Mikä on turvallisuustestaus? Tyypit esimerkin avulla

Mikä on turvallisuustestaus?

TURVALLISUUSTESTI on eräänlainen ohjelmistotestaus, joka paljastaa haavoittuvuudet, uhat, riskit ohjelmistosovelluksessa ja estää tunkeilijoiden vahingolliset hyökkäykset. Turvatestien tarkoituksena on tunnistaa kaikki mahdolliset ohjelmistojärjestelmän aukot ja heikkoudet, jotka saattavat johtaa tietojen, tulojen, maineen menetykseen organisaation työntekijöiden tai ulkopuolisten käsissä.

Miksi tietoturvatestaus on tärkeää?

Päätavoitteena turvallisuuden testaus on tunnistaa uhkia järjestelmään ja mittaa sen mahdolliset heikkoudet, jotta uhat voi kohdata ja järjestelmä ei lakata toimimasta tai ei voida käyttää. Se auttaa myös havaitsemaan kaikki mahdolliset turvallisuusriskit järjestelmässä ja auttaa kehittäjiä korjaamaan ongelmat koodaamalla.

Tässä opetusohjelmassa opit-

Mikä on turvallisuustestaus?
Turvatestauksen tyypit
Kuinka tehdä suojaustestaus
Esimerkkejä turvatestauksen testauskenaarioista
Menetelmät / lähestymistapa / tekniikat turvallisuustestaukseen
Turvallisuustestauksen roolit
Suojaustestaustyökalu
Myytit ja tosiasiat turvallisuustestauksessa

Turvatestauksen tyypit:

Suojaustestejä on seitsemän päätyyppiä avoimen lähdekoodin tietoturvatestausmenetelmäkäsikirjan mukaan. Ne selitetään seuraavasti:

Haavoittuvuuksien tarkistus : Tämä tapahtuu automaattisen ohjelmiston avulla järjestelmän tarkistamiseksi tunnettuja haavoittuvuusallekirjoituksia vastaan.
Suojauskannaus: Se sisältää verkon ja järjestelmän heikkouksien tunnistamisen ja tarjoaa myöhemmin ratkaisuja näiden riskien vähentämiseksi. Tämä skannaus voidaan suorittaa sekä manuaaliseen että automaattiseen skannaukseen.
Tunkeutumistestaus : Tällainen testaus simuloi haitallisen hakkerin hyökkäystä. Tämä testaus sisältää tietyn järjestelmän analyysin ulkoisen hakkerointiyrityksen mahdollisten haavoittuvuuksien tarkistamiseksi.
Riskinarviointi: Tämä testaus käsittää organisaatiossa havaittujen turvallisuusriskien analyysin. Riskit luokitellaan mataliksi, keskisuuriksi ja suuriksi. Tässä testauksessa suositellaan valvontaa ja toimenpiteitä riskien vähentämiseksi.
Tietoturvatarkastus: Tämä on sovellusten ja käyttöjärjestelmien sisäinen tarkastus turvallisuusvirheiden varalta. Tarkastus voidaan tehdä myös koodin rivitarkastuksella
Eettinen hakkerointi: Se hakkerointi Organization Software -järjestelmiä. Toisin kuin haitalliset hakkerit, jotka varastavat omien etujensa vuoksi, tarkoituksena on paljastaa järjestelmän turvallisuusvikoja.
Asennon arviointi: Tämä yhdistää tietoturvan skannauksen, eettisen hakkeroinnin ja riskinarvioinnit organisaation yleisen turvallisuusasennon osoittamiseksi.

Kuinka tehdä suojaustestaus

Aina sovitaan, että kustannukset ovat suuremmat, jos lykkäämme tietoturvatestausta ohjelmiston käyttöönottovaiheen tai käyttöönoton jälkeen. Joten on välttämätöntä sisällyttää turvatestaus SDLC: n elinkaareen aikaisemmissa vaiheissa.

