Mi a biztonsági tesztelés?
A BIZTONSÁGI TESZT egy olyan típusú szoftverteszt, amely feltárja a szoftveralkalmazások sebezhetőségeit, fenyegetéseit, kockázatait, és megakadályozza a behatolók rosszindulatú támadásait. A biztonsági tesztek célja a szoftverrendszer összes lehetséges hiányosságának és gyengeségének azonosítása, amelyek információ-, bevétel- és hírnévvesztést okozhatnak a Szervezet alkalmazottai vagy kívülállói keze alatt.
Miért fontos a biztonsági tesztelés?
A Biztonsági tesztelés fő célja a rendszerben lévő fenyegetések azonosítása és lehetséges sérülékenységeinek felmérése, így a fenyegetésekkel találkozni lehet, és a rendszer nem áll le, vagy nem lehet kihasználni. Ez segít a rendszer összes lehetséges biztonsági kockázatának felderítésében, és segít a fejlesztőknek a problémák kódolással történő kijavításában.
Ebben az oktatóanyagban megtanulja-
- Mi a biztonsági tesztelés?
- A biztonsági tesztek típusai
- Hogyan kell elvégezni a biztonsági tesztelést
- Példa tesztelési forgatókönyvekre a biztonsági teszteléshez
- A biztonsági tesztelés módszertanai / megközelítése / technikái
- Biztonsági tesztelési szerepkörök
- Biztonsági tesztelő eszköz
- A biztonsági teszt mítoszai és tényei
A biztonsági tesztek típusai:
A nyílt forráskódú biztonsági tesztelési módszertani kézikönyv szerint a biztonsági teszteknek hét fő típusa van. Ezeket a következőképpen magyarázzák:
- A biztonsági rés vizsgálata : Ezt automatizált szoftver segítségével végzik, hogy a rendszert az ismert sérülékenységi aláírások ellen vizsgálják.
- Biztonsági vizsgálat: Ez magában foglalja a hálózati és rendszerbeli gyengeségek azonosítását, és később megoldásokat kínál e kockázatok csökkentésére. Ez a szkennelés manuális és automatizált szkenneléshez egyaránt elvégezhető.
- Behatolásteszt : Ez a fajta teszt egy rosszindulatú hacker támadását szimulálja. Ez a teszt magában foglalja egy adott rendszer elemzését, hogy ellenőrizzék a külső hackelési kísérlet lehetséges sérülékenységeit.
- Kockázatértékelés: Ez a teszt magában foglalja a szervezetben megfigyelt biztonsági kockázatok elemzését. A kockázatokat alacsony, közepes és magas kategóriákba sorolják. Ez a teszt ellenőrzést és intézkedéseket javasol a kockázat csökkentésére.
- Biztonsági audit: Ez az alkalmazások és az operációs rendszerek belső ellenőrzése a biztonsági hibák ellen. Az ellenőrzés soronként is elvégezhető a kód ellenőrzése révén
- Etikai hackelés: Szervezeti szoftver rendszerek feltörését jelenti. A rosszindulatú hackerekkel ellentétben, akik saját hasznukból lopnak, a rendszer biztonsági hibáinak feltárása a cél.
- Testtartás-értékelés: Ez egyesíti a biztonsági szkennelést, az etikus feltörést és a kockázatértékeléseket, hogy megmutassa a szervezet általános biztonsági helyzetét.
Hogyan kell elvégezni a biztonsági tesztelést
Mindig egyetértés van abban, hogy a költségek magasabbak lesznek, ha elhalasztjuk a biztonsági tesztelést a szoftver bevezetési szakasza vagy a telepítés után. Tehát a korábbi fázisokban be kell vonni a biztonsági teszteket az SDLC életciklusába.
Vizsgáljuk meg az SDLC minden fázisának megfelelő biztonsági folyamatokat
| SDLC fázisok | Biztonsági folyamatok |
|---|---|
| Követelmények | A követelmények biztonsági elemzése és a visszaélések / visszaélések eseteinek ellenőrzése |
| Tervezés | Biztonsági kockázatok elemzése a tervezéshez. Vizsgálati terv kidolgozása, beleértve a biztonsági teszteket |
| Kódolás és egységvizsgálat | Statikus és dinamikus tesztelés és biztonsági fehér doboz tesztelés |
| Integrációs tesztelés | Fekete doboz tesztelése |
| Rendszer tesztelés | A fekete doboz tesztelése és a biztonsági rés vizsgálata |
| Végrehajtás | Behatolásvizsgálat, biztonsági rés beolvasása |
| Támogatás | A javítások hatáselemzése |
A vizsgálati tervnek tartalmaznia kell
- A biztonsággal kapcsolatos tesztesetek vagy forgatókönyvek
- A biztonsági teszteléshez kapcsolódó tesztadatok
- A biztonsági teszteléshez szükséges teszteszközök
- Különböző biztonsági eszközök tesztkimeneteinek elemzése
Példa tesztelési forgatókönyvekre a biztonsági teszteléshez:
Minta teszt forgatókönyvek, amelyek bepillantást engednek a biztonsági tesztesetekbe -
- A jelszónak titkosított formátumban kell lennie
- Az alkalmazás vagy a rendszer nem engedheti meg az érvénytelen felhasználókat
- Ellenőrizze a sütiket és az alkalmazás munkamenetének idejét
- Pénzügyi webhelyek esetén a Böngésző Vissza gombjának nem szabad működnie.
