Vad är säkerhetstestning? Exempel
Vad är säkerhetstestning?
Säkerhetstestning är en typ av mjukvarutestning som avslöjar sårbarheter, hot, risker i ett program och förhindrar skadliga attacker från inkräktare. Syftet med säkerhetstester är att identifiera alla möjliga kryphål och svagheter i mjukvarusystemet som kan resultera i förlust av information, intäkter, rykte i händerna på de anställda eller utomstående i organisationen.
Varför är säkerhetstestning viktigt?
Huvudmålet för Säkerhetstestning är att identifiera hoten i systemet och mäta dess potentiella sårbarheter, så att hoten kan mötas och systemet inte slutar fungera eller inte kan utnyttjas. Det hjälper också till att upptäcka alla möjliga säkerhetsrisker i systemet och hjälper utvecklare att åtgärda problemen genom kodning.
Typer av säkerhetstestning vid mjukvarutestning
Det finns sju huvudtyper av säkerhetstester enligt metodhandboken för Open Source Security Testing. De förklaras enligt följande:
- Säkerhetsskanning: Detta görs genom automatiserad programvara för att skanna ett system mot kända sårbarhetssignaturer.
- Säkerhetsskanning: Det handlar om att identifiera nätverks- och systemsvagheter och tillhandahåller senare lösningar för att minska dessa risker. Denna skanning kan utföras för både manuell och automatisk skanning.
- Penetrationstest: Den här typen av testning simulerar en attack från en illvillig hackare. Denna testning involverar analys av ett visst system för att kontrollera potentiella sårbarheter för ett externt hackningsförsök.
- Riskbedömning: Denna testning innefattar analys av säkerhetsrisker som observerats i organisationen. Riskerna klassificeras som Låg, Medium och Hög. Denna testning rekommenderar kontroller och åtgärder för att minska risken.
- Säkerhetsgranskning: Detta är en intern inspektion av applikationer och Operatingssystem för säkerhetsbrister. En revision kan också göras via rad för rad kontroll av kod
- Etiskt hackande: Det hackar en organisations mjukvarusystem. Till skillnad från illvilliga hackare, som stjäl för sin egen vinning, är avsikten att avslöja säkerhetsbrister i systemet.
- Bedömning av hållning: Detta kombinerar säkerhetsskanning, Etiskt hackande och riskbedömningar för att visa en övergripande säkerhetsställning för en organisation.
Hur man gör säkerhetstestning
Det är alltid överens om att kostnaden blir mer om vi skjuter upp säkerhetstest efter programimplementeringsfasen eller efter implementeringen. Så det är nödvändigt att involvera säkerhetstestning i SDLC:s livscykel i de tidigare faserna.
Låt oss titta på motsvarande säkerhetsprocesser som ska användas för varje fas i SDLC
SDLC faser | Säkerhetsprocesser |
---|---|
Krav | Säkerhetsanalys för krav och kontrollera missbruk/missbruksfall |
Designa | Säkerhetsriskanalys för design. Utveckling av Testplan inklusive säkerhetstester |
Kodning och enhetstestning | Statisk och dynamisk testning och säkerhet White Box Testning |
Integrationstestning | Svart Box Testning |
Kravhantering | Svart Box Testning och sårbarhetsskanning |
Genomförande | Penetrationstestning, Sårbarhetsskanning |
Support | Konsekvensanalys av patchar |
Testplanen bör innehålla
- Säkerhetsrelaterade testfall eller scenarier
- Testdata relaterade till säkerhetstester
- Testverktyg som krävs för säkerhetstestning
- Analys av olika testresultat från olika säkerhetsverktyg
Exempel på testscenarier för säkerhetstestning
Exempel på testscenarier för att ge dig en glimt av säkerhetstestfall –
- Ett lösenord bör vara i krypterat format
- Applikationen eller systemet bör inte tillåta ogiltiga användare
- Kontrollera cookies och sessionstid för ansökan
- För finansiella webbplatser bör inte webbläsarens bakåtknapp fungera.
Metoder/ tillvägagångssätt / Tekniker för säkerhetstestning
Vid säkerhetstestning följs olika metoder, och de är som följer:
- Tiger Box: Denna hackning görs vanligtvis på en bärbar dator som har en samling operativsystem och hackverktyg. Denna testning hjälper penetrationstestare och säkerhetstestare att utföra sårbarhetsbedömningar och attacker.
- Svart Box: Testaren är auktoriserad att testa allt om nätverkstopologin och tekniken.
- Grey Box: Delvis information ges till testaren om systemet, och det är en hybrid av vita och svarta lådor.
