Тестирование безопасности - Security testing

Тестирование безопасности это процесс, направленный на выявление недостатков в безопасность механизмы информационная система которые защищают данные и поддерживают функциональность, как задумано.[1] Из-за логических ограничений тестирования безопасности прохождение процесса тестирования безопасности не является признаком отсутствия недостатков или того, что система адекватно удовлетворяет требованиям безопасности.

Типичные требования безопасности могут включать в себя определенные элементы: конфиденциальность, честность, аутентификация, доступность, авторизация и неотречение.[2] Фактические протестированные требования безопасности зависят от требований безопасности, реализуемых системой. Термин «тестирование безопасности» имеет несколько различных значений и может выполняться разными способами. Таким образом, Таксономия безопасности помогает нам понять эти различные подходы и значения, предоставляя базовый уровень для работы.

Конфиденциальность

  • Мера безопасности, которая защищает от раскрытия информации сторонам, кроме предполагаемого получателя, ни в коем случае не является единственным способом обеспечения безопасности.

Честность

Под целостностью информации понимается защита информации от изменения неавторизованными сторонами.

  • Мера, позволяющая получателю определить правильность информации, предоставленной системой.
  • В схемах целостности часто используются некоторые из тех же базовых технологий, что и в схемах конфиденциальности, но они обычно включают добавление информации в сообщение, чтобы сформировать основу для алгоритмической проверки, а не кодирование всего сообщения.
  • Чтобы проверить, передается ли правильная информация из одного приложения в другое.

Аутентификация

Это может включать подтверждение личности, отслеживание происхождения артефакта, обеспечение того, чтобы продукт соответствовал его упаковке и маркировке, или обеспечение того, что компьютерная программа надежный.

Авторизация

  • Процесс определения того, что запрашивающей стороне разрешено получать услугу или выполнять операцию.
  • Контроль доступа это пример авторизации.

Доступность

  • Обеспечение готовности информационных и коммуникационных услуг к использованию, когда ожидается.
  • Информация должна быть доступна уполномоченным лицам, когда они в ней нуждаются.

Безотказность

  • В отношении цифровой безопасности неотказуемость означает обеспечение того, чтобы переданное сообщение было отправлено и получено сторонами, утверждающими, что они отправили и получили сообщение. Фиксация авторства - это способ гарантировать, что отправитель сообщения не сможет впоследствии отрицать отправку сообщения, а получатель не может отрицать получение сообщения.

Таксономия

Общие термины, используемые при проведении тестирования безопасности:

  • Открытие - Целью этого этапа является определение систем в рамках области применения и используемых услуг. Он не предназначен для обнаружения уязвимостей, но при обнаружении версий могут быть выделены устаревшие версии программного обеспечения / firmware и тем самым указывают на потенциальные уязвимости.
  • Сканирование уязвимостей - После этапа обнаружения выполняется поиск известных проблем безопасности с использованием автоматизированных инструментов для сопоставления условий с известными уязвимостями. Сообщаемый уровень риска устанавливается инструментом автоматически без ручной проверки или интерпретации поставщиком тестов. Это можно дополнить сканированием на основе учетных данных, которое пытается удалить некоторые распространенные ложные срабатывания используя предоставленные учетные данные для аутентификации в службе (например, локальные учетные записи Windows).
  • Оценка уязвимости - Это использует обнаружение и сканирование уязвимостей для определения уязвимостей безопасности и помещает результаты в контекст тестируемой среды. Примером может служить удаление распространенных ложных срабатываний из отчета и определение уровней риска, которые следует применять к каждому результату отчета, чтобы улучшить понимание бизнеса и контекст.
  • Оценка безопасности - Основывается на оценке уязвимости путем добавления ручной проверки для подтверждения уязвимости, но не включает использование уязвимостей для получения дальнейшего доступа. Проверка может быть в форме авторизованного доступа к системе для подтверждения настроек системы и включать изучение журналов, ответов системы, сообщений об ошибках, кодов и т. Д. Оценка безопасности стремится получить широкий охват тестируемых систем, но не глубину воздействия, к которому может привести конкретная уязвимость.
  • Тест на проникновение - Тест на проникновение имитирует атаку злоумышленника. Основывается на предыдущих этапах и предполагает использование обнаруженных уязвимостей для получения дальнейшего доступа. Использование этого подхода приведет к пониманию способности злоумышленника получить доступ к конфиденциальной информации, повлиять на целостность данных или доступность службы и соответствующее влияние. К каждому тесту подходят с использованием последовательной и полной методологии таким образом, чтобы тестировщик мог использовать свои способности решения проблем, результаты ряда инструментов и свои собственные знания о сетях и системах для поиска уязвимостей, которые могут / не могут быть идентифицированы автоматизированные инструменты. Этот подход рассматривает глубину атаки по сравнению с подходом оценки безопасности, который рассматривает более широкий охват.
  • Аудит безопасности - Управляется функцией аудита / рисков, чтобы рассмотреть конкретную проблему контроля или соответствия. Этот тип взаимодействия, характеризующийся узкой сферой действия, может использовать любой из рассмотренных ранее подходов (Оценка уязвимости, оценка безопасности, тест на проникновение).
  • Обзор безопасности - Проверка применения отраслевых или внутренних стандартов безопасности к компонентам системы или продукту. Обычно это выполняется с помощью анализа пробелов и анализа сборки / кода или анализа проектной документации и диаграмм архитектуры. В этом упражнении не используется ни один из предыдущих подходов (оценка уязвимости, оценка безопасности, тест на проникновение, аудит безопасности).

Инструменты

Смотрите также

Рекомендации

  1. ^ М Мартеллини и Малиция А. (2017). Кибер-химические, биологические, радиологические, ядерные, взрывные вызовы: угрозы и противодействие. Springer.
  2. ^ «Введение в информационную безопасность» US-CERT https://www.us-cert.gov/security-publications/introduction-information-security