Ce este testarea de securitate? Exemplu

prin: Thomas Hamilton Thomas Hamilton
Hours Actualizat

Ce este testarea de securitate?

Testarea securitฤƒศ›ii este un tip de testare software care descoperฤƒ vulnerabilitฤƒศ›i, ameninศ›ฤƒri, riscuri รฎntr-o aplicaศ›ie software ศ™i previne atacurile rฤƒu intenศ›ionate din partea intruศ™ilor. Scopul Testelor de Securitate este de a identifica toate lacunele ศ™i punctele slabe posibile ale sistemului software care ar putea duce la o pierdere de informaศ›ii, venituri, reputaศ›ie din partea angajaศ›ilor sau a persoanelor din afara Organizaศ›iei.

Testarea securitฤƒศ›ii

De ce este importantฤƒ testarea de securitate?

Scopul principal al Testarea securitฤƒศ›ii este de a identifica ameninศ›ฤƒrile din sistem ศ™i de a mฤƒsura vulnerabilitฤƒศ›ile potenศ›iale ale acestuia, astfel รฎncรขt ameninศ›ฤƒrile sฤƒ poatฤƒ fi รฎntรขlnite ศ™i sistemul sฤƒ nu รฎnceteze sฤƒ funcศ›ioneze sau sฤƒ nu poatฤƒ fi exploatat. De asemenea, ajutฤƒ la detectarea tuturor riscurilor de securitate posibile รฎn sistem ศ™i ajutฤƒ dezvoltatorii sฤƒ rezolve problemele prin codificare.

Tipuri de testare de securitate รฎn testarea software-ului

Existฤƒ ศ™apte tipuri principale de testare de securitate conform manualului de metodologie de testare a securitฤƒศ›ii cu sursฤƒ deschisฤƒ. Ele sunt explicate dupฤƒ cum urmeazฤƒ:

Tipuri de testare de securitate รฎn testarea software-ului

  • Vulnerabilitatea scanฤƒrii: Acest lucru se face printr-un software automat pentru a scana un sistem รฎmpotriva semnฤƒturilor de vulnerabilitate cunoscute.
  • Scanare de securitate: Aceasta implicฤƒ identificarea punctelor slabe ale reศ›elei ศ™i ale sistemului, iar ulterior oferฤƒ soluศ›ii pentru reducerea acestor riscuri. Aceastฤƒ scanare poate fi efectuatฤƒ atรขt pentru scanarea manualฤƒ, cรขt ศ™i pentru cea automatฤƒ.
  • Testarea penetrฤƒrii: Acest tip de testare simuleazฤƒ un atac din partea unui hacker rฤƒu intenศ›ionat. Aceastฤƒ testare implicฤƒ analiza unui anumit sistem pentru a verifica eventualele vulnerabilitฤƒศ›i la o tentativฤƒ de hacking extern.
  • Evaluare a riscurilor: Aceastฤƒ testare implicฤƒ analiza riscurilor de securitate observate รฎn organizaศ›ie. Riscurile sunt clasificate ca scฤƒzute, medii ศ™i ridicate. Aceastฤƒ testare recomandฤƒ controale ศ™i mฤƒsuri pentru a reduce riscul.
  • Audit de securitate: Aceasta este o inspecศ›ie internฤƒ a Aplicaศ›iilor ศ™i Operasisteme de tingere pentru defecte de securitate. Un audit se poate face ศ™i prin inspecศ›ia linie cu linie a codului
  • Hacking etic: Este piratarea sistemelor software de organizare. Spre deosebire de hackerii rฤƒu intenศ›ionaศ›i, care furฤƒ pentru propriile lor cรขศ™tiguri, intenศ›ia este de a dezvฤƒlui defecศ›iunile de securitate ale sistemului.
  • Evaluarea posturii: Aceasta combinฤƒ scanarea de securitate, Etica hacking ศ™i Evaluฤƒri de risc pentru a arฤƒta o poziศ›ie generalฤƒ de securitate a unei organizaศ›ii.

Cum se face testarea de securitate

Este รฎntotdeauna de acord, cฤƒ costul va fi mai mare dacฤƒ amรขnฤƒm testare de securitate dupฤƒ faza de implementare a software-ului sau dupฤƒ implementare. Deci, este necesar sฤƒ se implice testarea de securitate รฎn ciclul de viaศ›ฤƒ SDLC รฎn fazele anterioare.

