Mis on turvatestimine? Näidisega tüübid

Lang L: none (table-of-contents):

Anonim

Mis on turvatestimine?

TURVALISUSE TESTIMINE on tarkvara testimise tüüp, mis paljastab tarkvararakenduse haavatavused, ohud, riskid ja hoiab ära sissetungijate pahatahtlikud rünnakud. Turvatestide eesmärk on tuvastada kõik võimalikud tarkvarasüsteemi lüngad ja nõrkused, mis võivad põhjustada organisatsiooni töötajate või kõrvaliste isikute informatsiooni, tulude ja maine kaotuse.

Miks on turvatestimine oluline?

Peamiseks eesmärgiks turvalisuse testimine on teha kindlaks ohud süsteemis ja mõõta selle võimalikke nõrku, nii ohud võivad tekkida ja süsteem ei lakata või ei saa kasutada. Samuti aitab see tuvastada kõiki võimalikke turvariske süsteemis ja aitab arendajatel probleeme kodeerimise abil lahendada.

Selles õpetuses saate teada

  • Mis on turvatestimine?
  • Turvatestimise tüübid
  • Kuidas teha turvatesti
  • Näited turvatestimise teststsenaariumidest
  • Turvalisuse testimise metoodikad / lähenemisviis / tehnikad
  • Turvalisuse testimise rollid
  • Turvalisuse testimise tööriist
  • Turvalisuse testimise müüdid ja faktid

Turvatestimise tüübid:

Avatud lähtekoodiga turbetestimise metoodika käsiraamatus on seitse peamist turvatestimise tüüpi. Neid selgitatakse järgmiselt:

  • Haavatavuse skannimine : seda tehakse automatiseeritud tarkvara abil süsteemi skannimiseks teadaolevate haavatavusallkirjade vastu.
  • Turvalisuse skannimine: see hõlmab võrgu- ja süsteemipuuduste tuvastamist ning pakub hiljem lahendusi nende riskide vähendamiseks. Seda skannimist saab teha nii käsitsi kui ka automatiseeritud skannimiseks.
  • Tungimistestimine : selline testimine simuleerib rünnakut pahatahtlikust häkkerist. See testimine hõlmab konkreetse süsteemi analüüsi, et kontrollida võimalikke haavatavusi välise häkkimise katse suhtes.
  • Riskihindamine: see testimine hõlmab organisatsioonis täheldatud turvariskide analüüsi. Riskid on klassifitseeritud madalaks, keskmiseks ja suureks. Selles testimises soovitatakse kontrolli ja meetmeid riski vähendamiseks.
  • Turvalisuse audit: see on rakenduste ja operatsioonisüsteemide sisekontroll turvavigade suhtes. Auditi saab läbi viia ka koodide rida-realt kontrollimise kaudu
  • Eetiline häkkimine: see häkkib organisatsiooni tarkvara süsteeme. Erinevalt pahatahtlikest häkkeritest, kes varastavad oma huvides, kavatsetakse paljastada süsteemi turvavead.
  • Kehahoia hindamine: see ühendab turvakontrolli, eetilise häkkimise ja riskihinnangud, et näidata organisatsiooni üldist turberoosi.

Kuidas teha turvatesti

Alati lepitakse kokku, et need kulud on suuremad, kui lükkame turvatestimise edasi pärast tarkvara juurutamise etappi või pärast juurutamist. Niisiis, SDLC olelusringi on vaja kaasata turvatestimine varasemates etappides.

Uurime vastavaid turbeprotsesse, mis SDLC igas faasis kasutusele võetakse

SDLC faasid Turvaprotsessid
Nõuded Nõuete turvalisuse analüüs ja kuritarvitamise / väärkasutamise juhtumite kontrollimine
Kujundus Turvalisuse riskide analüüs kujundamisel. Testiplaani, sealhulgas turvatestide väljatöötamine
Kodeerimine ja seadmete testimine Staatiline ja dünaamiline testimine ja turvaelemendid
Integratsiooni testimine Musta kasti testimine
Süsteemi testimine Musta kasti testimine ja haavatavuse skannimine
Rakendamine Tungimistestimine, haavatavuse skaneerimine
Toetus Plaastrite mõju analüüs

Katseplaan peaks sisaldama järgmist

  • Turvalisusega seotud testijuhud või stsenaariumid
  • Turvatestimisega seotud testandmed
  • Turvatestimiseks vajalikud testimisvahendid
  • Erinevate turvatööriistade erinevate testiväljundite analüüs

Turvatestimise teststsenaariumide näited:

Proovitesti stsenaariumid, et anda ülevaade turvatestidest -

  • Parool peaks olema krüptitud vormingus
  • Rakendus või süsteem ei tohiks lubada kehtetuid kasutajaid
  • Kontrollige küpsiseid ja seansi aega rakenduse jaoks
  • Finantssaitide puhul ei tohiks brauseri tagasi nupp töötada.

Turvalisuse testimise metoodikad / lähenemisviis / tehnikad

Turvatestimisel järgitakse erinevaid metoodikaid ja need on järgmised:

  • Tiger Box : see häkkimine toimub tavaliselt sülearvutis, millel on OS-ide ja häkkimistööriistade kogu. See testimine aitab levitamistestijatel ja turvatestijatel haavatavuse hindamist ja rünnakuid läbi viia.
  • Must kast : testija on volitatud testima kõike, mis puudutab võrgu topoloogiat ja tehnoloogiat.
  • Hall kast : testijale antakse süsteemi kohta osalist teavet ja see on valge ja musta kasti mudelite hübriid.