Roller för säkerhetstestning
- Hackare – Få tillgång till datorsystem eller nätverk utan tillstånd
- Crackers – Ta dig in i systemen för att stjäla eller förstöra data
- Ethical Hacker – Utför de flesta intrångsaktiviteter men med tillstånd från ägaren
- Script Kiddies eller paketapor – oerfarna hackare med färdigheter i programmeringsspråk
Säkerhetstestverktyg
1) Teramind
Teramind levererar en omfattande svit för förebyggande av insiderhot och övervakning av anställda. Det förbättrar säkerheten genom beteendeanalys och förebyggande av dataförlust, säkerställer efterlevnad och optimerar affärsprocesser. Dess anpassningsbara plattform passar olika organisationsbehov och ger praktiska insikter som fokuserar på att öka produktiviteten och skydda dataintegriteten.
Funktioner:
- Förebyggande av insiderhot: Upptäcker och förhindrar användaråtgärder som kan indikera insiderhot mot data.
- Affärsprocessoptimering: Använder datadriven beteendeanalys för att omdefiniera operativa processer.
- Arbetskraftens produktivitet: Övervakar arbetskraftens produktivitet, säkerhet och efterlevnadsbeteende.
- Efterlevnadskontroll: Hjälper till att hantera efterlevnad med en enda skalbar lösning som är lämplig för småföretag, företag och statliga myndigheter.
- Incident Forensics: Tillhandahåller bevis för att berika incidentrespons, utredningar och hotintelligens.
- Förebyggande av dataförlust: Övervakar och skyddar mot potentiell förlust av känslig data.
- Personalövervakning: Erbjuder möjligheter att övervaka anställdas prestationer och aktiviteter.
- Beteendeanalys: Analyserar detaljerad kundappbeteendedata för insikter.
- Anpassningsbara övervakningsinställningar: Tillåter anpassning av övervakningsinställningar för att passa specifika användningsfall eller för att implementera fördefinierade regler.
- Dashboard Insights: Ger synlighet och handlingsbara insikter i personalens aktiviteter genom en omfattande instrumentpanel.
2) Owasp
Open Web Application Security Project (OWASP) är en världsomspännande ideell organisation inriktad på att förbättra programvarans säkerhet. Projektet har flera verktyg för att penntesta olika mjukvarumiljöer och protokoll. Projektets flaggskeppsverktyg inkluderar
- Zed Attack Proxy (ZAP – ett integrerat penetrationstestverktyg)
- OWASP beroendekontroll (den söker efter projektberoenden och kontrollerar mot kända sårbarheter)
- OWASP webbtestmiljöprojekt (samling av säkerhetsverktyg och dokumentation)
3) WireShark
Wireshark är ett nätverksanalysverktyg tidigare känt som Ethereal. Den fångar paket i realtid och visar dem i läsbart format. I grund och botten är det en nätverkspaketanalysator - som ger de minsta detaljerna om dina nätverksprotokoll, dekryptering, paketinformation, etc. Det är en öppen källkod och kan användas på Linux, Windows, OS X, Solaris, NetBSD, FreeBSD och många andra system. Informationen som hämtas via det här verktyget kan ses via ett GUI eller TTY-läget TShark Utility.
4) W3af
w3af är en webbapplikation attack- och revisionsramverk. Den har tre typer av plugins; upptäckt, granskning och attack som kommunicerar med varandra för eventuella sårbarheter på webbplatsen, till exempel letar en upptäcktsplugin i w3af efter olika webbadresser för att testa för sårbarheter och vidarebefordrar den till granskningspluginen som sedan använder dessa URL:er för att söka efter sårbarheter.
Myter och fakta om säkerhetstestning
Låt oss prata om ett intressant ämne om myter och fakta om säkerhetstestning:
Myt #1 Vi behöver ingen säkerhetspolicy eftersom vi har ett litet företag
Fakta: Alla och alla företag behöver en säkerhetspolicy
Myt #2 Det finns ingen avkastning på investeringen i säkerhetstestning
Fakta: Säkerhetstestning kan peka ut förbättringsområden som kan förbättra effektiviteten och minska stilleståndstiden, vilket möjliggör maximal genomströmning.
Myt #3: Det enda sättet att säkra är att koppla ur den.
Fakta: Det enda och bästa sättet att säkra en organisation är att hitta "Perfekt säkerhet". Perfekt säkerhet kan uppnås genom att utföra en hållningsbedömning och jämföra med affärsmässiga, juridiska och branschmotiveringar.
Myt #4: Internet är inte säkert. Jag kommer att köpa mjukvara eller hårdvara för att skydda systemet och rädda verksamheten.
Fakta: Ett av de största problemen är att köpa mjukvara och hårdvara för säkerheten. Istället bör organisationen först förstå säkerhet och sedan tillämpa den.
Slutsats
Säkerhetstestning är det viktigaste testet för en applikation och kontrollerar om konfidentiell data förblir konfidentiell. I denna typ av testning spelar testaren en roll som angriparen och spelar runt systemet för att hitta säkerhetsrelaterade buggar. Säkerhetstestning är mycket viktigt inom Software Engineering för att skydda data på alla sätt.