Kas ir drošības pārbaude? Veidi ar piemēru

Satura rādītājs

Kas ir drošības pārbaude?
Kāpēc drošības pārbaude ir svarīga?
Drošības testēšanas veidi:
Kā veikt drošības testēšanu
Drošības testēšanas testa scenāriju piemēri:
Drošības testēšanas metodika / pieeja / paņēmieni
Drošības testēšanas lomas
Drošības testēšanas rīks
Mīti un fakti par drošības testēšanu:

Kas ir drošības pārbaude?

DROŠĪBAS PĀRBAUDE ir programmatūras testēšanas veids, kas atklāj programmatūras lietojumprogrammas ievainojamības, draudus, riskus un novērš iebrucēju ļaunprātīgus uzbrukumus. Drošības testu mērķis ir identificēt visas iespējamās programmatūras sistēmas nepilnības un trūkumus, kuru dēļ Organizācijas darbinieki vai nepiederīgie var zaudēt informāciju, ieņēmumus un reputāciju.

Kāpēc drošības pārbaude ir svarīga?

Drošības testēšanas galvenais mērķis ir identificēt sistēmā esošos draudus un izmērīt tās iespējamās ievainojamības, tāpēc ar draudiem var saskarties, un sistēma nepārtrauc darbību vai to nevar izmantot. Tas arī palīdz atklāt visus iespējamos drošības riskus sistēmā un palīdz izstrādātājiem novērst problēmas, izmantojot kodēšanu.

Šajā apmācībā jūs uzzināsiet

Kas ir drošības pārbaude?
Drošības testēšanas veidi
Kā veikt drošības testēšanu
Drošības testēšanas testa scenāriju piemērs
Drošības testēšanas metodika / pieeja / paņēmieni
Drošības testēšanas lomas
Drošības testēšanas rīks
Mīti un fakti par drošības pārbaudi

Drošības testēšanas veidi:

Atvērtā pirmkoda drošības testēšanas metodikas rokasgrāmatā ir septiņi galvenie drošības testēšanas veidi. Tos izskaidro šādi:

Neaizsargātības skenēšana : to veic, izmantojot automatizētu programmatūru, lai skenētu sistēmu pret zināmiem ievainojamības parakstiem.
Drošības skenēšana: tā ietver tīkla un sistēmas trūkumu identificēšanu un vēlāk piedāvā risinājumus šo risku mazināšanai. Šo skenēšanu var veikt gan manuālai, gan automatizētai skenēšanai.
Iespiešanās pārbaude : šāda veida pārbaudes simulē ļaunprātīga hakera uzbrukumu. Šī pārbaude ietver konkrētas sistēmas analīzi, lai pārbaudītu iespējamās ārējā uzlaušanas mēģinājuma ievainojamības.
Riska novērtējums: Šī pārbaude ietver organizācijā novēroto drošības risku analīzi. Riski tiek klasificēti kā zemi, vidēji un augsti. Šajā testēšanā tiek ieteiktas kontroles un pasākumi riska mazināšanai.
Drošības audits: Šī ir lietojumprogrammu un operētājsistēmu iekšēja pārbaude, vai nav drošības trūkumu. Revīziju var veikt arī ar koda līnijas pārbaudi
Ētiskā uzlaušana: tā ir organizācijas programmatūras sistēmu uzlaušana. Atšķirībā no ļaunprātīgiem hakeriem, kuri zog, lai gūtu labumu, nolūks ir atklāt drošības trūkumus sistēmā.
Stājas novērtējums: Tas apvieno drošības skenēšanu, ētisko uzlaušanu un riska novērtēšanu, lai parādītu organizācijas vispārējo drošības pozu.

Kā veikt drošības testēšanu

Vienmēr tiek panākta vienošanās, ka izmaksas būs lielākas, ja atliksim drošības testēšanu pēc programmatūras ieviešanas fāzes vai pēc izvietošanas. Tātad iepriekšējos posmos ir nepieciešams iesaistīt drošības testēšanu SDLC dzīves ciklā.