A biztonsági tesztelés módszertanai / megközelítése / technikái
A biztonsági tesztelés során különböző módszereket követnek, amelyek a következők:
- Tiger Box : Ez a hackelés általában laptopon történik, amely operációs rendszerek és hacker eszközök gyűjteményével rendelkezik. Ez a tesztelés segíti a penetrációs tesztelőket és a biztonsági tesztelőket a sebezhetőség felmérésében és a támadásokban.
- Black Box : A tesztelő felhatalmazást kap arra, hogy teszteljen mindent a hálózati topológiával és a technológiával kapcsolatban.
- Szürke doboz : Részleges információkat kap a tesztelő a rendszerről, és ez a fehér és a fekete doboz modelljeinek hibridje.
Biztonsági tesztelési szerepkörök
- Hackerek - Engedély nélkül hozzáférhetnek a számítógépes rendszerhez vagy a hálózathoz
- Crackerek - Adatok ellopása vagy megsemmisítése érdekében törjünk be a rendszerekbe
- Ethical Hacker - A legtöbb töréstevékenységet végzi, de a tulajdonos engedélyével
- Script Kiddies vagy csomagmajmok - Tapasztalatlan hackerek programozási nyelvtudással
Biztonsági tesztelő eszköz
1) Betolakodó
Az Intruder egy vállalati szintű sebezhetőség-leolvasó, amely könnyen használható. Több mint 10 000 magas színvonalú biztonsági ellenőrzést végez az informatikai infrastruktúrában, amelyek többek között a konfigurációs gyengeségeket, az alkalmazás gyengeségeit (például SQL injekció és helyek közötti parancsfájlok) és hiányzó javításokat tartalmaznak. Intelligensen rangsorolt eredményeket nyújt, valamint proaktív vizsgálatokat végez a legújabb fenyegetésekkel kapcsolatban, az Intruder segít időt takarítani meg, és minden méretű vállalkozást megóv a hackerektől.
Jellemzők:
- AWS, Azure és Google Cloud csatlakozók
- Kerület-specifikus eredmények a külső támadási felület csökkentése érdekében
- Kiváló minőségű jelentéskészítés
- Laza, Microsoft Teams, Jira, Zapier integrációk
- API integráció a CI / CD csővezetékével
2) Owasp
Az Open Web Application Security Project (OWASP) egy világszerte működő nonprofit szervezet, amely a szoftverek biztonságának javítására összpontosít. A projektnek számos eszköze van a különféle szoftveres környezetek és protokollok tesztelésére. A projekt kiemelt eszközei a következők:
- Zed Attack Proxy (ZAP - integrált penetrációs tesztelő eszköz)
- OWASP-függőség-ellenőrzés (megvizsgálja a projekt-függőségeket és ellenőrzi az ismert sérülékenységeket)
- OWASP Web Testing Environment Project (biztonsági eszközök és dokumentációk gyűjteménye)
3) WireShark
A Wireshark egy hálózatelemző eszköz, amelyet korábban Ethereal néven ismertek. Valós időben rögzíti a csomagokat, és ember által olvasható formátumban jeleníti meg őket. Alapvetően ez egy hálózati csomagelemző - amely aprólékos részleteket ad a hálózati protokollokról, a visszafejtésről, a csomaginformációkról stb. Nyílt forráskódú, Linuxon, Windowson, OS X-en, Solarison, NetBSD-n, FreeBSD-n és sok máson használható. egyéb rendszerek. Az ezen eszközön keresztül megszerzett információkat egy GUI vagy a TTY módú TShark segédprogram segítségével lehet megtekinteni.
4) W3af
A w3af egy webalkalmazás támadás és audit keretrendszer. Háromféle plugin van; olyan felfedezés, audit és támadás, amely egymással kommunikál a webhely bármely sérülékenysége miatt, például a w3af-ben található felfedező plugin különböző URL-eket keres a sérülékenységek tesztelésére, és továbbítja azokat az audit pluginhez, amely ezeket az URL-eket használja a sebezhetőségek keresésére.
A biztonsági teszt mítoszai és tényei:
Beszéljünk egy érdekes témáról a mítoszokról és a biztonsági tesztek tényeiről:
1. mítosz Nincs szükségünk biztonsági irányelvekre, mivel kisvállalkozásunk van
Tény: Mindenkinek és minden vállalatnak szüksége van egy biztonsági politikára
2. mítosz Nincs megtérülés a biztonsági tesztek terén
Tény: A biztonsági tesztek rámutathatnak olyan fejlesztendő területekre, amelyek javíthatják a hatékonyságot és csökkenthetik az állásidőket, lehetővé téve a maximális átvitelt.
3. mítosz : A biztosítás egyetlen módja az, ha kihúzza a konnektorból.
Tény: A szervezet biztonságának egyetlen és legjobb módja a "Tökéletes biztonság" megtalálása. Tökéletes biztonság érhető el testtartás-felméréssel, és összehasonlítható az üzleti, jogi és ipari indokokkal.
4. mítosz : Az internet nem biztonságos. Szoftvert vagy hardvert vásárolok a rendszer védelme és az üzlet megmentése érdekében.
Tény: Az egyik legnagyobb probléma a szoftverek és hardverek megvásárlása a biztonság kedvéért. Ehelyett a szervezetnek először meg kell értenie a biztonságot, majd alkalmaznia kell.
Következtetés:
A biztonsági tesztelés a legfontosabb teszt egy alkalmazás számára, és ellenőrzi, hogy a bizalmas adatok bizalmasak maradnak-e. Az ilyen típusú tesztelés során a tesztelő szerepet játszik a támadóban, és a rendszer körül játszik, hogy megtalálja a biztonsággal kapcsolatos hibákat. A biztonsági tesztelés nagyon fontos a szoftverfejlesztésben, hogy az adatokat mindenképpen megvédje.