Ce este testarea de securitate? Exemplu
Thomas Hamilton
Ce este testarea de securitate?
Testarea securității este un tip de testare software care descoperă vulnerabilități, amenințări, riscuri într-o aplicație software și previne atacurile rău intenționate din partea intrușilor. Scopul Testelor de Securitate este de a identifica toate lacunele și punctele slabe posibile ale sistemului software care ar putea duce la o pierdere de informații, venituri, reputație din partea angajaților sau a persoanelor din afara Organizației.
De ce este importantă testarea de securitate?
Scopul principal al Testarea securității este de a identifica amenințările din sistem și de a măsura vulnerabilitățile potențiale ale acestuia, astfel încât amenințările să poată fi întâlnite și sistemul să nu înceteze să funcționeze sau să nu poată fi exploatat. De asemenea, ajută la detectarea tuturor riscurilor de securitate posibile în sistem și ajută dezvoltatorii să rezolve problemele prin codificare.
Tipuri de testare de securitate în testarea software-ului
Există șapte tipuri principale de testare de securitate conform manualului de metodologie de testare a securității cu sursă deschisă. Ele sunt explicate după cum urmează:
- Vulnerabilitatea scanării: Acest lucru se face printr-un software automat pentru a scana un sistem împotriva semnăturilor de vulnerabilitate cunoscute.
- Scanare de securitate: Aceasta implică identificarea punctelor slabe ale rețelei și ale sistemului, iar ulterior oferă soluții pentru reducerea acestor riscuri. Această scanare poate fi efectuată atât pentru scanarea manuală, cât și pentru cea automată.
- Testarea penetrării: Acest tip de testare simulează un atac din partea unui hacker rău intenționat. Această testare implică analiza unui anumit sistem pentru a verifica eventualele vulnerabilități la o tentativă de hacking extern.
- Evaluare a riscurilor: Această testare implică analiza riscurilor de securitate observate în organizație. Riscurile sunt clasificate ca scăzute, medii și ridicate. Această testare recomandă controale și măsuri pentru a reduce riscul.
- Audit de securitate: Aceasta este o inspecție internă a Aplicațiilor și Operasisteme de tingere pentru defecte de securitate. Un audit se poate face și prin inspecția linie cu linie a codului
- Hacking etic: Este piratarea sistemelor software de organizare. Spre deosebire de hackerii rău intenționați, care fură pentru propriile lor câștiguri, intenția este de a dezvălui defecțiunile de securitate ale sistemului.
- Evaluarea posturii: Aceasta combină scanarea de securitate, Etica hacking și Evaluări de risc pentru a arăta o poziție generală de securitate a unei organizații.
Cum se face testarea de securitate
Este întotdeauna de acord, că costul va fi mai mare dacă amânăm testare de securitate după faza de implementare a software-ului sau după implementare. Deci, este necesar să se implice testarea de securitate în ciclul de viață SDLC în fazele anterioare.
Să analizăm procesele de securitate corespunzătoare care trebuie adoptate pentru fiecare fază în SDLC
| Fazele SDLC | Procese de securitate |
|---|---|
| Cerinţe | Analiza de securitate pentru cerințe și verificarea cazurilor de abuz/utilizare greșită |
| Amenajări | Analiza riscurilor de securitate pentru proiectare. Dezvoltarea Planul de testare inclusiv teste de securitate |
| Codare și testare unitară | Testare și securitate statică și dinamică Alb Box Testarea |
| Testare de integrare | Negru Box Testarea |
| Testarea sistemului | Negru Box Testare și scanare a vulnerabilităților |
| Punerea în aplicare | Testarea penetrării, Scanarea vulnerabilităților |
| Asistență | Analiza impactului Patch-urilor |
Planul de testare ar trebui să includă
- Cazuri de testare sau scenarii legate de securitate
- Date de testare legate de testarea de securitate
- Instrumente de testare necesare pentru testarea de securitate
- Analiza rezultatelor diferitelor teste din diferite instrumente de securitate
Exemple de scenarii de testare pentru testarea securității
Exemple de scenarii de testare pentru a vă oferi o privire asupra cazurilor de testare de securitate –
- O parolă ar trebui să fie în format criptat
- Aplicația sau sistemul nu ar trebui să permită utilizatori invalidi
- Verificați cookie-urile și timpul de sesiune pentru aplicare
- Pentru site-urile financiare, butonul înapoi în browser nu ar trebui să funcționeze.
Metodologii/ Abordare/Tehnici de testare de securitate
În testarea de securitate, sunt urmate diferite metodologii și sunt după cum urmează:
- Tigru Box: Acest hacking se face de obicei pe un laptop care are o colecție de sisteme de operare și instrumente de hacking. Această testare îi ajută pe testerii de penetrare și pe cei de securitate să efectueze evaluarea vulnerabilităților și atacuri.
- Negru Box: Testerul este autorizat să testeze totul despre topologia rețelei și tehnologie.
- Gri Box: Informații parțiale sunt oferite testerului despre sistem și este un hibrid de modele de cutie albă și neagră.
