Тестирование безопасности - Security testing

Тестирование безопасности - это процесс, предназначенный для выявления недостатков в механизмах безопасности информационной системы, которые защищают данные и поддерживают функциональность в соответствии с назначением. Из-за логических ограничений тестирования безопасности прохождение процесса тестирования безопасности не является признаком отсутствия недостатков или того, что система адекватно удовлетворяет требованиям безопасности.

Типичные требования безопасности могут включать в себя определенные элементы конфиденциальности , целостности , аутентификации , доступности, авторизации и неотказуемости . Фактические протестированные требования безопасности зависят от требований безопасности, реализуемых системой. Термин «тестирование безопасности» имеет несколько различных значений и может выполняться разными способами. Таким образом, Таксономия безопасности помогает нам понять эти различные подходы и значения, предоставляя базовый уровень для работы.

Конфиденциальность

• Мера безопасности, которая защищает от раскрытия информации сторонам, кроме предполагаемого получателя, никоим образом не является единственным способом обеспечения безопасности.

Честность

Под целостностью информации понимается защита информации от изменения неавторизованными сторонами.

• Мера, позволяющая получателю определить правильность информации, предоставленной системой.
• В схемах целостности часто используются некоторые из тех же базовых технологий, что и в схемах конфиденциальности, но они обычно включают добавление информации в сообщение, чтобы сформировать основу для алгоритмической проверки, а не кодирование всего сообщения.
• Чтобы проверить, передается ли правильная информация из одного приложения в другое.

Аутентификация

Это может включать подтверждение личности, отслеживание происхождения артефакта, обеспечение того, что продукт соответствует его упаковке и маркировке, или уверенность в том, что компьютерная программа является надежной.

Авторизация

• Процесс определения того, что запрашивающей стороне разрешено получать услугу или выполнять операцию.
• Контроль доступа - это пример авторизации.

Доступность

• Обеспечение готовности информационных и коммуникационных услуг к использованию, когда ожидается.
• Информация должна быть доступна уполномоченным лицам, когда они в ней нуждаются.

Безотказность

• В отношении цифровой безопасности неотказуемость означает обеспечение того, чтобы переданное сообщение было отправлено и получено сторонами, утверждающими, что они отправили и получили сообщение. Фиксация авторства - это способ гарантировать, что отправитель сообщения не может позже отрицать отправку сообщения, а получатель не может отрицать получение сообщения.
• Идентификатор отправителя обычно представляет собой заголовок, передаваемый вместе с сообщением, которое распознает источник сообщения.

Таксономия

Общие термины, используемые при проведении тестирования безопасности:

• Обнаружение - цель этого этапа - идентифицировать системы в пределах области действия и используемые услуги. Он не предназначен для обнаружения уязвимостей, но определение версии может выявить устаревшие версии программного обеспечения / прошивки и, таким образом, указать на потенциальные уязвимости.
• Сканирование уязвимостей - после этапа обнаружения выполняется поиск известных проблем безопасности с использованием автоматизированных инструментов для сопоставления условий с известными уязвимостями. Сообщаемый уровень риска устанавливается автоматически инструментом без ручной проверки или интерпретации поставщиком тестов. Это можно дополнить сканированием на основе учетных данных, которое пытается удалить некоторые распространенные ложные срабатывания , используя предоставленные учетные данные для аутентификации с помощью службы (например, локальных учетных записей Windows).
• Оценка уязвимости - использует обнаружение и сканирование уязвимостей для выявления уязвимостей безопасности и помещает результаты в контекст тестируемой среды. Примером может служить удаление распространенных ложных срабатываний из отчета и определение уровней риска, которые следует применять к каждому результату отчета, чтобы улучшить понимание бизнеса и контекст.
• Оценка безопасности - строится на основе оценки уязвимости путем добавления ручной проверки для подтверждения уязвимости, но не включает использование уязвимостей для получения дальнейшего доступа. Проверка может быть в форме авторизованного доступа к системе для подтверждения настроек системы и включать изучение журналов, ответов системы, сообщений об ошибках, кодов и т. Д. Оценка безопасности стремится получить широкий охват тестируемых систем, но не глубину воздействия, к которому может привести конкретная уязвимость.
• Тест на проникновение - тест на проникновение имитирует атаку злоумышленника. Основывается на предыдущих этапах и предполагает использование обнаруженных уязвимостей для получения дальнейшего доступа. Использование этого подхода приведет к пониманию способности злоумышленника получить доступ к конфиденциальной информации, повлиять на целостность данных или доступность службы и соответствующее влияние. К каждому тесту подходят с использованием последовательной и полной методологии, которая позволяет тестировщику использовать свои способности решения проблем, результаты ряда инструментов и свои собственные знания о сетях и системах для поиска уязвимостей, которые могут / не могут быть идентифицированы с помощью автоматизированные инструменты. Этот подход рассматривает глубину атаки по сравнению с подходом оценки безопасности, который рассматривает более широкий охват.
• Аудит безопасности - управляется функцией аудита / рисков для рассмотрения конкретной проблемы контроля или соответствия. Этот тип взаимодействия, характеризующийся узкой сферой действия, может использовать любой из рассмотренных ранее подходов ( оценка уязвимости, оценка безопасности, тест на проникновение).
• Обзор безопасности - проверка применения отраслевых или внутренних стандартов безопасности к системным компонентам или продукту. Обычно это выполняется с помощью анализа пробелов и анализа сборки / кода или анализа проектной документации и архитектурных диаграмм. В этом упражнении не используется какой-либо из предыдущих подходов (оценка уязвимости, оценка безопасности, тест на проникновение, аудит безопасности).

Инструменты

• CSA - Анализ безопасности контейнеров и инфраструктуры
• DAST - динамическое тестирование безопасности приложений
• DLP - предотвращение потери данных
• IAST - Интерактивное тестирование безопасности приложений
• IDS / IPS - обнаружение вторжений и / или предотвращение вторжений
• OSS - сканирование программного обеспечения с открытым исходным кодом
• RASP - самозащита рабочего приложения
• SAST - статическое тестирование безопасности приложений
• SCA - Анализ состава программного обеспечения
• WAF - брандмауэр веб-приложений

Смотрите также

• Национальный глоссарий по обеспечению информации

Рекомендации