Sikkerhedstest - Security testing

Sikkerhedstest er en proces beregnet til at afsløre mangler i sikkerhedsmekanismerne i et informationssystem, der beskytter data og opretholder funktionalitet som beregnet. På grund af de logiske begrænsninger ved sikkerhedstest er beståelse af sikkerhedstestprocessen ikke en indikation af, at der ikke er fejl, eller at systemet tilstrækkeligt opfylder sikkerhedskravene.

Typiske sikkerhedskrav kan omfatte specifikke elementer af fortrolighed , integritet , godkendelse , tilgængelighed, autorisation og ikke-afvisning . Faktiske testede sikkerhedskrav afhænger af sikkerhedskravene, der implementeres af systemet. Sikkerhedstest som udtryk har en række forskellige betydninger og kan gennemføres på en række forskellige måder. Som sådan hjælper en sikkerhedstaksonomi os med at forstå disse forskellige tilgange og betydninger ved at give et basisniveau at arbejde fra.

Fortrolighed

  • En sikkerhedsforanstaltning, der beskytter mod videregivelse af oplysninger til andre end den påtænkte modtager, er på ingen måde den eneste måde at sikre sikkerheden på.

Integritet

Integritet af information refererer til at beskytte oplysninger mod at blive ændret af uautoriserede parter

  • En foranstaltning beregnet til at give modtageren mulighed for at bestemme, at de oplysninger, der leveres af et system, er korrekte.
  • Integritetsordninger bruger ofte nogle af de samme underliggende teknologier som fortrolighedsordninger, men de involverer normalt at tilføje information til en kommunikation for at danne grundlaget for en algoritmisk kontrol i stedet for kodning af al kommunikation.
  • At kontrollere, om de korrekte oplysninger overføres fra en applikation til en anden.

Godkendelse

Dette kan omfatte at bekræfte en persons identitet, spore oprindelsen til en artefakt, sikre, at et produkt er, hvad dets emballage og mærkning hævder at være, eller at sikre, at et computerprogram er pålideligt.

Bemyndigelse

  • Processen med at bestemme, at en rekvirent har lov til at modtage en tjeneste eller udføre en operation.
  • Adgangskontrol er et eksempel på autorisation.

Tilgængelighed

  • At sikre informations- og kommunikationstjenester vil være klar til brug, når det forventes.
  • Oplysninger skal holdes tilgængelige for autoriserede personer, når de har brug for det.

Ikke-afvisning

  • Med henvisning til digital sikkerhed betyder ikke-afvisning at sikre, at en overført besked er sendt og modtaget af parterne, der hævder at have sendt og modtaget beskeden. Ikke-afvisning er en måde at garantere, at afsenderen af ​​en besked ikke senere kan nægte at have sendt beskeden, og at modtageren ikke kan nægte at have modtaget beskeden.
  • En afsender-id er normalt en overskrift overført sammen med en besked, der genkender meddelelseskilden.

Taxonomi

Almindelige udtryk, der bruges til levering af sikkerhedstest:

  • Opdagelse - Formålet med dette trin er at identificere systemer inden for anvendelsesområdet og de anvendte tjenester. Det er ikke beregnet til at opdage sårbarheder, men versionsopdagelse kan fremhæve forældede versioner af software / firmware og dermed indikere potentielle sårbarheder.
  • Sårbarhedsscanning - Efter opdagelsesfasen ser dette efter kendte sikkerhedsproblemer ved hjælp af automatiserede værktøjer til at matche forhold med kendte sårbarheder. Det rapporterede risikoniveau indstilles automatisk af værktøjet uden manuel verifikation eller fortolkning af testleverandøren. Dette kan suppleres med legitimationsbaseret scanning, der ser ud til at fjerne nogle almindelige falske positive ved at bruge leverede legitimationsoplysninger til at godkende med en tjeneste (f.eks. Lokale Windows-konti).
  • Vurdering af sårbarhed - Dette bruger scanning af sårbarheder til at identificere sikkerhedssårbarheder og placerer resultaterne i den miljøkontekst, der testes. Et eksempel kunne være at fjerne almindelige falske positive fra rapporten og beslutte risikoniveauer, der skal anvendes på hver rapport, der finder for at forbedre forretningsforståelse og kontekst.
  • Sikkerhedsvurdering - bygger på vurdering af sårbarhed ved at tilføje manuel verifikation for at bekræfte eksponering, men inkluderer ikke udnyttelse af sårbarheder for at få yderligere adgang. Verifikation kan være i form af autoriseret adgang til et system for at bekræfte systemindstillinger og involvere undersøgelse af logfiler, systemresponser, fejlmeddelelser, koder osv. En sikkerhedsvurdering søger at få en bred dækning af de systemer, der testes, men ikke dybden eksponering, som en bestemt sårbarhed kan føre til.
  • Penetration Test - Penetration test simulerer et angreb fra en ondsindet part. At bygge videre på de tidligere faser og involverer udnyttelse af fundne sårbarheder for at få yderligere adgang. Brug af denne tilgang vil resultere i en forståelse af en angribers evne til at få adgang til fortrolige oplysninger, påvirke dataintegriteten eller tilgængeligheden af ​​en tjeneste og den respektive indvirkning. Hver test tilgås ved hjælp af en konsistent og komplet metode på en måde, der gør det muligt for testeren at bruge deres problemløsningsevner, output fra en række værktøjer og deres egen viden om netværk og systemer til at finde sårbarheder, der ville / ikke kunne identificeres af automatiserede værktøjer. Denne tilgang ser på angrebets dybde sammenlignet med sikkerhedsvurderingsmetoden, der ser på den bredere dækning.
  • Sikkerhedsrevision - Drevet af en audit / risikofunktion til at se på et specifikt kontrol- eller overholdelsesproblem. Karakteriseret ved et snævert omfang kan denne type engagement gøre brug af en hvilken som helst af de tidligere diskuterede tilgange ( sårbarhedsvurdering , sikkerhedsvurdering, penetrationstest).
  • Security Review - Bekræftelse af, at industrielle eller interne sikkerhedsstandarder er blevet anvendt på systemkomponenter eller -produkter. Dette afsluttes typisk gennem hulanalyse og bruger build / code anmeldelser eller ved at gennemgå designdokumenter og arkitekturdiagrammer. Denne aktivitet anvender ikke nogen af ​​de tidligere tilgange (sårbarhedsvurdering, sikkerhedsvurdering, penetrationstest, sikkerhedsrevision)

Værktøjer

Se også

Referencer