Тестирование безопасности

Тестирование безопасности - это процесс, предназначенный для выявления недостатков в механизмах безопасности информационная система, защищающая данные и поддерживающая надлежащую функциональность. Из-за логических ограничений тестирования безопасности прохождение процесса тестирования безопасности не является признаком отсутствия недостатков или того, что система адекватно удовлетворяет требованиям безопасности.

Типичные требования безопасности могут включать определенные элементы конфиденциальности, целостности, аутентификации, доступности, авторизации и неотказуемости. Фактические протестированные требования безопасности зависят от требований безопасности, реализуемых системой. Термин «тестирование безопасности» имеет несколько различных значений и может выполняться разными способами. Таким образом, Таксономия безопасности помогает нам понять эти различные подходы и значения, предоставляя базовый уровень для работы.

• 1 Конфиденциальность
• 2 Целостность
• 3 Аутентификация
• 4 Авторизация
• 5 Доступность
• 6 Отсутствие отказа от авторства
• 7 Таксономия
• 8 Инструменты
• 9 См. Также
• 10 Ссылки

• Мера безопасности, которая защищает от разглашения информации сторонам, кроме предполагаемого получателя, ни в коем случае не является единственным способом обеспечения безопасности.

Целостность информации относится к защите информации от изменения неавторизованными сторонами

• Мера, предназначенная для того, чтобы позволить получателю определить, что информация, предоставленная системой, верна.
• В схемах обеспечения целостности часто используются некоторые из те же базовые технологии, что и схемы конфиденциальности, но обычно они включают добавление информации в сообщение, чтобы сформировать основу для алгоритмической проверки, а не кодирование всего сообщения.
• Чтобы проверить, передается ли правильная информация из одного приложения в другое.

Этот перенос Это включает в себя подтверждение личности, отслеживание происхождения артефакта, обеспечение того, что продукт соответствует его упаковке и маркировке, или уверенность в том, что компьютерная программа является надежной.

• Процесс определения того, что запрашивающей стороне разрешено получать услугу или выполнять операцию.
• Управление доступом является примером авторизации.

• Обеспечение информационные и коммуникационные услуги будут готовы к использованию, когда ожидается.
• Информация должна быть доступна для уполномоченных лиц, когда они в ней нуждаются.

• Что касается цифровой безопасности, средства предотвращения отказа от авторства чтобы гарантировать, что переданное сообщение было отправлено и получено сторонами, утверждающими, что они отправили и получили сообщение. Фиксация авторства - это способ гарантировать, что отправитель сообщения не может позже отрицать отправку сообщения, а получатель не может отрицать получение сообщения.

Общие термины, используемые для обеспечения безопасности тестирование:

• Обнаружение - Целью этого этапа является определение систем в рамках области применения и используемых услуг. Он не предназначен для обнаружения уязвимостей, но определение версии может выявить устаревшие версии программного обеспечения / прошивки и, таким образом, указать на потенциальные уязвимости.
• Сканирование уязвимостей - после этапа обнаружения выполняется поиск известных проблем безопасности с помощью автоматизированных инструментов для сопоставления условий с известными уязвимостями. Сообщаемый уровень риска устанавливается инструментом автоматически без ручной проверки или интерпретации поставщиком тестов. Это можно дополнить сканированием на основе учетных данных, которое пытается удалить некоторые распространенные ложные срабатывания с использованием предоставленных учетных данных для аутентификации с помощью службы (например, локальных учетных записей Windows).
• Оценка уязвимости - здесь используется обнаружение и сканирование уязвимостей для выявления уязвимостей безопасности и помещения результатов в контекст тестируемой среды. Примером может служить удаление распространенных ложных срабатываний из отчета и определение уровней риска, которые должны применяться к каждому результату отчета, чтобы улучшить понимание бизнеса и контекст.
• Оценка безопасности - строится на основе оценки уязвимости путем добавления ручной проверки для подтверждения уязвимости, но не включает использование уязвимостей для получения дальнейшего доступа. Проверка может быть в форме авторизованного доступа к системе для подтверждения настроек системы и включать изучение журналов, ответов системы, сообщений об ошибках, кодов и т. Д. Оценка безопасности стремится получить широкий охват тестируемых систем, но не глубину воздействия, к которому может привести конкретная уязвимость.
• Тест на проникновение - Тест на проникновение имитирует атаку злоумышленника. Основывается на предыдущих этапах и предполагает использование обнаруженных уязвимостей для получения дальнейшего доступа. Использование этого подхода приведет к пониманию способности злоумышленника получить доступ к конфиденциальной информации, повлиять на целостность данных или доступность службы и соответствующее влияние. К каждому тесту подходят с использованием последовательной и полной методологии, которая позволяет тестировщику использовать свои способности к решению проблем, результаты ряда инструментов и свои собственные знания о сетях и системах для поиска уязвимостей, которые могут / не могут быть идентифицированы автоматизированные инструменты. Этот подход рассматривает глубину атаки по сравнению с подходом оценки безопасности, который рассматривает более широкий охват.
• Аудит безопасности - Управляется функцией аудита / рисков для рассмотрения конкретной проблемы контроля или соответствия. Этот тип взаимодействия, характеризующийся узкой сферой действия, может использовать любой из рассмотренных ранее подходов (оценка уязвимости, оценка безопасности, тест на проникновение).
• Обзор безопасности - проверка данной отрасли или к компонентам системы или продукту применяются внутренние стандарты безопасности. Обычно это выполняется с помощью анализа пробелов и анализа сборки / кода или анализа проектной документации и архитектурных диаграмм. В этом упражнении не используется какой-либо из предыдущих подходов (оценка уязвимости, оценка безопасности, тест на проникновение, аудит безопасности)

• CSA - Анализ безопасности контейнера и инфраструктуры
• DAST - Динамическое приложение Тестирование безопасности
• DLP - Предотвращение потери данных
• IAST - Интерактивное тестирование безопасности приложений
• IDS / IPS - Обнаружение вторжений и / или предотвращение вторжений
• OSS - сканирование программного обеспечения с открытым исходным кодом
• RASP - самозащита приложений во время выполнения
• SAST - статическое тестирование безопасности приложений
• SCA - анализ состава программного обеспечения
• WAF - межсетевой экран веб-приложений

• Национальный глоссарий по обеспечению информации

1. ^M Martellini, Malizia, A. (2017). Кибер-химические, биологические, радиологические, ядерные, взрывные вызовы: угрозы и противодействие. Springer.
2. ^«Введение в информационную безопасность» US-CERT https://www.us-cert.gov/security-publications/introduction-information-security