren van netwerk- en systeemzwakheden en biedt later oplossingen om deze risico's te verminderen. Deze scan kan worden uitgevoerd voor zowel handmatige als automatische scans.
- Penetratietests: Dit soort tests simuleert een aanval van een kwaadwillende hacker. Deze tests omvatten de analyse van een bepaald systeem om te controleren op mogelijke kwetsbaarheden voor een externe hackpoging.
- Risicobeoordeling: Bij deze tests wordt een analyse gemaakt van de veiligheidsrisico's die in de organisatie worden waargenomen. Risico's worden geclassificeerd als Laag, Gemiddeld en Hoog. Deze test beveelt controles en maatregelen aan om het risico te verminderen.
- Beveiligingsaudits: Dit is een interne inspectie van Applicaties en Operasystemen voor beveiligingsfouten. Een audit kan ook worden uitgevoerd via regel-voor-regel-inspectie van de code
- Ethisch hacken: Het hackt softwaresystemen van een organisatie. In tegenstelling tot kwaadwillende hackers, die voor eigen gewin stelen, is het de bedoeling om beveiligingsfouten in het systeem bloot te leggen.
- Houdingsbeoordeling: Dit combineert beveiligingsscans, Ethisch hacken en risicobeoordelingen om een algemene beveiligingspositie van een organisatie te tonen.
Hoe u beveiligingstests uitvoert
We zijn het er altijd over eens dat de kosten hoger uitvallen als we het uitstellen beveiligingstesten na de software-implementatiefase of na de implementatie. Het is dus noodzakelijk om beveiligingstests in de eerdere fasen van de SDLC-levenscyclus te betrekken.
Laten we eens kijken naar de bijbehorende beveiligingsprocessen die voor elke fase in SDLC moeten worden toegepast
SDLC-fasen | Beveiligingsprocessen |
---|---|
Voorwaarden | Beveiligingsanalyse voor vereisten en controle van gevallen van misbruik/misbruik |
Design | Analyse van beveiligingsrisico's voor ontwerpen. Ontwikkeling Testplan inclusief veiligheidstests |
Coderen en testen van eenheden | Statisch en dynamisch testen en beveiliging Wit Box Testen |
Integratietesten | Zwart Box Testen |
Systeem testen | Zwart Box Testen en scannen op kwetsbaarheden |
Implementatie | Penetratietests, Kwetsbaarheidsscannen |
Klantenservice | Impactanalyse van patches |
Het testplan moet omvatten
- Beveiligingsgerelateerde testgevallen of scenario's
- Testgegevens met betrekking tot beveiligingstests
- Testtools die nodig zijn voor beveiligingstests
- Analyse van verschillende testresultaten van verschillende beveiligingstools
Voorbeeldtestscenario's voor beveiligingstests
Voorbeeldtestscenario's om u een glimp te geven van beveiligingstestgevallen –
- Een wachtwoord moet in gecodeerd formaat zijn
- Applicatie of systeem mogen geen ongeldige gebruikers toestaan
- Controleer cookies en sessietijd voor toepassing
- Voor financiële sites zou de terugknop van de browser niet moeten werken.
Methodologieën/aanpak/technieken voor beveiligingstests
Bij het testen van beveiliging worden verschillende methodologieën gevolgd, en deze zijn als volgt:
- Tijger Box: Dit hacken gebeurt meestal op een laptop met een verzameling besturingssystemen en hacktools. Deze tests helpen penetratietesters en beveiligingstesters bij het beoordelen van kwetsbaarheden en aanvallen.
- Zwarte doos: Tester is geautoriseerd om alles te testen over de netwerktopologie en de technologie.
- Grijs Box:De tester krijgt gedeeltelijke informatie over het systeem en het is een hybride van white-box- en black-boxmodellen.
Beveiligingstestrollen
- Hackers – Krijgen zonder toestemming toegang tot een computersysteem of netwerk
- Crackers – Breek in de systemen in om gegevens te stelen of te vernietigen
- Ethische hacker – Voert de meeste kraakactiviteiten uit, maar met toestemming van de eigenaar
- Script Kiddies of packet monkeys – Onervaren hackers met programmeertaalvaardigheid
Beveiligingstesttools
1) Teramind
Teramind levert een uitgebreid pakket voor preventie van insiderbedreigingen en monitoring van werknemers. Het verbetert de beveiliging door middel van gedragsanalyses en het voorkomen van gegevensverlies, waardoor naleving wordt gewaarborgd en bedrijfsprocessen worden geoptimaliseerd. Het aanpasbare platform past bij verschillende organisatorische behoeften en biedt bruikbare inzichten die gericht zijn op het verhogen van de productiviteit en het beschermen van de gegevensintegriteit.
Kenmerken:
- Preventie van insiderbedreigingen: Detecteert en voorkomt gebruikersacties die kunnen duiden op insiderbedreigingen voor gegevens.
