Тестирование безопасности

Процесс поиска недостатков в безопасности информационных систем

Тестирование безопасности — это процесс, предназначенный для обнаружения недостатков в механизмах безопасности информационной системы и, таким образом, помогающий ей защищать данные и поддерживать функциональность в соответствии с ее предназначением. ^[1] Из-за логических ограничений тестирования безопасности прохождение процесса тестирования безопасности не является показателем отсутствия недостатков или того, что система в достаточной степени удовлетворяет требованиям безопасности.

Типичные требования безопасности могут включать в себя определенные элементы конфиденциальности , целостности , аутентификации , доступности, авторизации и неотказуемости . ^[2] Фактические проверяемые требования безопасности зависят от требований безопасности, реализованных системой. Тестирование безопасности как термин имеет ряд различных значений и может быть выполнено различными способами. Таким образом, Таксономия безопасности помогает нам понять эти различные подходы и значения, предоставляя базовый уровень для работы.

Конфиденциальность

• Мера безопасности, которая защищает от раскрытия информации лицам, не являющимся предполагаемым получателем, ни в коем случае не является единственным способом обеспечения безопасности.

Честность

Целостность информации означает защиту информации от изменения неавторизованными лицами.

• Мера, позволяющая получателю определить, что информация, предоставленная системой, верна.
• Схемы обеспечения целостности часто используют некоторые из тех же базовых технологий, что и схемы обеспечения конфиденциальности, но они обычно подразумевают добавление информации к сообщению для формирования основы алгоритмической проверки, а не кодирование всего сообщения.
• Для проверки правильности передачи информации из одного приложения в другое.

Аутентификация

Это может включать подтверждение личности человека, отслеживание происхождения артефакта, обеспечение того, что продукт соответствует тому, что указано на его упаковке и маркировке, или обеспечение того, что компьютерная программа является надежной.

Авторизация

• Процесс определения того, разрешено ли запрашивающему лицу получить услугу или выполнить операцию.
• Контроль доступа является примером авторизации.

Доступность

• Обеспечение готовности информационных и коммуникационных услуг к использованию в ожидаемые сроки.
• Информация должна быть доступна уполномоченным лицам, когда она им необходима.

Неотказуемость

• В отношении цифровой безопасности неотказуемость означает обеспечение того, что переданное сообщение было отправлено и получено сторонами, утверждающими, что они отправили и получили сообщение. Неотказуемость — это способ гарантировать, что отправитель сообщения не сможет впоследствии отрицать отправку сообщения, а получатель не сможет отрицать получение сообщения.
• Идентификатор отправителя — это обычно заголовок, передаваемый вместе с сообщением, который распознает источник сообщения.

Таксономия

Общие термины, используемые при проведении тестирования безопасности:

• Discovery - Цель этого этапа - идентифицировать системы в рамках области действия и используемые сервисы. Он не предназначен для обнаружения уязвимостей, но обнаружение версий может выявить устаревшие версии программного обеспечения / прошивки и, таким образом, указать на потенциальные уязвимости.
• Сканирование уязвимостей — после этапа обнаружения выполняется поиск известных проблем безопасности с использованием автоматизированных инструментов для сопоставления условий с известными уязвимостями. Сообщаемый уровень риска устанавливается автоматически инструментом без ручной проверки или интерпретации поставщиком теста. Это может быть дополнено сканированием на основе учетных данных, которое пытается удалить некоторые распространенные ложные срабатывания с использованием предоставленных учетных данных для аутентификации в службе (например, локальных учетных записей Windows).
• Оценка уязвимости - использует сканирование обнаружения и уязвимости для выявления уязвимостей безопасности и помещает результаты в контекст тестируемой среды. Примером может служить удаление распространенных ложных срабатываний из отчета и определение уровней риска, которые следует применять к каждому результату отчета для улучшения понимания бизнеса и контекста.
• Оценка безопасности — основывается на оценке уязвимости, добавляя ручную проверку для подтверждения уязвимости, но не включает эксплуатацию уязвимостей для получения дальнейшего доступа. Проверка может быть в форме авторизованного доступа к системе для подтверждения настроек системы и включать изучение журналов, ответов системы, сообщений об ошибках, кодов и т. д. Оценка безопасности стремится получить широкий охват тестируемых систем, но не глубину уязвимости, к которой может привести конкретная уязвимость.
• Тест на проникновение - Тест на проникновение имитирует атаку злоумышленника. Основывается на предыдущих этапах и включает эксплуатацию найденных уязвимостей для получения дальнейшего доступа. Использование этого подхода приведет к пониманию способности злоумышленника получить доступ к конфиденциальной информации, повлиять на целостность данных или доступность сервиса и соответствующее воздействие. Каждый тест выполняется с использованием последовательной и полной методологии таким образом, чтобы тестировщик мог использовать свои способности решения проблем, результаты работы ряда инструментов и собственные знания сетей и систем для поиска уязвимостей, которые могли бы или не могли быть выявлены автоматизированными инструментами. Этот подход рассматривает глубину атаки по сравнению с подходом оценки безопасности, который рассматривает более широкий охват.
• Аудит безопасности — проводится функцией аудита и риска для рассмотрения конкретной проблемы контроля или соответствия. Характеризуясь узкой сферой применения, этот тип взаимодействия может использовать любой из ранее обсуждавшихся подходов ( оценка уязвимости , оценка безопасности, тест на проникновение).
• Security Review — проверка того, что отраслевые или внутренние стандарты безопасности были применены к системным компонентам или продукту. Обычно это выполняется с помощью анализа пробелов и использует обзоры сборки и кода или путем обзора проектных документов и диаграмм архитектуры. Эта деятельность не использует ни один из более ранних подходов (оценка уязвимости, оценка безопасности, тест на проникновение, аудит безопасности)

Инструменты

• Анализ безопасности контейнеров и инфраструктуры ^{[3] [4]}
• SAST — статическое тестирование безопасности приложений
• DAST — динамическое тестирование безопасности приложений
• IAST — Интерактивное тестирование безопасности приложений ^[5]
• DLP — предотвращение потери данных
• IDS, IPS - Система обнаружения вторжений, Система предотвращения вторжений
• Сканирование OSS — сканирование программного обеспечения с открытым исходным кодом (см. Безопасность программного обеспечения с открытым исходным кодом )
• RASP — самозащита приложений во время выполнения
• SCA – Анализ состава программного обеспечения ^[6]
• WAF — межсетевой экран веб-приложений

Смотрите также

• Национальный глоссарий по обеспечению информации

Ссылки

1. М. Мартеллини и А. Малиция (2017). Кибербезопасность, химические, биологические, радиологические, ядерные и взрывчатые вещества: угрозы и меры противодействия. Springer.
2. «Введение в информационную безопасность» US-CERT https://www.us-cert.gov/security-publications/introduction-information-security
3. «Стандарт проверки безопасности контейнера». GitHub . 20 июля 2022 г.
4. «Инфраструктура как безопасность кода — серия шпаргалок OWASP».
5. «Руководство OWASP DevSecOps — v-0.2 | Фонд OWASP».
6. «Компонентный анализ | Фонд OWASP».