Sฤƒ analizฤƒm procesele de securitate corespunzฤƒtoare care trebuie adoptate pentru fiecare fazฤƒ รฎn SDLC

Testarea securitฤƒศ›ii

Fazele SDLC Procese de securitate
Cerinลฃe Analiza de securitate pentru cerinศ›e ศ™i verificarea cazurilor de abuz/utilizare greศ™itฤƒ
Design Analiza riscurilor de securitate pentru proiectare. Dezvoltarea Planul de testare inclusiv teste de securitate
Codare ศ™i testare unitarฤƒ Testare ศ™i securitate staticฤƒ ศ™i dinamicฤƒ Alb Box Testarea
Testare de integrare Negru Box Testarea
Testarea sistemului Negru Box Testare ศ™i scanare a vulnerabilitฤƒศ›ilor
Punerea รฎn aplicare Testarea penetrฤƒrii, Scanarea vulnerabilitฤƒศ›ilor
Asistenศ›ฤƒ Analiza impactului Patch-urilor

Planul de testare ar trebui sฤƒ includฤƒ

  • Cazuri de testare sau scenarii legate de securitate
  • Date de testare legate de testarea de securitate
  • Instrumente de testare necesare pentru testarea de securitate
  • Analiza rezultatelor diferitelor teste din diferite instrumente de securitate

Exemple de scenarii de testare pentru testarea securitฤƒศ›ii

Exemple de scenarii de testare pentru a vฤƒ oferi o privire asupra cazurilor de testare de securitate โ€“

  • O parolฤƒ ar trebui sฤƒ fie รฎn format criptat
  • Aplicaศ›ia sau sistemul nu ar trebui sฤƒ permitฤƒ utilizatori invalidi
  • Verificaศ›i cookie-urile ศ™i timpul de sesiune pentru aplicare
  • Pentru site-urile financiare, butonul รฎnapoi รฎn browser nu ar trebui sฤƒ funcศ›ioneze.

Metodologii/ Abordare/Tehnici de testare de securitate

รŽn testarea de securitate, sunt urmate diferite metodologii ศ™i sunt dupฤƒ cum urmeazฤƒ:

  • Tigru Box: Acest hacking se face de obicei pe un laptop care are o colecศ›ie de sisteme de operare ศ™i instrumente de hacking. Aceastฤƒ testare รฎi ajutฤƒ pe testerii de penetrare ศ™i pe cei de securitate sฤƒ efectueze evaluarea vulnerabilitฤƒศ›ilor ศ™i atacuri.
  • Negru Box: Testerul este autorizat sฤƒ testeze totul despre topologia reศ›elei ศ™i tehnologie.
  • Gri Box: Informaศ›ii parศ›iale sunt oferite testerului despre sistem ศ™i este un hibrid de modele de cutie albฤƒ ศ™i neagrฤƒ.

Roluri de testare de securitate

  • Hackeri โ€“ Accesaศ›i sistemul de computer sau reศ›eaua fฤƒrฤƒ autorizaศ›ie
  • Crackeri โ€“ Intrฤƒ รฎn sisteme pentru a fura sau distruge date
  • Hacker etic โ€“ Efectueazฤƒ majoritatea activitฤƒศ›ilor de spargere, dar cu permisiunea proprietarului
  • Script Kiddies sau packet monkeys โ€“ Hackeri neexperimentaศ›i cu abilitฤƒศ›i de limbaj de programare

Instrumente de testare a securitฤƒศ›ii

1) Teramind

Teramind oferฤƒ o suitฤƒ cuprinzฤƒtoare pentru prevenirea ameninศ›ฤƒrilor interne ศ™i monitorizarea angajaศ›ilor. รŽmbunฤƒtฤƒศ›eศ™te securitatea prin analiza comportamentului ศ™i prevenirea pierderii de date, asigurรขnd conformitatea ศ™i optimizรขnd procesele de afaceri. Platforma sa personalizabilฤƒ se potriveศ™te diverselor nevoi organizaศ›ionale, oferind informaศ›ii utile care se concentreazฤƒ pe creศ™terea productivitฤƒศ›ii ศ™i pe protejarea integritฤƒศ›ii datelor.

Teramind

Caracteristici:

  • Prevenirea ameninศ›ฤƒrilor interne: Detecteazฤƒ ศ™i previne acศ›iunile utilizatorului care pot indica ameninศ›ฤƒri interne la adresa datelor.
  • Optimizarea proceselor de afaceri: Utilizeazฤƒ analiza comportamentalฤƒ bazatฤƒ pe date pentru a redefini procesele operaศ›ionale.
  • Productivitatea forศ›ei de muncฤƒ: Monitorizeazฤƒ productivitatea, securitatea ศ™i comportamentele de conformitate ale forศ›ei de muncฤƒ.
  • Managementul de conformitate: Ajutฤƒ la gestionarea conformitฤƒศ›ii cu o soluศ›ie unicฤƒ, scalabilฤƒ, potrivitฤƒ pentru รฎntreprinderile mici, รฎntreprinderile ศ™i agenศ›iile guvernamentale.
  • Criminalistica incidentelor: Oferฤƒ dovezi pentru a รฎmbogฤƒศ›i rฤƒspunsul la incident, investigaศ›iile ศ™i informaศ›iile despre ameninศ›ฤƒri.
  • Prevenirea pierderilor de date: Monitorizeazฤƒ ศ™i protejeazฤƒ รฎmpotriva potenศ›ialei pierderi de date sensibile.
  • Monitorizarea angajaศ›ilor: Oferฤƒ capabilitฤƒศ›i de monitorizare a performanศ›ei ศ™i activitฤƒศ›ilor angajaศ›ilor.
  • Analiza comportamentalฤƒ: Analizeazฤƒ datele detaliate despre comportamentul aplicaศ›iilor clienศ›ilor pentru informaศ›ii.
  • Setฤƒri de monitorizare personalizabile: Permite personalizarea setฤƒrilor de monitorizare pentru a se potrivi cu anumite cazuri de utilizare sau pentru a implementa reguli predefinite.
  • Statistici tablou de bord: Oferฤƒ vizibilitate ศ™i informaศ›ii utile asupra activitฤƒศ›ilor forศ›ei de muncฤƒ printr-un tablou de bord cuprinzฤƒtor.

