Тестирование безопасности

Тестирование безопасности — это процесс, предназначенный для обнаружения недостатков в безопасности механизмах информационной системы и, как таковой, помогающий защитить данные и поддерживать функциональность по назначению. ^[1] Из-за логических ограничений тестирования безопасности прохождение процесса тестирования безопасности не является показателем отсутствия недостатков или того, что система адекватно удовлетворяет требованиям безопасности.

Типичные требования безопасности могут включать определенные элементы конфиденциальности , целостности , аутентификации , доступности, авторизации и неотказуемости . ^[2] Фактические проверенные требования безопасности зависят от требований безопасности, реализуемых системой. Термин «тестирование безопасности» имеет множество значений и может выполняться разными способами. Таким образом, таксономия безопасности помогает нам понять эти различные подходы и значения, предоставляя базовый уровень для работы.

Конфиденциальность [ править ]

Мера безопасности, защищающая от раскрытия информации лицам, не являющимся предполагаемым получателем, ни в коем случае не является единственным способом обеспечения безопасности.

Честность [ править ]

Целостность информации означает защиту информации от изменения неавторизованными сторонами.

Мера, позволяющая получателю определить, что информация, предоставляемая системой, верна.
Схемы целостности часто используют те же базовые технологии, что и схемы конфиденциальности, но они обычно включают добавление информации к сообщению, чтобы сформировать основу алгоритмической проверки, а не кодирование всего сообщения.
Чтобы проверить, передается ли правильная информация из одного приложения в другое.

Аутентификация [ править ]

Это может включать в себя подтверждение личности человека, отслеживание происхождения артефакта, проверку того, что продукт соответствует заявленному на его упаковке и маркировке, или подтверждение того, что компьютерная программа является надежной.

Авторизация [ править ]

Процесс определения того, что запрашивающей стороне разрешено получать услугу или выполнять операцию.
Контроль доступа является примером авторизации.

Наличие [ править ]

Обеспечение готовности информационных и коммуникационных услуг к использованию в ожидаемое время.
Информация должна быть доступна уполномоченным лицам, когда она им понадобится.

Неотказ от ответственности [ править ]

Что касается цифровой безопасности, неотказуемость означает гарантию того, что переданное сообщение было отправлено и получено сторонами, утверждающими, что оно отправило и получило сообщение. Неотказуемость — это способ гарантировать, что отправитель сообщения не сможет впоследствии отрицать отправку сообщения, а получатель не сможет отрицать получение сообщения.
Идентификатор отправителя обычно представляет собой заголовок, передаваемый вместе с сообщением, который распознает источник сообщения.

Таксономия [ править ]

Общие термины, используемые для проведения тестирования безопасности:

Обнаружение . Целью этого этапа является идентификация систем в пределах области действия и используемых услуг. Он не предназначен для обнаружения уязвимостей, но обнаружение версий может выявить устаревшие версии программного обеспечения /прошивки и, таким образом, указать на потенциальные уязвимости.
Сканирование уязвимостей . После этапа обнаружения выполняется поиск известных проблем безопасности с использованием автоматизированных инструментов для сопоставления условий с известными уязвимостями. Сообщаемый уровень риска устанавливается инструментом автоматически без необходимости ручной проверки или интерпретации поставщиком теста. Это можно дополнить сканированием на основе учетных данных, которое направлено на устранение некоторых распространенных ложных срабатываний за счет использования предоставленных учетных данных для аутентификации в службе (например, локальных учетных записей Windows).
Оценка уязвимостей . При этом используется обнаружение и сканирование уязвимостей для выявления уязвимостей безопасности и помещаются результаты в контекст тестируемой среды. Примером может служить удаление распространенных ложных срабатываний из отчета и определение уровней риска, которые следует применять к каждому выводу отчета, чтобы улучшить понимание бизнеса и контекст.
Оценка безопасности — основывается на оценке уязвимостей путем добавления ручной проверки для подтверждения воздействия, но не включает использование уязвимостей для получения дальнейшего доступа. Проверка может осуществляться в форме авторизованного доступа к системе для подтверждения настроек системы и включать изучение журналов, ответов системы, сообщений об ошибках, кодов и т. д. Целью оценки безопасности является широкий охват тестируемых систем, а не глубина. воздействия, к которому может привести конкретная уязвимость.
Тест на проникновение . Тест на проникновение имитирует атаку злоумышленника. Опирается на предыдущие этапы и предполагает эксплуатацию найденных уязвимостей для получения дальнейшего доступа. Использование этого подхода приведет к пониманию способности злоумышленника получить доступ к конфиденциальной информации, повлиять на целостность данных или доступность услуги и соответствующее влияние. К каждому тесту применяется последовательная и полная методология, позволяющая тестировщику использовать свои способности решать проблемы, результаты работы ряда инструментов и собственные знания о сетях и системах для поиска уязвимостей, которые могут или не могут быть идентифицированы автоматизированные инструменты. Этот подход учитывает глубину атаки по сравнению с подходом оценки безопасности, который рассматривает более широкий охват.
Аудит безопасности — осуществляется функцией аудита и рисков для рассмотрения конкретных проблем контроля или соответствия. Этот тип взаимодействия, характеризующийся узким охватом, может использовать любой из ранее обсуждавшихся подходов ( оценка уязвимости , оценка безопасности, тест на проникновение).
Проверка безопасности — проверка того, что отраслевые или внутренние стандарты безопасности были применены к системным компонентам или продукту. Обычно это выполняется посредством анализа пробелов и проверки сборки и кода или путем проверки проектной документации и архитектурных диаграмм. Это действие не использует ни один из предыдущих подходов (оценка уязвимостей, оценка безопасности, тест на проникновение, аудит безопасности).