- Optimalisatie van bedrijfsprocessen: Maakt gebruik van datagestuurde gedragsanalyses om operationele processen opnieuw te definiëren.
- Productiviteit van het personeel: Bewaakt de productiviteit, de veiligheid en het nalevingsgedrag van het personeel.
- Nalevingsbeheer: Helpt de naleving te beheren met één schaalbare oplossing die geschikt is voor kleine bedrijven, ondernemingen en overheidsinstanties.
- Forensisch onderzoek naar incidenten: Biedt bewijs om de respons op incidenten, onderzoeken en informatie over dreigingen te verrijken.
- Data verlies voorkomen: Bewaakt en beschermt tegen het potentiële verlies van gevoelige gegevens.
- Toezicht op medewerkers: Biedt mogelijkheden om de prestaties en activiteiten van medewerkers te monitoren.
- Gedragsanalyse: Analyseert gedetailleerde gegevens over het gedrag van klantapps voor inzichten.
- Aanpasbare bewakingsinstellingen: Maakt het mogelijk om de monitoringinstellingen aan te passen aan specifieke gebruikssituaties of om vooraf gedefinieerde regels te implementeren.
- Dashboard-inzichten: Biedt zichtbaarheid en bruikbare inzichten in personeelsactiviteiten via een uitgebreid dashboard.
2) Owasp
Het Open Web Application Security Project (OWASP) is een wereldwijde non-profitorganisatie die zich richt op het verbeteren van de beveiliging van software. Het project beschikt over meerdere tools om verschillende softwareomgevingen en protocollen te pentesten. Vlaggenschiptools van het project zijn onder meer
- Zed Attack-proxy (ZAP – een geïntegreerde tool voor penetratietesten)
- OWASP-afhankelijkheidscontrole (het scant op projectafhankelijkheden en controleert op bekende kwetsbaarheden)
- OWASP-webtestomgevingsproject (verzameling van beveiligingshulpmiddelen en documentatie)
3) DraadShark
Wireshark is een netwerkanalysetool die voorheen bekend stond als Ethereal. Het vangt pakketten in realtime op en geeft ze weer in een voor mensen leesbaar formaat. In principe is het een netwerkpakketanalysator die de kleinste details over uw netwerkprotocollen, decodering, pakketinformatie, enz. biedt. Het is een open source en kan worden gebruikt op Linux, Windows, OSX, Solaris, NetBSD, FreeBSD en vele andere systemen. De informatie die via deze tool wordt opgehaald, kan worden bekeken via een GUI of de TTY-modus TShark Utility.
4) W3af
w3af is een aanvals- en auditframework voor webapplicaties. Het heeft drie soorten plug-ins; detectie, audit en aanval die met elkaar communiceren over eventuele kwetsbaarheden op de site. Een ontdekkingsplug-in in w3af zoekt bijvoorbeeld naar verschillende URL's om te testen op kwetsbaarheden en stuurt deze door naar de auditplug-in die vervolgens deze URL's gebruikt om naar kwetsbaarheden te zoeken.
Mythen en feiten over beveiligingstests
Laten we het hebben over een interessant onderwerp over mythen en feiten over beveiligingstests:
Mythe #1 We hebben geen beveiligingsbeleid nodig omdat we een klein bedrijf hebben
Feit: Iedereen en elk bedrijf heeft een beveiligingsbeleid nodig
Mythe #2 Er is geen rendement op de investering in beveiligingstests
Feit: Beveiligingstests kunnen verbeterpunten aan het licht brengen die de efficiëntie kunnen verbeteren en de downtime kunnen verminderen, waardoor een maximale doorvoer mogelijk wordt.
Mythe #3: De enige manier om dit te beveiligen is door de stekker uit het stopcontact te halen.
Feit: De enige en beste manier om een organisatie te beveiligen is het vinden van “Perfect Security”. Perfecte beveiliging kan worden bereikt door een houdingsbeoordeling uit te voeren en deze te vergelijken met zakelijke, juridische en industriële rechtvaardigingen.
Mythe #4: Het internet is niet veilig. Ik koop software of hardware om het systeem te beschermen en het bedrijf te redden.
Feit: Een van de grootste problemen is de aanschaf van software en hardware voor beveiliging. In plaats daarvan moet de organisatie eerst de beveiliging begrijpen en deze vervolgens toepassen.
Conclusie
Beveiligingstesten zijn de belangrijkste tests voor een applicatie en controleren of vertrouwelijke gegevens vertrouwelijk blijven. Bij dit type testen speelt de tester de rol van de aanvaller en speelt hij rond het systeem om beveiligingsgerelateerde bugs te vinden. Beveiligingstesten zijn erg belangrijk bij Software Engineering om gegevens met alle middelen te beschermen.