Типы тестирования безопасности

Question

Какие существуют виды тестирования безопасности?

Answer 1

У нас есть довольно полный список, который обсуждается на бирже стеков безопасности здесь и здесь .

Discovery

Цель этого этапа - определить системы в пределах области действия и используемые услуги. Он не предназначен для обнаружения уязвимостей, но обнаружение версий может выделить устаревшие версии программного обеспечения / встроенного программного обеспечения и, таким образом, указать потенциальные уязвимости.

Сканирование уязвимостей

После этапа обнаружения выполняется поиск известных проблем безопасности с использованием автоматизированных инструментов для сопоставления условий с известными уязвимостями. Указанный уровень риска устанавливается автоматически инструментом без проверки или интерпретации поставщиком теста вручную. Это может быть дополнено сканированием на основе учетных данных, которое позволяет устранить некоторые распространенные ложные срабатывания с помощью предоставленных учетных данных для проверки подлинности с помощью службы (например, локальных учетных записей Windows).

Оценка уязвимости

При этом используется обнаружение и сканирование на наличие уязвимостей для выявления уязвимостей в системе безопасности и помещения результатов в контекст тестируемой среды. В качестве примера можно было бы удалить распространенные ложные срабатывания из отчета и определить уровни риска, которые следует применять к каждому выводу отчета, чтобы улучшить понимание бизнеса и контекст.

Оценка безопасности

Основывается на оценке уязвимости, добавляя ручную проверку для подтверждения уязвимости, но не включает использование уязвимостей для получения дальнейшего доступа. Проверка может быть в форме авторизованного доступа к системе для подтверждения настроек системы и вовлечения проверки журналов, ответов системы, сообщений об ошибках, кодов и т. Д. Оценка безопасности рассчитывает получить широкий охват тестируемых систем, но не глубину воздействия, к которому может привести конкретная уязвимость.

Испытание на проникновение

Тестирование на проникновение имитирует атаку злоумышленника. Опираясь на предыдущие этапы и включает в себя использование обнаруженных уязвимостей для получения дальнейшего доступа. Использование этого подхода приведет к пониманию способности злоумышленника получить доступ к конфиденциальной информации, повлиять на целостность данных или доступность службы и соответствующее влияние. К каждому тесту применяется последовательная и полная методология, позволяющая тестировщику использовать свои способности к решению проблем, результаты, полученные от целого ряда инструментов, и свои собственные знания в области сетей и систем для поиска уязвимостей, которые могут / не могут быть выявлены автоматизированные инструменты. Этот подход рассматривает глубину атаки по сравнению с подходом оценки безопасности, который рассматривает более широкий охват.

Аудит безопасности

Управляется функцией аудита / риска, чтобы посмотреть на конкретную проблему контроля или соответствия. Характеризуемый узким охватом, этот тип взаимодействия может использовать любой из ранее обсужденных подходов (оценка уязвимости, оценка безопасности, тест на проникновение).

Обзор безопасности

Проверка того, что отраслевые или внутренние стандарты безопасности были применены к системным компонентам или продукту. Обычно это выполняется с помощью анализа пробелов и использует обзоры сборки / кода или путем просмотра проектной документации и диаграмм архитектуры. В этом упражнении не используется ни один из более ранних подходов (оценка уязвимости, оценка безопасности, тест на проникновение, аудит безопасности)

Answer 2

• Оценка риска - создание модели угрозы и определение того, что будет проверяться.
• Аудит безопасности - использование модели угроз для проверки структуры системы.
• Сканирование уязвимостей - использование программного обеспечения для проверки системы.
• Тестирование на проникновение - попытка взлома системы, как внешней, так и внутренней.
• Оперативное тестирование - некоторые или все вышеперечисленное после запуска системы.

Answer 3

• Сканирование уязвимостей - обычно автоматизированная процедура сканирования одной или нескольких систем на наличие известных сигнатур уязвимостей.

• Сканирование безопасности - это сканирование на наличие уязвимостей, а также ручная проверка результатов, помогающих удалить ложные и отрицательные результаты. Тестирование на проникновение - тестировщик попытается получить доступ и подтвердить доступ к владельцу системы.

• Оценка рисков - включает анализ безопасности интервью с сотрудниками, составленный с учетом деловых и отраслевых обоснований обнаруженных рисков.

• Аудит безопасности - Как правило, это глубокий аудит программного кода и / или операционных систем. Часто это очень тщательная построчная проверка кода.

• Этические взломы - это очень похоже на тест на проникновение, но обычно их много против нескольких систем, чтобы обнаружить как можно больше векторов атаки.

• Оценка состояния и тестирование безопасности - это объединяет сканирование безопасности, этический взлом и оценки рисков, чтобы показать общее состояние безопасности организации.

Каждый из этих типов тестирования безопасности может быть далее подразделен на различные методологии.

Answer 4

Проникновение может быть разных типов, в широком смысле, следующим образом:

• Подделка веб-параметров: пользователь манипулирует параметрами, которыми обмениваются клиент и сервер, и изменяет данные приложения, такие как учетные данные пользователя, разрешения, цена или количество продуктов и т. Д., Для их выгоды.

• Подделка базы данных: компрометация баз данных, которые поддерживают систему и хранят данные, важные для бизнеса или запуска приложения

• Кража файлов cookie: действительный компьютерный сеанс используется для получения несанкционированного доступа

• Межсайтовый скриптинг: злоумышленник вводит вредоносные скрипты в код на стороне клиента, чтобы перенаправить ссылку на сайт.

• Подделка межсайтовых запросов: также называется атака одним нажатием или переадресация сеанса, неавторизованная

• Повышение привилегий: Взломать идентификатор старшего и злоупотребить привилегиями.