Τι είναι ο έλεγχος ασφαλείας; Τύποι με παράδειγμα

Πίνακας περιεχομένων:

Anonim

Τι είναι ο έλεγχος ασφαλείας;

Το SECURITY TESTING είναι ένας τύπος Δοκιμή λογισμικού που αποκαλύπτει ευπάθειες, απειλές, κινδύνους σε μια εφαρμογή λογισμικού και αποτρέπει κακόβουλες επιθέσεις από εισβολείς. Ο σκοπός των Δοκιμών ασφαλείας είναι να εντοπίσουμε όλα τα πιθανά κενά και αδυναμίες του συστήματος λογισμικού που θα μπορούσαν να οδηγήσουν σε απώλεια πληροφοριών, εσόδων, φήμης στα χέρια των υπαλλήλων ή των εξωτερικών του Οργανισμού.

Γιατί είναι σημαντικός ο έλεγχος ασφαλείας;

Ο κύριος στόχος της δοκιμής ασφαλείας είναι να εντοπίσει τις απειλές στο σύστημα και να μετρήσει τις πιθανές αδυναμίες του, έτσι ώστε οι απειλές να αντιμετωπιστούν και το σύστημα να μην σταματήσει να λειτουργεί ή δεν μπορεί να αξιοποιηθεί. Βοηθά επίσης στον εντοπισμό όλων των πιθανών κινδύνων ασφαλείας στο σύστημα και βοηθά τους προγραμματιστές να διορθώσουν τα προβλήματα μέσω κωδικοποίησης.

Σε αυτό το σεμινάριο, θα μάθετε-

  • Τι είναι ο έλεγχος ασφαλείας;
  • Τύποι δοκιμών ασφαλείας
  • Πώς να κάνετε τον έλεγχο ασφαλείας
  • Παράδειγμα σεναρίων δοκιμής για έλεγχο ασφαλείας
  • Μεθοδολογίες / προσέγγιση / τεχνικές για έλεγχο ασφαλείας
  • Ρόλοι δοκιμής ασφαλείας
  • Εργαλείο δοκιμών ασφαλείας
  • Μύθοι και γεγονότα του ελέγχου ασφαλείας

Τύποι δοκιμών ασφαλείας:

Υπάρχουν επτά βασικοί τύποι δοκιμών ασφαλείας σύμφωνα με το εγχειρίδιο μεθοδολογίας Open Source Security Testing. Εξηγούνται ως εξής:

  • Σάρωση ευπάθειας : Αυτό γίνεται μέσω αυτοματοποιημένου λογισμικού για τη σάρωση ενός συστήματος έναντι γνωστών υπογραφών ευπάθειας.
  • Σάρωση ασφαλείας: Περιλαμβάνει τον εντοπισμό αδυναμιών δικτύου και συστήματος και αργότερα παρέχει λύσεις για τη μείωση αυτών των κινδύνων. Αυτή η σάρωση μπορεί να πραγματοποιηθεί τόσο για χειροκίνητη όσο και για αυτόματη σάρωση.
  • Δοκιμή διείσδυσης : Αυτό το είδος δοκιμών προσομοιώνει μια επίθεση από κακόβουλο χάκερ. Αυτή η δοκιμή περιλαμβάνει ανάλυση ενός συγκεκριμένου συστήματος για τον έλεγχο πιθανών τρωτών σημείων σε μια απόπειρα εξωτερικής εισβολής.
  • Εκτίμηση Κινδύνου: Αυτή η δοκιμή περιλαμβάνει ανάλυση των κινδύνων ασφαλείας που παρατηρούνται στον οργανισμό. Οι κίνδυνοι ταξινομούνται ως Χαμηλοί, Μεσαίοι και Υψηλοί. Αυτή η δοκιμή συνιστά ελέγχους και μέτρα για τη μείωση του κινδύνου.
  • Έλεγχος ασφάλειας: Πρόκειται για εσωτερική επιθεώρηση εφαρμογών και λειτουργικών συστημάτων για ελαττώματα ασφαλείας. Ο έλεγχος μπορεί επίσης να γίνει μέσω γραμμής επιθεώρησης κώδικα
  • Ηθική πειρατεία: Παραβιάζει συστήματα λογισμικού οργανισμού. Σε αντίθεση με κακόβουλους χάκερ, οι οποίοι κλέβουν για τα δικά τους κέρδη, η πρόθεση είναι να εκθέσουν ελαττώματα ασφαλείας στο σύστημα.
  • Αξιολόγηση στάσης: Συνδυάζει τη σάρωση ασφαλείας, τη δεοντολογική εισβολή και τις εκτιμήσεις κινδύνου για να δείξει μια συνολική στάση ασφάλειας ενός οργανισμού.

Πώς να κάνετε τον έλεγχο ασφαλείας

Συμφωνείται πάντα, ότι το κόστος θα είναι μεγαλύτερο αν αναβάλουμε τη δοκιμή ασφάλειας μετά τη φάση εφαρμογής του λογισμικού ή μετά την ανάπτυξη. Επομένως, είναι απαραίτητο να συμπεριληφθούν δοκιμές ασφαλείας στον κύκλο ζωής SDLC στις προηγούμενες φάσεις.

Ας δούμε τις αντίστοιχες διαδικασίες ασφαλείας που θα υιοθετηθούν για κάθε φάση στο SDLC

Φάσεις SDLC Διαδικασίες ασφαλείας
Απαιτήσεις Ανάλυση ασφάλειας για απαιτήσεις και ελέγξτε περιπτώσεις κατάχρησης / κακής χρήσης
Σχέδιο Ανάλυση κινδύνων ασφαλείας για το σχεδιασμό. Ανάπτυξη δοκιμαστικού σχεδίου, συμπεριλαμβανομένων δοκιμών ασφαλείας
Κωδικοποίηση και δοκιμή μονάδας Στατικές και δυναμικές δοκιμές και έλεγχος ασφαλείας λευκού κουτιού
Δοκιμή ολοκλήρωσης Δοκιμή μαύρου κουτιού
Δοκιμή συστήματος Δοκιμή μαύρου κουτιού και σάρωση ευπάθειας
Εκτέλεση Δοκιμή διείσδυσης, σάρωση ευπάθειας
Υποστήριξη Ανάλυση αντικτύπου Patches

Το σχέδιο δοκιμής πρέπει να περιλαμβάνει

  • Υποθέσεις ή σενάρια που σχετίζονται με την ασφάλεια
  • Δεδομένα δοκιμής που σχετίζονται με τον έλεγχο ασφαλείας
  • Απαιτούνται Εργαλεία δοκιμών για έλεγχο ασφαλείας
  • Ανάλυση διαφόρων δοκιμών εξόδου από διαφορετικά εργαλεία ασφαλείας

Παράδειγμα σεναρίων δοκιμής για έλεγχο ασφαλείας:

Δείγμα σεναρίων δοκιμής για να σας δώσει μια ματιά στις περιπτώσεις δοκιμών ασφαλείας

  • Ο κωδικός πρόσβασης πρέπει να είναι σε κρυπτογραφημένη μορφή
  • Η εφαρμογή ή το σύστημα δεν πρέπει να επιτρέπουν μη έγκυρους χρήστες
  • Ελέγξτε τα cookies και την ώρα περιόδου σύνδεσης για εφαρμογή
  • Για οικονομικούς ιστότοπους, το κουμπί επιστροφής του προγράμματος περιήγησης δεν πρέπει να λειτουργεί.

Μεθοδολογίες / προσέγγιση / τεχνικές για έλεγχο ασφαλείας

Στον έλεγχο ασφαλείας, ακολουθούνται διάφορες μεθοδολογίες και έχουν ως εξής:

  • Tiger Box : Αυτή η πειρατεία γίνεται συνήθως σε φορητό υπολογιστή που διαθέτει μια συλλογή λειτουργικών συστημάτων και εργαλείων hacking. Αυτή η δοκιμή βοηθά τους δοκιμαστές διείσδυσης και τους ελεγκτές ασφαλείας να διεξάγουν αξιολόγηση και επιθέσεις ευπάθειας.
  • Black Box : Το Tester είναι εξουσιοδοτημένο να κάνει δοκιμές σε όλα σχετικά με την τοπολογία του δικτύου και την τεχνολογία.
  • Gray Box : Μερικές πληροφορίες δίνονται στον υπεύθυνο δοκιμών για το σύστημα και είναι ένα υβρίδιο μοντέλων λευκού και μαύρου κουτιού.

Ρόλοι δοκιμής ασφαλείας

  • Χάκερ - Πρόσβαση σε σύστημα υπολογιστή ή δίκτυο χωρίς εξουσιοδότηση
  • Crackers - Εμπρός στα συστήματα για κλοπή ή καταστροφή δεδομένων
  • Ethical Hacker - Εκτελεί τις περισσότερες από τις δραστηριότητες διακοπής αλλά με άδεια από τον ιδιοκτήτη
  • Σενάριο Kiddies ή μαϊμούδες πακέτων - Άπειροι χάκερ με γλωσσική ικανότητα προγραμματισμού

Εργαλείο δοκιμών ασφαλείας

1) Εισβολέας

Το Intruder είναι ένας σαρωτής ευπάθειας εταιρικού επιπέδου που είναι εύχρηστος. Εκτελεί πάνω από 10.000 ελέγχους ασφαλείας υψηλής ποιότητας σε ολόκληρη την υποδομή πληροφορικής σας, οι οποίοι περιλαμβάνουν, αλλά δεν περιορίζονται σε: αδυναμίες διαμόρφωσης, αδυναμίες εφαρμογών (όπως SQL injection & cross-site scripting) και λείπουν ενημερώσεις κώδικα. Παρέχοντας έξυπνα αποτελέσματα με προτεραιότητα καθώς και προληπτική σάρωση για τις τελευταίες απειλές, το Intruder βοηθά στην εξοικονόμηση χρόνου και διατηρεί τις επιχειρήσεις όλων των μεγεθών ασφαλή από τους χάκερ.

Χαρακτηριστικά:

  • Υποδοχές AWS, Azure και Google Cloud
  • Απεριόριστα αποτελέσματα για τη μείωση της εξωτερικής επιφάνειας επίθεσης
  • Αναφορές υψηλής ποιότητας
  • Slack, Microsoft Teams, Jira, Zapier ενσωματώσεις
  • Ενσωμάτωση API με τον αγωγό CI / CD

2) Owasp

Το Open Web Application Security Project (OWASP) είναι ένας παγκόσμιος μη κερδοσκοπικός οργανισμός που επικεντρώνεται στη βελτίωση της ασφάλειας του λογισμικού. Το έργο διαθέτει πολλά εργαλεία για να δοκιμάσετε διάφορα περιβάλλοντα λογισμικού και πρωτόκολλα. Τα εμβληματικά εργαλεία του έργου περιλαμβάνουν

  1. Zed Attack Proxy (ZAP - ένα ολοκληρωμένο εργαλείο δοκιμής διείσδυσης)
  2. Έλεγχος Εξάρτησης OWASP (σαρώνει τις εξαρτήσεις έργων και ελέγχει τις ευπάθειες γνώσης)
  3. Έργο OWASP Web Testing Environment (συλλογή εργαλείων ασφαλείας και τεκμηρίωσης)