Apskatīsim atbilstošos drošības procesus, kas jāpieņem katram SDLC posmam

SDLC fāzes	Drošības procesi
Prasības	Drošības analīze attiecībā uz prasībām un pārbaudiet ļaunprātīgas / nepareizas izmantošanas gadījumus
Dizains	Drošības risku analīze projektēšanai. Testu plāna izstrāde, ieskaitot drošības testus
Kodēšana un vienību pārbaude	Statiskā un dinamiskā testēšana un drošības baltās kastes testēšana
Integrācijas testēšana	Melnās kastes pārbaude
Sistēmas testēšana	Melnās kastes pārbaude un ievainojamības skenēšana
Īstenošana	Iespiešanās pārbaude, ievainojamības skenēšana
Atbalsts	Plāksteru ietekmes analīze

Pārbaudes plānā jāiekļauj

Ar drošību saistīti pārbaudes gadījumi vai scenāriji
Testa dati, kas saistīti ar drošības pārbaudi
Drošības testēšanai nepieciešamie pārbaudes rīki
Dažādu testēšanas rezultātu analīze no dažādiem drošības rīkiem

Drošības testēšanas testa scenāriju piemēri:

Pārbaudes scenāriju paraugi, lai sniegtu ieskatu drošības pārbaudes gadījumos -

Parolei jābūt šifrētā formātā
Lietojumprogrammai vai sistēmai nevajadzētu atļaut nederīgus lietotājus
Pārbaudiet lietojumprogrammas sīkfailus un sesijas laiku
Finanšu vietnēm pogai Pārlūkprogrammas atpakaļ nevajadzētu darboties.

Drošības testēšanas metodika / pieeja / paņēmieni

Drošības testēšanā tiek izmantotas dažādas metodikas, un tās ir šādas:

Tiger Box : Šī uzlaušana parasti tiek veikta klēpjdatorā, kurā ir OS un hakeru rīku kolekcija. Šī testēšana palīdz iespiešanās testētājiem un drošības testētājiem veikt ievainojamības novērtēšanu un uzbrukumus.
Melnā kaste : testētājs ir pilnvarots testēt visu, kas attiecas uz tīkla topoloģiju un tehnoloģiju.
Pelēkais lodziņš : daļēja informācija testētājam tiek sniegta par sistēmu, un tā ir balto un melno kastu modeļu hibrīds.

Drošības testēšanas lomas

Hakeri - piekļūstiet datorsistēmai vai tīklam bez atļaujas
Krekeri - iekļūstiet sistēmās, lai nozagtu vai iznīcinātu datus
Ētiskais hakeris - veic lielāko daļu pārkāpjošo darbību, bet ar īpašnieka atļauju
Script Kiddies vai pakešu pērtiķi - nepieredzējuši hakeri ar programmēšanas valodas prasmi

Drošības testēšanas rīks

1) iebrucējs

Iebrucējs ir uzņēmuma līmeņa ievainojamības skeneris, kuru ir viegli lietot. Tajā tiek veikta vairāk nekā 10 000 augstas kvalitātes drošības pārbaužu visā jūsu IT infrastruktūrā, kas ietver, bet neaprobežojas ar: konfigurācijas vājās vietas, lietojumprogrammu vājās vietas (piemēram, SQL injekcijas un starpvietņu skriptu izveidi) un trūkstošos ielāpus. Nodrošinot saprātīgi prioritizētus rezultātus, kā arī proaktīvu jaunāko draudu skenēšanu, Intruder palīdz ietaupīt laiku un pasargā jebkura lieluma uzņēmumus no hakeriem.