Roluri de testare de securitate
- Hackeri – Accesați sistemul de computer sau rețeaua fără autorizație
- Crackeri – Intră în sisteme pentru a fura sau distruge date
- Hacker etic – Efectuează majoritatea activităților de spargere, dar cu permisiunea proprietarului
- Script Kiddies sau packet monkeys – Hackeri neexperimentați cu abilități de limbaj de programare
Instrumente de testare a securității
1) Teramind
Teramind oferă o suită cuprinzătoare pentru prevenirea amenințărilor interne și monitorizarea angajaților. Îmbunătățește securitatea prin analiza comportamentului și prevenirea pierderii de date, asigurând conformitatea și optimizând procesele de afaceri. Platforma sa personalizabilă se potrivește diverselor nevoi organizaționale, oferind informații utile care se concentrează pe creșterea productivității și pe protejarea integrității datelor.
Caracteristici:
- Prevenirea amenințărilor interne: Detectează și previne acțiunile utilizatorului care pot indica amenințări interne la adresa datelor.
- Optimizarea proceselor de afaceri: Utilizează analiza comportamentală bazată pe date pentru a redefini procesele operaționale.
- Productivitatea forței de muncă: Monitorizează productivitatea, securitatea și comportamentele de conformitate ale forței de muncă.
- Managementul de conformitate: Ajută la gestionarea conformității cu o soluție unică, scalabilă, potrivită pentru întreprinderile mici, întreprinderile și agențiile guvernamentale.
- Criminalistica incidentelor: Oferă dovezi pentru a îmbogăți răspunsul la incident, investigațiile și informațiile despre amenințări.
- Prevenirea pierderilor de date: Monitorizează și protejează împotriva potențialei pierderi de date sensibile.
- Monitorizarea angajaților: Oferă capabilități de monitorizare a performanței și activităților angajaților.
- Analiza comportamentală: Analizează datele detaliate despre comportamentul aplicațiilor clienților pentru informații.
- Setări de monitorizare personalizabile: Permite personalizarea setărilor de monitorizare pentru a se potrivi cu anumite cazuri de utilizare sau pentru a implementa reguli predefinite.
- Statistici tablou de bord: Oferă vizibilitate și informații utile asupra activităților forței de muncă printr-un tablou de bord cuprinzător.
2) Owasp
Proiectul Open Web Application Security (OWASP) este o organizație mondială non-profit axată pe îmbunătățirea securității software-ului. Proiectul are mai multe instrumente pentru a testa diverse medii software și protocoale. Instrumentele emblematice ale proiectului includ
- Proxy Zed Attack (ZAP – un instrument integrat de testare a penetrației)
- Verificarea dependenței OWASP (scanează pentru dependențe de proiect și verifică vulnerabilitățile cunoscute)
- Proiectul OWASP Web Testing Environment (colecție de instrumente de securitate și documentație)
3) WireShark
Wireshark este un instrument de analiză a rețelei cunoscut anterior ca Ethereal. Captează pachetele în timp real și le afișează în format care poate fi citit de om. Practic, este un analizor de pachete de rețea - care oferă detalii minuscule despre protocoalele de rețea, decriptare, informații despre pachete etc. Este o sursă deschisă și poate fi folosită pe Linux, Windows, OS X, Solaris, NetBSD, FreeBSD și multe alte sisteme. Informațiile care sunt preluate prin intermediul acestui instrument pot fi vizualizate printr-o GUI sau prin utilitarul TShark în modul TTY.
4) W3af
w3af este un cadru de audit și atac pentru aplicații web. Are trei tipuri de pluginuri; descoperire, audit și atac care comunică între ele pentru orice vulnerabilități de pe site, de exemplu, un plugin de descoperire în w3af caută adrese URL diferite pentru a testa vulnerabilități și le trimite către pluginul de audit care apoi utilizează aceste URL-uri pentru a căuta vulnerabilități.
Mituri și fapte ale testării de securitate
Să vorbim despre un subiect interesant despre Miturile și faptele testării de securitate:
mit #1 Nu avem nevoie de o politică de securitate deoarece avem o afacere mică
Realitate: Toată lumea și fiecare companie au nevoie de o politică de securitate
mit #2 Nu există nicio rentabilitate a investiției în testele de securitate
Realitate: Testarea de securitate poate evidenția domenii de îmbunătățire care pot îmbunătăți eficiența și pot reduce timpul de nefuncționare, permițând un debit maxim.
mit #3: Singura modalitate de a se asigura este deconectarea acestuia.
Realitate: Singura și cea mai bună modalitate de a securiza o organizație este să găsiți „Securitate perfectă”. Securitatea perfectă poate fi obținută prin efectuarea unei evaluări a posturii și compararea cu justificările comerciale, legale și din industrie.
mit #4: Internetul nu este sigur. Voi cumpăra software sau hardware pentru a proteja sistemul și a salva afacerea.
Realitate: Una dintre cele mai mari probleme este achiziționarea de software și hardware pentru securitate. În schimb, organizația ar trebui să înțeleagă mai întâi securitatea și apoi să o aplice.
Concluzie
Testarea de securitate este cea mai importantă testare pentru o aplicație și verifică dacă datele confidențiale rămân confidențiale. În acest tip de testare, testerul joacă rolul atacatorului și joacă în jurul sistemului pentru a găsi erori legate de securitate. Testarea de securitate este foarte importantă în ingineria software pentru a proteja datele prin toate mijloacele.