3) WireShark

Το Wireshark είναι ένα εργαλείο ανάλυσης δικτύου που προηγουμένως ήταν γνωστό ως Ethereal. Καταγράφει το πακέτο σε πραγματικό χρόνο και τα εμφανίζει σε μορφή αναγνώσιμη από τον άνθρωπο. Βασικά, είναι ένας αναλυτής πακέτων δικτύου - ο οποίος παρέχει τις ελάχιστες λεπτομέρειες σχετικά με τα πρωτόκολλα δικτύου σας, την αποκρυπτογράφηση, τις πληροφορίες πακέτων κ.λπ. Είναι ένας ανοιχτός κώδικας και μπορεί να χρησιμοποιηθεί σε Linux, Windows, OS X, Solaris, NetBSD, FreeBSD και πολλά άλλα άλλα συστήματα. Οι πληροφορίες που ανακτώνται μέσω αυτού του εργαλείου μπορούν να προβληθούν μέσω GUI ή TTY mode TShark Utility.

4) W3af

Το w3af είναι ένα διαδικτυακό πλαίσιο επίθεσης και ελέγχου εφαρμογών. Διαθέτει τρεις τύπους προσθηκών. εντοπισμός, έλεγχος και επίθεση που επικοινωνούν μεταξύ τους για τυχόν ευπάθειες στον ιστότοπο, για παράδειγμα ένα πρόσθετο εντοπισμού στο w3af αναζητά διαφορετικές διευθύνσεις URL για να ελέγξει για ευπάθειες και να το προωθήσει στο πρόσθετο ελέγχου που στη συνέχεια χρησιμοποιεί αυτά τα URL για να αναζητήσει ευπάθειες.

Μύθοι και Γεγονότα της δοκιμής ασφάλειας:

Ας μιλήσουμε για ένα ενδιαφέρον θέμα για τους Μύθους και τα γεγονότα της δοκιμής ασφαλείας:

Μύθος # 1 Δεν χρειαζόμαστε μια πολιτική ασφάλειας καθώς έχουμε μια μικρή επιχείρηση

Γεγονός: Όλοι και κάθε εταιρεία χρειάζονται μια πολιτική ασφάλειας

Μύθος # 2 Δεν υπάρχει απόδοση επένδυσης σε δοκιμές ασφαλείας

Γεγονός: Ο έλεγχος ασφαλείας μπορεί να επισημάνει τομείς βελτίωσης που μπορούν να βελτιώσουν την αποδοτικότητα και να μειώσουν το χρόνο διακοπής λειτουργίας, επιτρέποντας τη μέγιστη απόδοση.

Μύθος # 3 : Ο μόνος τρόπος για να ασφαλίσετε είναι να το αποσυνδέσετε.

Γεγονός: Ο μόνος και ο καλύτερος τρόπος για να εξασφαλίσετε έναν οργανισμό είναι να βρείτε το "Perfect Security". Η τέλεια ασφάλεια μπορεί να επιτευχθεί διενεργώντας αξιολόγηση στάσης και σύγκριση με επιχειρηματικές, νομικές και βιομηχανικές αιτιολογήσεις.

Μύθος # 4 : Το Διαδίκτυο δεν είναι ασφαλές. Θα αγοράσω λογισμικό ή υλικό για να προστατεύσω το σύστημα και να σώσω την επιχείρηση.

Γεγονός: Ένα από τα μεγαλύτερα προβλήματα είναι η αγορά λογισμικού και υλικού για ασφάλεια. Αντ 'αυτού, ο οργανισμός πρέπει να κατανοήσει πρώτα την ασφάλεια και μετά να την εφαρμόσει.

Συμπέρασμα:

Ο έλεγχος ασφαλείας είναι ο πιο σημαντικός έλεγχος για μια εφαρμογή και ελέγχει εάν τα εμπιστευτικά δεδομένα παραμένουν εμπιστευτικά. Σε αυτόν τον τύπο δοκιμών, ο ελεγκτής παίζει ρόλο του εισβολέα και παίζει γύρω από το σύστημα για να βρει σφάλματα που σχετίζονται με την ασφάλεια. Ο Έλεγχος ασφαλείας είναι πολύ σημαντικός στη Μηχανική Λογισμικού για την προστασία των δεδομένων με κάθε τρόπο.