Vizita Teramind >>

2) Owasp

Proiectul Open Web Application Security (OWASP) este o organizaศ›ie mondialฤƒ non-profit axatฤƒ pe รฎmbunฤƒtฤƒศ›irea securitฤƒศ›ii software-ului. Proiectul are mai multe instrumente pentru a testa diverse medii software ศ™i protocoale. Instrumentele emblematice ale proiectului includ

  1. Proxy Zed Attack (ZAP โ€“ un instrument integrat de testare a penetraศ›iei)
  2. Verificarea dependenศ›ei OWASP (scaneazฤƒ pentru dependenศ›e de proiect ศ™i verificฤƒ vulnerabilitฤƒศ›ile cunoscute)
  3. Proiectul OWASP Web Testing Environment (colecศ›ie de instrumente de securitate ศ™i documentaศ›ie)

3) WireShark

Wireshark este un instrument de analizฤƒ a reศ›elei cunoscut anterior ca Ethereal. Capteazฤƒ pachetele รฎn timp real ศ™i le afiศ™eazฤƒ รฎn format care poate fi citit de om. Practic, este un analizor de pachete de reศ›ea - care oferฤƒ detalii minuscule despre protocoalele de reศ›ea, decriptare, informaศ›ii despre pachete etc. Este o sursฤƒ deschisฤƒ ศ™i poate fi folositฤƒ pe Linux, Windows, OS X, Solaris, NetBSD, FreeBSD ศ™i multe alte sisteme. Informaศ›iile care sunt preluate prin intermediul acestui instrument pot fi vizualizate printr-o GUI sau prin utilitarul TShark รฎn modul TTY.

4) W3af

w3af este un cadru de audit ศ™i atac pentru aplicaศ›ii web. Are trei tipuri de pluginuri; descoperire, audit ศ™i atac care comunicฤƒ รฎntre ele pentru orice vulnerabilitฤƒศ›i de pe site, de exemplu, un plugin de descoperire รฎn w3af cautฤƒ adrese URL diferite pentru a testa vulnerabilitฤƒศ›i ศ™i le trimite cฤƒtre pluginul de audit care apoi utilizeazฤƒ aceste URL-uri pentru a cฤƒuta vulnerabilitฤƒศ›i.

Mituri ศ™i fapte ale testฤƒrii de securitate

Sฤƒ vorbim despre un subiect interesant despre Miturile ศ™i faptele testฤƒrii de securitate:

mit #1 Nu avem nevoie de o politicฤƒ de securitate deoarece avem o afacere micฤƒ

Realitate: Toatฤƒ lumea ศ™i fiecare companie au nevoie de o politicฤƒ de securitate

mit #2 Nu existฤƒ nicio rentabilitate a investiศ›iei รฎn testele de securitate

Realitate: Testarea de securitate poate evidenศ›ia domenii de รฎmbunฤƒtฤƒศ›ire care pot รฎmbunฤƒtฤƒศ›i eficienศ›a ศ™i pot reduce timpul de nefuncศ›ionare, permiศ›รขnd un debit maxim.

mit #3: Singura modalitate de a se asigura este deconectarea acestuia.

Realitate: Singura ศ™i cea mai bunฤƒ modalitate de a securiza o organizaศ›ie este sฤƒ gฤƒsiศ›i โ€žSecuritate perfectฤƒโ€. Securitatea perfectฤƒ poate fi obศ›inutฤƒ prin efectuarea unei evaluฤƒri a posturii ศ™i compararea cu justificฤƒrile comerciale, legale ศ™i din industrie.

mit #4: Internetul nu este sigur. Voi cumpฤƒra software sau hardware pentru a proteja sistemul ศ™i a salva afacerea.

Realitate: Una dintre cele mai mari probleme este achiziศ›ionarea de software ศ™i hardware pentru securitate. รŽn schimb, organizaศ›ia ar trebui sฤƒ รฎnศ›eleagฤƒ mai รฎntรขi securitatea ศ™i apoi sฤƒ o aplice.

Concluzie

Testarea de securitate este cea mai importantฤƒ testare pentru o aplicaศ›ie ศ™i verificฤƒ dacฤƒ datele confidenศ›iale rฤƒmรขn confidenศ›iale. รŽn acest tip de testare, testerul joacฤƒ rolul atacatorului ศ™i joacฤƒ รฎn jurul sistemului pentru a gฤƒsi erori legate de securitate. Testarea de securitate este foarte importantฤƒ รฎn ingineria software pentru a proteja datele prin toate mijloacele.

Rezumaศ›i aceastฤƒ postare cu: