Co je bezpečnostní testování? Příklad

Od: Thomas Hamilton Thomas Hamilton
Hours aktualizováno

⚡ Chytré shrnutí

Bezpečnostní testování je disciplína testování softwaru, která odhaluje zranitelnosti, hrozby a rizika v aplikaci dříve, než je udělají útočníci. Tento článek se zabývá sedmi základními typy, integračním modelem SDLC, běžnými metodologiemi, klíčovými rolemi a nejdůležitějšími nástroji.

  • 🛡️ Základní definice: Bezpečnostní testování odhaluje zranitelnosti, které by mohly vést k úniku informací, příjmů nebo reputace.
  • 🎯 Sedm typů: Skenování zranitelností, bezpečnostní skenování, penetrační testování, hodnocení rizik, bezpečnostní audit, etický hacking, hodnocení stavu systému.
  • 🔁 Shift Vlevo: Začleňte zabezpečení do každé fáze SDLC od požadavků až po podporu – včasná oprava je mnohem levnější než oprava po vydání.
  • 🧪 Tři přístupy: Tygr Box, Black Boxa šedý Box představují spektrum od testování s plnými znalostmi po testování s nulovými znalostmi.
  • 🛠️ Řetězec nástrojů: Teramind, OWASP ZAP, Wiresharka w3af se široce používají v oblasti testování vnitřních hrozeb, webových aplikací a sítí.
  • 🤖 AI Boost: Agenti umělé inteligence třídí výstupy skenerů, upřednostňují CVE podle pravděpodobnosti zneužití a vytvářejí opravné záplaty.
Přečíst více

Co je testování zabezpečení?

Co je testování zabezpečení?

Testování bezpečnosti je typ testování softwaru který odhaluje zranitelnosti, hrozby a rizika v aplikaci a zabraňuje škodlivým útokům vetřelců. Účelem bezpečnostních testů je identifikovat každou mezeru a slabinu v systému, která by mohla vést ke ztrátě informací, příjmů nebo reputace z rukou insiderů nebo outsiderů.

Bezpečnostní testování chrání aplikaci před vetřelci

Proč je bezpečnostní testování důležité?

Hlavním cílem bezpečnostního testování je identifikovat hrozby v systému a změřit jejich potenciální dopad, aby bylo možné hrozby zmírnit a systém nadále bezpečně fungoval. Bezpečnostní testy detekují všechna možná rizika a poskytují vývojářům informace, které jim pomohou opravit problémy v kódu před nasazením.

Typy testování bezpečnosti v testování softwaru

Podle metodologické příručky pro testování bezpečnosti open source (OSSTMM) existuje sedm hlavních typů bezpečnostního testování.

Sedm typů bezpečnostních testů v testování softwaru

  • Skenování zranitelnosti: Automatizovaný software skenuje systém a hledá známé signatury zranitelností.
  • Bezpečnostní skenování: Identifikuje slabiny sítě a systému a doporučuje opravy. Může být manuální, automatizované nebo obojí.
  • Penetrační testování: Simuluje škodlivý útok za účelem odhalení zranitelností, které by mohl zneužít externí útočník.
  • Odhad rizika: Analyzuje bezpečnostní rizika pozorovaná v organizaci a klasifikuje je jako nízká, střední nebo vysoká a doporučuje kontrolní opatření.
  • Bezpečnostní audit: Interní kontrola žádostí a operační systémy na bezpečnostní chyby. Může zahrnovat kontrolu kódu řádek po řádku.
  • Etické hackování: Autorizované nabourání softwaru organizace za účelem odhalení bezpečnostních nedostatků – opačný záměr než úmyslní hackeri.
  • Hodnocení držení těla: Kombinuje bezpečnostní skenování, etické hackovánía posouzení rizik, které ukazuje celkovou bezpečnostní situaci v organizaci.

Jak provádět bezpečnostní testování

Je všeobecně přijímáno, že náklady na opravu bezpečnostní závady dramaticky rostou, čím později je zjištěna. bezpečnostní testování až do nasazení je mnohem dražší než jeho zabudování do SDLC od samého začátku.

Níže uvedená tabulka mapuje bezpečnostní aktivity pro každou fázi SDLC.

Bezpečnostní procesy v každé fázi SDLC

Fáze SDLC Bezpečnostní procesy
požadavky Bezpečnostní analýza požadavků a kontrola případů zneužití/nepoužívání.
Design Analýza bezpečnostních rizik pro návrh. Vývoj testovací plán což zahrnuje bezpečnostní testy.
Kódování a testování jednotek Statické a dynamické testování a zabezpečení testování bílé skříňky.
Testování integrace Testování černé skříňky.
Testování systému Testování černé skříňky a skenování zranitelností.
Implementace Penetrační testování a skenování zranitelností.
Podpora Analýza dopadu záplat.

Plán bezpečnostních testů by měl zahrnovat:

  • Testovací případy a scénáře související s bezpečností.
  • Testovací data určená pro bezpečnostní testování.
  • Testovací nástroje potřebné pro každou bezpečnostní aktivitu.
  • Analýza výstupů z různých bezpečnostních nástrojů.

Příklad testovacích scénářů pro testování zabezpečení

Níže uvedený seznam nabízí přehled typických případů bezpečnostních testů.

  • Hesla jsou uložena v zašifrované podobě, nikdy ne v prostém textu.
  • Aplikace nebo systém blokuje neplatné uživatele.
  • Soubory cookie a časové limity relace jsou ověřovány pro každý pracovní postup.
  • U finančních webů nesmí tlačítko Zpět v prohlížeči po odhlášení zobrazovat chráněné stránky.

Metodiky a techniky pro bezpečnostní testování

Bezpečnostní testování se řídí několika zavedenými metodologiemi.

  • Tygr Box: Testování prováděné z notebooku s nainstalovanými různými operačními systémy a hackerskými nástroji. Používá se penetračními testery k posouzení zranitelností a spuštění útoků.
  • Černý box: Tester nemá žádné interní znalosti o topologii sítě ani o technologickém stacku a zkoumá systém jako někdo zvenčí.
  • Šedá Box: Tester obdrží částečné informace o systému. Tento hybrid technik white-box a black-box odráží realistický model hrozby, kde některé detaily unikly.

Role testování bezpečnosti

  • hacker: Obecný termín pro někoho, kdo přistupuje k počítačovému systému nebo síti – dnes běžně používaný k označení black-hat hackerů, kteří tak činí bez autorizace.
  • Sušenka: Narušuje systémy za účelem krádeže nebo zničení dat.
  • Etický hacker: Provádí stejné činnosti jako hacker, ale s výslovným souhlasem majitele, helping zpevnit systém.
  • Script Kiddies / Packet Monkeys: Nezkušení útočníci s omezenými znalostmi programování, kteří se spoléhají na předpřipravené skripty a nástroje.

Nástroje pro testování bezpečnosti

1) Teramind

Teramind nabízí komplexní sadu řešení pro prevenci vnitřních hrozeb a monitorování zaměstnanců. Zvyšuje bezpečnost prostřednictvím analýzy chování a prevence ztráty dat, zajišťuje dodržování předpisů a optimalizuje obchodní procesy. Jeho přizpůsobitelná platforma vyhovuje různým organizačním potřebám a poskytuje praktické informace zaměřené na zvýšení produktivity a ochranu integrity dat.

Teramind platforma pro monitorování vnitřních hrozeb a zaměstnanců

Funkce:

  • Prevence vnitřních hrozeb: Detekuje a zabraňuje akcím uživatelů, které mohou naznačovat vnitřní hrozby pro data.
  • Optimalizace obchodních procesů: Využívá analýzu chování založenou na datech k zdokonalení provozních procesů.
  • Produktivita pracovní síly: Monitoruje produktivitu, bezpečnost a dodržování předpisů.
  • Řízení dodržování předpisů: Zajišťuje dodržování předpisů z jednoho škálovatelného řešení, vhodného pro malé firmy, velké podniky a vládní agentury.
  • Kriminalita incidentů: Poskytuje důkazy pro obohacení reakce na incidenty, vyšetřování a analýzy hrozeb.
  • Prevence ztráty dat: Monitoruje a chrání před ztrátou citlivých dat.
  • Monitoring zaměstnanců: Tracvýkonnost a aktivity zaměstnanců ks.
  • Behaviorální analýza: Analyzuje podrobná data o chování uživatelů v aplikaci za účelem získání přehledů.
  • Přizpůsobitelná nastavení monitorování: Umožňuje přizpůsobit pravidla monitorování specifickým případům použití.
  • Statistiky řídicího panelu: Poskytuje přehled a praktické informace prostřednictvím komplexního dashboardu.

Návštěva Teramind >>

2) OWASP

Jedno Open Web Application Security Project (OWASP) je celosvětová nezisková organizace, která se věnuje zlepšování bezpečnosti softwaru. Projekt nabízí řadu nástrojů pro testování perem v různých softwarových prostředích a protokolech. Mezi stěžejní nástroje patří:

  1. ZED ATTACK PROXY (ZAP) — integrovaný nástroj pro penetrační testování.
  2. Kontrola závislostí OWASP — prohledává závislosti projektu a hledá známé zranitelnosti.
  3. Projekt webového testovacího prostředí OWASP — uspořádaná kolekce bezpečnostních nástrojů a dokumentace.

3) Wireshark

Wireshark je nástroj pro analýzu sítě, dříve známý jako Ethereal. Zachycuje pakety v reálném čase a zobrazuje je ve formátu čitelném pro člověka. Wireshark je open source a běží na Linuxu, Windows, macOS, Solaris, NetBSD, FreeBSD a mnoho dalších systémů. Data lze zobrazit v grafickém rozhraní nebo pomocí utility příkazového řádku TShark.

4) w3af

w3af je framework pro útoky a audity webových aplikací. Má tři kategorie pluginů – objevování, audit a útok – které spolu komunikují. Plugin pro objevování vyhledává URL adresy k testování, přeposílá je do pluginu pro audit, který vyhledává zranitelnosti, a plugin pro útok se poté pokusí o jejich zneužití.

Mýty a fakta o testování bezpečnosti

Několik přetrvávajících mýtů zpomaluje bezpečnostní programy. Níže uvedený seznam spojuje každý mýtus se základním faktem.

Mýtus č. 1: Malá firma nepotřebuje bezpečnostní politiku.
Skutečnost: Každý člověk a každá firma potřebuje bezpečnostní politiku.

Mýtus č. 2: Bezpečnostní testování nenabízí žádnou návratnost investic.
Skutečnost: Bezpečnostní testování odhaluje oblasti pro zlepšení, které zvyšují efektivitu, snižují prostoje a umožňují maximální propustnost.

Mýtus č. 3: Jediný způsob, jak se zabezpečit, je odpojit systém od sítě.
Skutečnost: Praktická bezpečnost vychází z posouzení stavu sítě v souladu s obchodními, právními a průmyslovými požadavky – nikoli z odpojení sítě.

Mýtus č. 4: Nákup dalšího softwaru nebo hardwaru ochrání firmu.
Skutečnost: Nástroje nenahrazují strategii. Nejprve pochopte situaci s hrozbami a poté vyberte vhodné kontrolní mechanismy.

Nejčastější dotazy

SAST (Static Application Security Testing – statické testování bezpečnosti aplikací) skenuje zdrojový kód a hledá zranitelnosti, aniž by jej spouštěl. DAST (Dynamic Application Security Testing – dynamické testování bezpečnosti aplikací) zkoumá běžící aplikaci. Zralé týmy používají oba – SAST v CI, DAST ve staging – k pokrytí rizik v kódu i za běhu.

Automatizované skenování probíhá u každého sestavení, kontrola závislostí denně, kompletní penetrační test nejméně jednou ročně nebo po vydání hlavních verzí a čtvrtletní hodnocení stavu. Citlivá odvětví, jako jsou finance a zdravotnictví, často vyžadují měsíční skenování pro zajištění souladu s předpisy.

OWASP ASVS, OWASP Top 10, NIST SP 800-115, ISO/IEC 27001, PCI-DSS a OSSTMM jsou nejrozšířenější standardy. Definují pokrytí testy, cíle kontroly a požadavky na podávání zpráv pro testování bezpečnosti aplikací a infrastruktury.

AI Nástroje shlukují nálezy skenerů, deduplikují falešně pozitivní výsledky, předpovídají pravděpodobnost zneužití z informací o hrozbách a generují záplaty pro běžné třídy CVE – což analytikům umožňuje soustředit se na vysoce rizikové, pro podnikání kritické problémy.

Generativní agenti umělé inteligence mohou řetězit kroky průzkumu, zneužití a reportování, aby prováděli autonomní penetrační testy v rámci vymezeného prostředí. Lidští kontroloři i nadále ověřují zjištění a schvalují řetězce zneužití pro živé cíle, aby zajistili dodržování etických a právních předpisů.

Shrňte tento příspěvek takto: