Testování zabezpečení - Security testing
Testování zabezpečení je proces, jehož cílem je odhalit nedostatky v bezpečnostních mechanismech informačního systému, které chrání data a udržují funkčnost, jak bylo zamýšleno. Z důvodu logických omezení testování zabezpečení není předání procesu testování zabezpečení známkou toho, že neexistují žádné nedostatky nebo že systém odpovídajícím způsobem splňuje bezpečnostní požadavky.
Typické bezpečnostní požadavky mohou zahrnovat specifické prvky důvěrnosti , integrity , autentizace , dostupnosti, autorizace a neodmítnutí . Skutečné testované bezpečnostní požadavky závisí na bezpečnostních požadavcích implementovaných systémem. Testování zabezpečení jako výrazu má řadu různých významů a lze ho provést mnoha různými způsoby. Bezpečnostní taxonomie jako taková nám pomáhá porozumět těmto různým přístupům a významům tím, že poskytuje základní úroveň, ze které můžeme pracovat.
Důvěrnost
- Bezpečnostní opatření, které chrání před zpřístupněním informací jiným stranám, než je zamýšlený příjemce, není v žádném případě jediným způsobem zajištění bezpečnosti.
Integrita
Integrita informací znamená ochranu informací před změnou neoprávněnými stranami
- Opatření, jehož cílem je umožnit přijímači určit, zda jsou informace poskytované systémem správné.
- Schémata integrity často používají některé stejné základní technologie jako schémata důvěrnosti, ale obvykle zahrnují přidání informací ke komunikaci, aby vytvořily základ algoritmické kontroly, spíše než kódování celé komunikace.
- Chcete-li zkontrolovat, zda jsou správné informace přeneseny z jedné aplikace do druhé.
Ověření
To může zahrnovat potvrzení identity osoby, sledování původu artefaktu, zajištění toho, že produkt odpovídá jeho obalu a označení, nebo zajištění toho, že počítačový program je důvěryhodný.
Povolení
- Proces určování, zda je žadateli povoleno přijímat službu nebo provádět operaci.
- Příkladem povolení je kontrola přístupu .
Dostupnost
- Zajištění informačních a komunikačních služeb bude podle očekávání připraveno k použití.
- Informace musí být uchovávány k dispozici oprávněným osobám, když je potřebují.
Neodmítnutí
- Pokud jde o digitální zabezpečení, neodmítnutí znamená zajistit, aby byla přenesená zpráva odeslána a přijata stranami, které tvrdí, že zprávu odeslaly a přijaly. Nepopiratelnost je způsob, jak zaručit, že odesílatel zprávy nemůže později popřít, že zprávu odeslal, a že příjemce nemůže popřít, že zprávu přijal.
- ID odesílatele je obvykle záhlaví přenášené spolu se zprávou, která rozpoznává zdroj zprávy.
Taxonomie
Běžné termíny používané pro doručení testování zabezpečení:
- Discovery - Účelem této fáze je identifikovat systémy v rozsahu a používané služby. Účelem není odhalit chyby zabezpečení, ale detekce verzí může zvýraznit zastaralé verze softwaru / firmwaru, a tím označit potenciální chyby zabezpečení.
- Skenování zranitelnosti - Po fázi zjišťování vyhledává známé problémy se zabezpečením pomocí automatizovaných nástrojů, které odpovídají podmínkám se známými chybami zabezpečení. Hlášenou úroveň rizika nastavuje nástroj automaticky bez manuálního ověření nebo interpretace prodejcem testu. To lze doplnit skenováním založeným na pověření, které vypadá, že odstraní některé běžné falešné poplachy pomocí dodaných pověření k ověření pomocí služby (například místní účty systému Windows).
- Posouzení zranitelnosti - Toto využívá zjišťování a skenování zranitelností k identifikaci zranitelností zabezpečení a umístí nálezy do kontextu testovaného prostředí. Příkladem by bylo odstranění běžných falešných poplachů ze zprávy a rozhodování o úrovních rizika, které by se měly použít na každé zjištění zprávy, aby se zlepšilo obchodní porozumění a kontext.
- Posouzení zabezpečení - staví na posouzení zranitelnosti přidáním manuálního ověření k potvrzení expozice, ale nezahrnuje využití zranitelných míst k získání dalšího přístupu. Ověření může mít podobu autorizovaného přístupu k systému, aby se potvrdilo nastavení systému a zahrnovalo prozkoumání protokolů, reakcí systému, chybových zpráv, kódů atd. Posouzení bezpečnosti se snaží získat široké pokrytí testovaných systémů, ale ne hloubku expozice, ke které by konkrétní zranitelnost mohla vést.
- Penetrační test - Penetrační test simuluje útok škodlivého účastníka. Vychází z předchozích fází a zahrnuje využití nalezených zranitelných míst k získání dalšího přístupu. Použití tohoto přístupu povede k pochopení schopnosti útočníka získat přístup k důvěrným informacím, ovlivnit integritu dat nebo dostupnost služby a příslušný dopad. Ke každému testu se přistupuje pomocí konzistentní a úplné metodiky způsobem, který umožňuje testerovi využít jeho schopnosti řešit problémy, výstup z řady nástrojů a vlastní znalosti sítí a systémů k nalezení zranitelností, které by / nemohly být identifikovány automatizované nástroje. Tento přístup se zaměřuje na hloubku útoku ve srovnání s přístupem Security Assessment, který se zaměřuje na širší pokrytí.
- Bezpečnostní audit - řízený funkcí auditu / rizika, aby se podíval na konkrétní problém kontroly nebo dodržování předpisů. Tento typ zapojení, který se vyznačuje úzkým rozsahem, by mohl využít jakýkoli z dříve diskutovaných přístupů ( posouzení zranitelnosti, posouzení zabezpečení, penetrační test).
- Kontrola zabezpečení - Ověření, že na součásti systému nebo produkt byly použity průmyslové nebo interní bezpečnostní standardy. To je obvykle dokončeno pomocí analýzy mezer a využívá kontroly sestavení / kódu nebo kontrolou návrhových dokumentů a diagramů architektury. Tato aktivita nevyužívá žádný z dřívějších přístupů (Posouzení zranitelnosti, Posouzení bezpečnosti, Penetrační test, Bezpečnostní audit)
Nástroje
- CSA - Analýza zabezpečení kontejnerů a infrastruktury
- DAST - Dynamické testování zabezpečení aplikací
- DLP - Prevence ztráty dat
- IAST - Interaktivní testování zabezpečení aplikací
- IDS / IPS - Detekce narušení a / nebo Prevence narušení
- OSS - skenování softwaru s otevřeným zdrojovým kódem
- RASP - Runtime Application Self Protection
- SAST - Statické testování zabezpečení aplikací
- SCA - Analýza složení softwaru
- WAF - Firewall webových aplikací