Tarkastellaan vastaavia tietoturvaprosesseja, jotka otetaan käyttöön SDLC: n jokaisessa vaiheessa

SDLC-vaiheet	Suojausprosessit
Vaatimukset	Turvallisuusanalyysi vaatimuksia varten ja tarkista väärinkäytökset
Design	Suojausriskien analyysi suunnittelua varten. Testisuunnitelman kehittäminen, mukaan lukien turvatestit
Koodaus ja yksikkötestaus	Staattinen ja dynaaminen testaus ja turvallisuuden valkoinen laatikko -testaus
Integraation testaus	Mustan laatikon testaus
Järjestelmän testaus	Mustan laatikon testaus ja haavoittuvuuksien skannaus
Toteutus	Tunkeutumistestaus, haavoittuvuuksien skannaus
Tuki	Laastareiden vaikutusanalyysi

Testisuunnitelman tulisi sisältää

Turvallisuuteen liittyvät testitapaukset tai skenaariot
Turvatestaukseen liittyvät testitiedot
Turvatestaukseen tarvittavat testityökalut
Analyysi erilaisista testituloksista eri suojaustyökaluista

Esimerkkejä turvatestauksen testaustilanteista:

Testitilanteiden esimerkit antavat sinulle vilauksen tietoturvatesteistä -

Salasanan tulee olla salatussa muodossa
Sovellus tai järjestelmä ei saisi sallia virheellisiä käyttäjiä
Tarkista evästeet ja istunnon aika sovellukselle
Taloussivustojen selaimen takaisin-painikkeen ei pitäisi toimia.

Menetelmät / lähestymistapa / tekniikat turvallisuustestaukseen

Turvatestauksessa noudatetaan erilaisia menetelmiä, ja ne ovat seuraavat:

Tiger Box : Tämä hakkerointi tehdään yleensä kannettavalla tietokoneella, jolla on kokoelma käyttöjärjestelmiä ja hakkerointityökaluja. Tämä testaus auttaa tunkeutumistestaajia ja tietoturvatestaajia suorittamaan haavoittuvuuksien arvioinnin ja hyökkäykset.
Musta laatikko : Testerillä on lupa tehdä testejä kaikelle verkon topologiasta ja tekniikasta.
Harmaa laatikko : Testaajalle annetaan osittaisjärjestelmää koskevia tietoja, ja se on valkoisen ja mustan laatikon yhdistelmä.

Turvallisuustestauksen roolit

Hakkerit - Käytä tietokonejärjestelmää tai verkkoa ilman lupaa
Crackers - Tunkeudu järjestelmiin varastamaan tai tuhoamaan tietoja
Eettinen hakkeri - Suorittaa suurimman osan rikkomuksista, mutta omistajan luvalla
Script Kiddies tai pakettiapinat - Kokemattomat hakkerit, joilla on ohjelmointikielitaito

Suojaustestaustyökalu

1) tunkeilija

Intruder on yritystason haavoittuvuuksien skanneri, jota on helppo käyttää. Se suorittaa yli 10 000 korkealaatuista tietoturvatarkistusta IT-infrastruktuurissasi, mukaan lukien muun muassa kokoonpanon heikkoudet, sovelluksen heikkoudet (kuten SQL-injektointi ja sivustojen välinen komentosarja) ja puuttuvat korjaustiedostot. Tarjoten älykkäästi priorisoidut tulokset ja ennakoivasti uusimmat uhat, Intruder säästää aikaa ja pitää kaiken kokoiset yritykset turvassa hakkereilta.

Ominaisuudet:

AWS-, Azure- ja Google Cloud -liittimet
Kehäkohtaiset tulokset vähentävät ulkoista hyökkäyspintaa
Laadukas raportointi
Slack, Microsoft Teams, Jira, Zapier-integraatiot
API-integrointi CI / CD-putkistoon

2) Owasp

Open Web Application Security Project (OWASP) on maailmanlaajuinen voittoa tavoittelematon organisaatio, joka keskittyy parantamaan ohjelmistojen turvallisuutta. Projektissa on useita työkaluja eri ohjelmistoympäristöjen ja -protokollien kynätestaukseen. Projektin lippulaivavälineitä ovat

Zed Attack Proxy (ZAP - integroitu tunkeutumistestaustyökalu)
OWASP-riippuvuustarkistus (se etsii projektiriippuvuuksia ja tarkistaa tunnettuja haavoittuvuuksia)
OWASP Web Testing Environment Project (tietoturvatyökalujen ja dokumentaation kokoelma)

3) WireShark

Wireshark on verkkoanalyysityökalu, joka tunnettiin aiemmin nimellä Ethereal. Se sieppaa paketit reaaliajassa ja näyttää ne ihmisen luettavassa muodossa. Pohjimmiltaan se on verkkopakettianalysaattori, joka antaa tarkat tiedot verkkoprotokollista, salauksen purkamisesta, pakettitiedoista jne. Se on avoin lähdekoodi ja sitä voidaan käyttää Linuxissa, Windowsissa, OS X: ssä, Solarisissa, NetBSD: ssä, FreeBSD: ssä ja monissa muissa muut järjestelmät. Tämän työkalun kautta haettuja tietoja voidaan tarkastella käyttöliittymän tai TTY-tilan TShark-apuohjelman kautta.