Turvalisuse testimise rollid

  • Häkkerid - pääsete arvutisüsteemile või -võrgule juurde ilma loata
  • Kräkkerid - tungige süsteemidesse andmete varastamiseks või hävitamiseks
  • Eetiline häkker - teostab suurema osa murdmistoimingutest, kuid omaniku loal
  • Script Kiddies või pakettahvid - kogenematud häkkerid, kellel on programmeerimiskeele oskus

Turvalisuse testimise tööriist

1) Sissetungija

Sissetungija on ettevõtte tasemel haavatavuse skanner, mida on lihtne kasutada. See viib teie IT-infrastruktuuris üle 10 000 kvaliteetse turvakontrolli, mis hõlmavad, kuid ei piirdu nendega: konfiguratsiooni nõrkused, rakenduste nõrkused (näiteks SQL-i sisestamine ja saididevaheline skriptimine) ja puuduvad plaastrid. Pakkudes arukalt prioriseeritud tulemusi ja ennetavalt uusimaid ohte, aitab Intruder säästa aega ja hoiab häkkerite eest igas suuruses ettevõtteid.

Funktsioonid:

  • AWS, Azure ja Google Cloudi pistikud
  • Perimeetri spetsiifilised tulemused välise rünnakupinna vähendamiseks
  • Kvaliteetne aruandlus
  • Slack, Microsoft Teams, Jira, Zapier integratsioonid
  • API integreerimine teie CI / CD torujuhtmega

2) Owasp

Avatud veebirakenduste turbeprojekt (OWASP) on ülemaailmne mittetulundusühing, mis on keskendunud tarkvara turvalisuse parandamisele. Projektil on mitu tööriista erinevate tarkvarakeskkondade ja -protokollide testimiseks. Projekti juhtvahendid hõlmavad järgmist

  1. Zed Attack Proxy (ZAP - integreeritud sissetungimise testimise tööriist)
  2. OWASPi sõltuvuse kontroll (see otsib projektisõltuvusi ja kontrollib teadaolevaid haavatavusi)
  3. OWASP-i veebitestimiskeskkonna projekt (turbetööriistade ja dokumentide kogu)

3) WireShark

Wireshark on võrguanalüüsi tööriist, mida varem tunti Ethereali nime all. See haarab paketid reaalajas ja kuvab neid inimloetavas vormingus. Põhimõtteliselt on see võrgupakettide analüsaator, mis annab üksikasjalikke üksikasju teie võrguprotokollide, dekrüpteerimise, pakettide teabe jne kohta. See on avatud lähtekoodiga ja seda saab kasutada Linuxis, Windowsis, OS X-is, Solaris, NetBSD, FreeBSD ja paljudes muud süsteemid. Selle tööriista kaudu hankitud teavet saab vaadata GUI või TTY režiimi TShark Utility kaudu.

4) W3af

w3af on veebirakenduste rünnaku- ja auditiraamistik. Sellel on kolme tüüpi pistikprogramme; avastamine, audit ja rünnak, mis suhtlevad üksteisega saidi võimalike haavatavuste suhtes, näiteks w3af-i avastusplugin otsib haavatavuste testimiseks erinevaid URL-e ja edastab selle auditipistikprogrammile, mis seejärel kasutab neid URL-e haavatavuste otsimiseks.

Turvalisuse testimise müüdid ja faktid:

Räägime huvitaval teemal turvatestimise müütide ja faktide kohta:

Müüt nr 1 Me ei vaja julgeolekupoliitikat, kuna meil on väikeettevõte

Fakt: Turvapoliitikat vajavad kõik ja kõik ettevõtted

Müüt nr 2 Turvatestimise investeeringutasuvust pole

Fakt: Turvatestimine võib välja tuua parendamisvaldkonnad, mis võivad parandada tõhusust ja vähendada seisakuid, võimaldades maksimaalset läbilaskvust.

Müüt nr 3 : ainus viis turvamiseks on selle eemaldamine.

Fakt: Ainus ja parim viis organisatsiooni turvamiseks on leida "Täiuslik turvalisus". Täiusliku turvalisuse saab saavutada kehahoia hindamise abil ning võrrelda seda äri-, juriidiliste ja tööstuslike põhjendustega.

Müüt nr 4 : Internet pole turvaline. Ostan tarkvara ja riistvara süsteemi kaitsmiseks ja ettevõtte päästmiseks.

Fakt: Üks suurimaid probleeme on tarkvara ja riistvara ostmine turvalisuse huvides. Selle asemel peaks organisatsioon kõigepealt turvalisusest aru saama ja seejärel seda rakendama.

Järeldus:

Turvatestimine on rakenduse jaoks kõige olulisem testimine ja kontrollib, kas konfidentsiaalsed andmed jäävad konfidentsiaalseks. Seda tüüpi testimisel mängib testija ründajat ja mängib süsteemis turvalisusega seotud vigade leidmiseks. Turvalisuse testimine on tarkvaratehnikas väga oluline, et andmeid kõigi vahenditega kaitsta.