Тестирование безопасности - это процесс, предназначенный для выявления недостатков в механизмах безопасности информационной системы, которые защищают данные и поддерживают функциональность, как задумано. [1] Из-за логических ограничений тестирования безопасности прохождение процесса тестирования безопасности не является признаком отсутствия недостатков или того, что система адекватно удовлетворяет требованиям безопасности.
Типичные требования безопасности могут включать в себя определенные элементы конфиденциальности , целостности , аутентификации , доступности, авторизации и неотказуемости . [2] Фактические протестированные требования безопасности зависят от требований безопасности, реализуемых системой. Термин «тестирование безопасности» имеет несколько различных значений и может выполняться разными способами. Таким образом, Таксономия безопасности помогает нам понять эти различные подходы и значения, предоставляя базовый уровень для работы.
Конфиденциальность
- Мера безопасности, которая защищает от раскрытия информации сторонам, кроме предполагаемого получателя, никоим образом не является единственным способом обеспечения безопасности.
Честность
Под целостностью информации понимается защита информации от изменения неавторизованными сторонами.
- Мера, позволяющая получателю определить правильность информации, предоставленной системой.
- В схемах целостности часто используются некоторые из тех же базовых технологий, что и в схемах конфиденциальности, но они обычно включают добавление информации в сообщение, чтобы сформировать основу для алгоритмической проверки, а не кодирование всего сообщения.
- Чтобы проверить, передается ли правильная информация из одного приложения в другое.
Аутентификация
Это может включать в себя подтверждение личности, отслеживание происхождения артефакта, обеспечение того, что продукт соответствует его упаковке и маркировке, или уверенность в том, что компьютерная программа является надежной.
Авторизация
- Процесс определения того, что запрашивающей стороне разрешено получать услугу или выполнять операцию.
- Контроль доступа - это пример авторизации.
Доступность
- Обеспечение готовности информационных и коммуникационных услуг к использованию, когда ожидается.
- Информация должна быть доступна уполномоченным лицам, когда они в ней нуждаются.
Безотказность
- В отношении цифровой безопасности неотказуемость означает обеспечение того, чтобы переданное сообщение было отправлено и получено сторонами, утверждающими, что они отправили и получили сообщение. Фиксация авторства - это способ гарантировать, что отправитель сообщения не может позже отрицать отправку сообщения, а получатель не может отрицать получение сообщения.
- Идентификатор отправителя обычно представляет собой заголовок, передаваемый вместе с сообщением, которое распознает источник сообщения.
Таксономия
Общие термины, используемые при проведении тестирования безопасности:
- Обнаружение - цель этого этапа - определить системы в рамках области применения и используемые услуги. Он не предназначен для обнаружения уязвимостей, но определение версии может выявить устаревшие версии программного обеспечения / прошивки и, таким образом, указать на потенциальные уязвимости.
- Сканирование уязвимостей - после этапа обнаружения выполняется поиск известных проблем безопасности с использованием автоматических инструментов для сопоставления условий с известными уязвимостями. Сообщаемый уровень риска устанавливается инструментом автоматически без ручной проверки или интерпретации поставщиком тестов. Это можно дополнить сканированием на основе учетных данных, которое пытается удалить некоторые распространенные ложные срабатывания , используя предоставленные учетные данные для аутентификации с помощью службы (например, локальных учетных записей Windows).
- Оценка уязвимости - использует обнаружение и сканирование уязвимостей для выявления уязвимостей безопасности и помещает результаты в контекст тестируемой среды. Примером может служить удаление распространенных ложных срабатываний из отчета и определение уровней риска, которые следует применять к каждому результату отчета, чтобы улучшить понимание бизнеса и контекст.
- Оценка безопасности - строится на основе оценки уязвимости путем добавления ручной проверки для подтверждения уязвимости, но не включает использование уязвимостей для получения дальнейшего доступа. Проверка может быть в форме авторизованного доступа к системе для подтверждения настроек системы и включать изучение журналов, ответов системы, сообщений об ошибках, кодов и т. Д. Оценка безопасности стремится получить широкий охват тестируемых систем, но не глубину воздействия, к которому может привести конкретная уязвимость.
- Тест на проникновение - тест на проникновение имитирует атаку злоумышленника. Основывается на предыдущих этапах и предполагает использование обнаруженных уязвимостей для получения дальнейшего доступа. Использование этого подхода приведет к пониманию способности злоумышленника получить доступ к конфиденциальной информации, повлиять на целостность данных или доступность службы и соответствующее влияние. К каждому тесту подходят с использованием последовательной и полной методологии, которая позволяет тестировщику использовать свои способности решения проблем, результаты ряда инструментов и свои собственные знания о сетях и системах для поиска уязвимостей, которые могут / не могут быть идентифицированы с помощью автоматизированные инструменты. Этот подход рассматривает глубину атаки по сравнению с подходом оценки безопасности, который рассматривает более широкий охват.
- Аудит безопасности - управляется функцией аудита / рисков для рассмотрения конкретной проблемы контроля или соответствия. Этот тип взаимодействия, характеризующийся узкой сферой действия, может использовать любой из рассмотренных ранее подходов ( оценка уязвимости, оценка безопасности, тест на проникновение).
- Обзор безопасности - проверка применения отраслевых или внутренних стандартов безопасности к системным компонентам или продукту. Обычно это выполняется с помощью анализа пробелов и анализа сборки / кода или анализа проектной документации и архитектурных диаграмм. В этом упражнении не используется какой-либо из предыдущих подходов (оценка уязвимости, оценка безопасности, тест на проникновение, аудит безопасности).
Инструменты
- CSA - Анализ безопасности контейнеров и инфраструктуры
- DAST - динамическое тестирование безопасности приложений
- DLP - предотвращение потери данных
- IAST - Интерактивное тестирование безопасности приложений
- IDS / IPS - обнаружение вторжений и / или предотвращение вторжений
- OSS - сканирование программного обеспечения с открытым исходным кодом
- RASP - самозащита рабочего приложения
- SAST - статическое тестирование безопасности приложений
- SCA - Анализ состава программного обеспечения
- WAF - брандмауэр веб-приложений
Смотрите также
Рекомендации
- ^ М Martellini, & Malizia, А. (2017). Кибер-химические, биологические, радиологические, ядерные, взрывоопасные вызовы: угрозы и противодействие. Springer.
- ^ «Введение в информационную безопасность» US-CERT https://www.us-cert.gov/security-publications/introduction-information-security