Инструменты [ править ]

контейнеров и инфраструктуры Анализ безопасности ^[3]^[4]
SAST — статическое тестирование безопасности приложений
DAST — динамическое тестирование безопасности приложений
IAST — интерактивное тестирование безопасности приложений ^[5]
DLP — предотвращение потери данных
IDS, IPS — система обнаружения вторжений, система предотвращения вторжений
Сканирование OSS — сканирование программного обеспечения с открытым исходным кодом (см. Безопасность программного обеспечения с открытым исходным кодом )
RASP — Самозащита приложений во время выполнения
SCA — анализ состава программного обеспечения ^[6]
WAF — Брандмауэр веб-приложений

См. также [ править ]

Глоссарий по национальному обеспечению информации

Ссылки [ править ]

^ М. Мартеллини и Малиция А. (2017). Кибер- и химические, биологические, радиологические, ядерные, взрывчатые вызовы: угрозы и меры противодействия. Спрингер.
^ «Введение в информационную безопасность» US-CERT https://www.us-cert.gov/security-publications/introduction-information-security .
^ «Стандарт проверки безопасности контейнеров» . Гитхаб . 20 июля 2022 г.
^ «Инфраструктура как безопасность кода — серия шпаргалок OWASP» .
^ «Руководство OWASP DevSecOps — версия 0.2 | OWASP Foundation» .
^ «Анализ компонентов | Фонд OWASP» .

[1] М. Мартеллини и Малиция А. (2017). Кибер- и химические, биологические, радиологические, ядерные, взрывчатые вызовы: угрозы и меры противодействия. Спрингер.

[2] «Введение в информационную безопасность» US-CERT https://www.us-cert.gov/security-publications/introduction-information-security .

[3] «Стандарт проверки безопасности контейнеров» . Гитхаб . 20 июля 2022 г.

[4] «Инфраструктура как безопасность кода — серия шпаргалок OWASP» .

[5] «Руководство OWASP DevSecOps — версия 0.2 | OWASP Foundation» .

[6] «Анализ компонентов | Фонд OWASP» .

[1]

[2]

[3]

[4]

[5]

[6]

v т и Информационная безопасность
Related security categories	Computer security Automotive security Cybercrime Cybersex trafficking Computer fraud Cybergeddon Cyberterrorism Cyberwarfare Electromagnetic warfare Information warfare Internet security Mobile security Network security Copy protection Digital rights management	vectorial version
Threats	Adware Advanced persistent threat Arbitrary code execution Backdoors Hardware backdoors Code injection Crimeware Cross-site scripting Cross-site leaks DOM clobbering History sniffing Cryptojacking Botnets Data breach Drive-by download Browser Helper Objects Viruses Data scraping Denial-of-service attack Eavesdropping Email fraud Email spoofing Exploits Hacktivism Insecure direct object reference Keystroke loggers Logic bombs Time bombs Fork bombs Zip bombs Fraudulent dialers Malware Payload Phishing Voice Polymorphic engine Privilege escalation Ransomware Rootkits Scareware Shellcode Spamming Social engineering Spyware Software bugs Trojan horses Hardware Trojans Remote access trojans Vulnerability Web shells Wiper Worms SQL injection Rogue security software Zombie
Defenses	Application security Secure coding Secure by default Secure by design Misuse case Computer access control Authentication Multi-factor authentication Authorization Computer security software Antivirus software Security-focused operating system Data-centric security Obfuscation (software) Data masking Encryption Firewall Intrusion detection system Host-based intrusion detection system (HIDS) Anomaly detection Security information and event management (SIEM) Mobile secure gateway Runtime application self-protection Site isolation

v т и Тестирование программного обеспечения
The "box" approach	Black-box testing All-pairs testing Exploratory testing Fuzz testing Model-based testing Scenario testing Grey-box testing White-box testing API testing Mutation testing Static testing
Testing levels	Acceptance testing Integration testing System testing Unit testing
Testing types, techniques, and tactics	A/B testing Benchmark Compatibility testing Concolic testing Concurrent testing Conformance testing Continuous testing Destructive testing Development testing Differential testing Dynamic program analysis Installation testing Negative testing Random testing Regression testing Security testing Smoke testing (software) Software performance testing Stress testing Symbolic execution Test automation Usability testing
See also	Graphical user interface testing Manual testing Orthogonal array testing Pair testing Soak testing Software reliability testing Stress testing Web testing