4) W3af

w3af on verkkosovellusten hyökkäys- ja tarkastuskehys. Siinä on kolmen tyyppisiä laajennuksia; etsintä, tarkastus ja hyökkäys, jotka kommunikoivat keskenään sivuston haavoittuvuuksien varalta, esimerkiksi w3af: n etsintälaajennus etsii erilaisia URL-osoitteita haavoittuvuuksien testaamiseksi ja välittää sen tarkastuslaajennukseen, joka sitten käyttää näitä URL-osoitteita haavoittuvuuksien etsimiseen.

Myytit ja tosiasiat turvallisuustestauksessa:

Puhutaan mielenkiintoisesta aiheesta myytteistä ja tietoturvatestauksen tosiseikoista:

Myytti # 1 Emme tarvitse turvallisuuspolitiikkaa, koska meillä on pieni yritys

Tosiasia: Kaikki ja kaikki yritykset tarvitsevat turvallisuuspolitiikkaa

Myytti # 2 Turvatestauksessa ei ole tuottoa

Tosiasia: Turvatestaus voi osoittaa parannettavia alueita, jotka voivat parantaa tehokkuutta ja vähentää seisokkeja, mikä mahdollistaa maksimaalisen läpimenon.

Myytti # 3 : Ainoa tapa varmistaa on irrottaa se.

Tosiasia: Ainoa ja paras tapa turvata organisaatio on löytää "täydellinen turvallisuus". Täydellinen turvallisuus voidaan saavuttaa suorittamalla asennon arviointi ja verrata sitä liike-, laki- ja teollisuusperusteisiin.

Myytti # 4 : Internet ei ole turvallinen. Ostan ohjelmiston tai laitteiston järjestelmän suojaamiseksi ja yrityksen pelastamiseksi.

Tosiasia: Yksi suurimmista ongelmista on ohjelmistojen ja laitteistojen ostaminen turvallisuutta varten. Sen sijaan organisaation tulisi ensin ymmärtää turvallisuus ja sitten soveltaa sitä.

Päätelmä:

Suojaustestaus on sovelluksen tärkein testaus, ja se tarkistaa, pysyykö luottamukselliset tiedot luottamuksellisina. Tämäntyyppisessä testauksessa testaaja pelaa roolissa hyökkääjällä ja pelaa ympäri järjestelmää löytääkseen tietoturvavirheitä. Suojaustestaus on erittäin tärkeää ohjelmistotuotannossa tietojen suojaamiseksi kaikin keinoin.

Mikä on turvallisuustestaus? Tyypit esimerkin avulla

Sisällysluettelo:

Mikä on turvallisuustestaus?

Miksi tietoturvatestaus on tärkeää?

Turvatestauksen tyypit:

Kuinka tehdä suojaustestaus

Esimerkkejä turvatestauksen testaustilanteista:

Menetelmät / lähestymistapa / tekniikat turvallisuustestaukseen

Turvallisuustestauksen roolit

Suojaustestaustyökalu

1) tunkeilija

2) Owasp

3) WireShark

4) W3af

Myytit ja tosiasiat turvallisuustestauksessa:

SQL Server -tietokanta: Luo, muuta, pudota, palauta

SQL Server DataTypes: Varchar, Numeerinen, Päivämääräaika (T-SQL-esimerkkejä)

SQL Server -taulukko: CREATE, ALTER, DROP (T-SQL-esimerkkejä)

Luo kirjautuminen, käyttäjä, määritä käyttöoikeus: SQL Server -opetusohjelma

Oracle vs. SQL Server: Tärkeimmät erot

60 SAP-perusteita haastattelukysymyksiä & Vastaukset

SAP Basis Tutorial PDF: Perusteet aloittelijoille (ILMAINEN lataus)

SAP-seuranta & Suorituskyvyn tarkastukset: Suorita opetusohjelma Tcodeilla

Kuinka & Testaa RFC-yhteys SAP - SM59: ssä

MB1C: Kuinka luoda materiaalivarastoa SAP: ssä

Kuinka käyttää väitteitä JMeterissä (vastausesimerkki)

Ohjaimet JMeter: Loop, Simple, Transaction, Module, Random

Jmeterin hajautettu (etä) testaus: Master-slave-määritys

JMeter-prosessori: PreProcessor & PostProsessori

Parhaat käytännöt Jmeter-testeillesi & Kuormitustestaus