Iespējas:

AWS, Azure un Google Cloud savienotāji
Perimetra rezultāti, lai samazinātu ārējo uzbrukuma virsmu
Augstas kvalitātes pārskati
Slack, Microsoft Teams, Jira, Zapier integrācijas
API integrācija ar jūsu CI / CD cauruļvadu

2) Owasp

Atvērtā tīmekļa lietojumprogrammu drošības projekts (OWASP) ir pasaules mēroga bezpeļņas organizācija, kas koncentrējas uz programmatūras drošības uzlabošanu. Projektam ir vairāki rīki, lai pārbaudītu pildspalvu dažādās programmatūras vidēs un protokolos. Projekta pamatinstrumenti ietver

Zed Attack Proxy (ZAP - integrēts iespiešanās pārbaudes rīks)
OWASP atkarības pārbaude (skenē projekta atkarības un pārbauda zināmas ievainojamības)
OWASP tīmekļa testēšanas vides projekts (drošības rīku un dokumentācijas kolekcija)

3) WireShark

Wireshark ir tīkla analīzes rīks, kas iepriekš bija pazīstams kā Ethereal. Tas uztver pakešu reāllaikā un parāda tos cilvēkiem lasāmā formātā. Būtībā tas ir tīkla pakešu analizators, kas sniedz sīkāku informāciju par jūsu tīkla protokoliem, atšifrēšanu, pakešu informāciju utt. Tas ir atvērts avots un to var izmantot Linux, Windows, OS X, Solaris, NetBSD, FreeBSD un daudzos citas sistēmas. Informāciju, kas tiek iegūta, izmantojot šo rīku, var apskatīt, izmantojot GUI vai TTY režīma TShark Utility.

4) W3af

w3af ir tīmekļa lietojumprogrammu uzbrukumu un audita sistēma. Tam ir trīs veidu spraudņi; Atklāšana, audits un uzbrukumi, kas savstarpēji sazinās par visām vietnes ievainojamībām, piemēram, atklāšanas spraudnis w3af meklē dažādus vietrāžus URL, lai pārbaudītu ievainojamību, un pārsūta to audita spraudnim, kas pēc tam izmanto šos URL ievainojamību meklēšanai.

Mīti un fakti par drošības testēšanu:

Parunāsim par interesantu tēmu par drošības testu mītiem un faktiem:

Mīts Nr. 1 Mums nav vajadzīga drošības politika, jo mums ir mazs bizness

Fakts: Ikvienam un ikvienam uzņēmumam ir nepieciešama drošības politika

2. mīts . Drošības testēšanā nav atdeves no ieguldījumiem

Fakts: Drošības testēšana var norādīt uz uzlabojamām jomām, kas var uzlabot efektivitāti un samazināt dīkstāvi, nodrošinot maksimālu caurlaidspēju.

Mīts Nr. 3 : Vienīgais veids, kā to nostiprināt, ir to atvienot.

Fakts: Vienīgais un labākais veids, kā nodrošināt organizāciju, ir atrast "Perfect Security". Pilnīgu drošību var sasniegt, veicot stājas novērtēšanu un salīdzinot ar uzņēmējdarbības, juridiskajiem un nozares pamatojumiem.

4. mīts : Internets nav drošs. Es nopirkšu programmatūru vai aparatūru, lai aizsargātu sistēmu un glābtu biznesu.

Fakts: Viena no lielākajām problēmām ir programmatūras un aparatūras iegāde drošībai. Tā vietā organizācijai vispirms vajadzētu saprast drošību un pēc tam to pielietot.

Secinājums:

Drošības pārbaude ir vissvarīgākā lietojumprogrammas pārbaude, un tā pārbauda, vai konfidenciāli dati paliek konfidenciāli. Šāda veida testēšanā testeris spēlē uzbrucēju un spēlē visā sistēmā, lai atrastu ar drošību saistītas kļūdas. Drošības pārbaude programmatūras inženierijā ir ļoti svarīga, lai ar visiem līdzekļiem aizsargātu datus.