Security Testing là gì?

Security testing được định nghĩa là một dạng kiểm thử phần mềm (Software Testing) nhằm đảm bảo an toàn hệ thống ứng dụng và những ứng dụng được bảo vệ an ninh khỏi những lỗ hổng, mối đe dọa hay bất kể nguy hiểm nào hoàn toàn có thể dẫn cho tới tổn thất lớn.Tiến hành kiểm thử bảo mật thông tin của bất kỳ hệ thống như thế nào là tìm kiếm ra toàn bộ các sơ hở cùng điểm yếu có thể có của hệ thống này mà có nguy hại dẫn tới sự việc mất thông tin, lệch giá bị công khai minh bạch hay tiêu diệt danh tiếng của doanh nghiệp do nhân viên hoặc người ngoài của Tổ chức.Mục tiêu của kiểm thử bảo mật là xác minh các hiểm họa trong hệ thống và giám sát các lỗ hổng tàng ẩn của nó, để khối hệ thống không bị dứt hoạt đụng hoặc bị khai quật ngoài ý muốn. Nó cũng góp phát hiện tất cả các rủi ro khủng hoảng bảo mật có thể có trong khối hệ thống và giúp những developer tương khắc phục các sự cố này bằng cách sửa code.

Bạn đang xem: Security testing là gì

Các dạng thức của Security Testing

Có bảy các loại thử nghiệm bảo mật thông tin chính theo phương pháp kiểm thử bảo mật thông tin mã mối cung cấp mở:

*

Vulnerability Scanning / Quét lỗ hổng: phương pháp này được tiến hành bằng phần mềm tự động hóa quét hệ thống chống lại các lỗ hổng sẽ biếtSecurity Scanning / Quét bảo mật: xác minh những nhược điểm của khối hệ thống mạng và hệ thống nói chung, sau đó hỗ trợ các chiến thuật để sút thiểu phần đông rủi ro. Phương thức quét này rất có thể được tiến hành bằng cả quét bằng tay thủ công (manual scanning) với quét tự động (automated scanning)Penetration testing / Kiểm thử thâm nhập: nhiều loại kiểm thử này mô phỏng một cuộc tấn công từ một tin tặc độc hại. Kiểm thử này bao gồm phân tích một hệ thống ví dụ để kiểm tra những lỗ hổng tiềm ẩn đối với nỗ lực tấn công, xâm nhập hệ thống từ mặt ngoài.Risk Assessment / Đánh giá rủi ro ro: Kiểm test này bao gồm phân tích các rủi ro bảo mật thông tin theo dõi được trong tổ chức. Mức độ rủi ro được phân nhiều loại là Thấp, Trung bình và Cao. Cách thức kiểm demo này khuyến cáo các kiểm soát và điều hành và các biện pháp để bớt thiểu xui xẻo ro.Security Auditing / kiểm toán bảo mật: Đây là 1 trong dạng chất vấn nội bộ áp dụng và hệ điều hành quản lý để search ra các lỗi bảo mật. Việc kiểm toán cũng hoàn toàn có thể được tiến hành thông qua kiểm tra từng mẫu code (inspection of code)Ethical hacking: là gian lận một khối hệ thống phần mượt tổ chức. Không giống như các tin tặc ô nhiễm và độc hại những kẻ hack hệ thống với mục tiêu đánh cắp, Ethical hacking là cách thức hack hệ thống với mục tiêu là để các lỗ hổng bảo mật thông tin trong khối hệ thống lộ ra và có phương án tương khắc phục.Posture Assessment / Đánh giá bán tổng thế: là cách thức kết hợp Security scanning, Ethical Hacking với Risk Assessments để mang ra một chiếc nhìn tổng quát, toàn vẹn về bức tranh thực trạng bảo mật của một đội chức, một hệ thống.

Security testing được tiến hành trong vòng đời phân phát triển ứng dụng (SDLC) ra làm sao ?

Có 1 sự thật là chi tiêu sẽ luôn luôn cao rộng nếu tiến hành kiểm thử bảo mật thông tin sau giai đoạn triển khai ứng dụng (software implementation phase) hoặc sau giai đoạn cải tiến và phát triển (deployment). Do vậy, cần được tích phù hợp kiểm thử bảo mật trong tầm đời SDLC trong các giai đoạn trước đó.Dưới đó là các quá trình bảo mật tương ứng được áp dụng trong những giai đoạn trong SDLC.

*

Các tiến độ trong SDLCQuy trình bảo mật
RequirementsPhân tích bảo mật cho những yêu mong và chất vấn tình trạng sử dụng / trường hợp thực hiện sai
DesignPhân tích rủi ro bảo mật trong quá trình thiết kế. Cải tiến và phát triển test plan có bao hàm Security kiểm tra trong đó
Coding and Unit TestingStatic và Dynamic Testing và Security trắng Box Testing
Integration TestingBlack Box Testing
System TestingBlack Box Testing với Vulnerability scanning
ImplementationPenetration Testing, Vulnerability Scanning
SupportPhân tích tác động của phiên bản vá lỗi

Kịch bạn dạng test (test plan) nên bao gồm:

Các case chạy thử Security hoặc những scenariosDữ liệu test tương quan đến security testingCác tools chạy thử được yêu ước để tiến hành security testingPhân tích kết quả kiểm test dựa trên những tools bảo mật thông tin khác nhau

1 vài trường thích hợp ví dụ về security demo như là:

Password đề xuất được mã hóa khi inputCác role không giống nhau thì được quyền truy vấn vào những mục khác nhau và truy cập không thành công vào mục không có permissionTùy từng TH khác nhau mà Back button bị loại bỏ hóa

Methodologies/ Approach / Techniques for Security Testing:

Trong kiểm demo bảo mật, mỗi phương thức khác nhau số đông tuân theo các loại sau:

Tiger box: vấn đề hacking thường được triển khai trên laptop có vừa đủ các OS và các công cố gắng hack. Bài toán test này góp tester rất có thể tiến hành reviews và tiến công các lỗ hổng.Blackbox: tester được quyền kiểm tra mọi trang bị về cấu trúc liên kết mạng và các công nghệ đi kèm.Grey box: 1 phần thông tin về hệ thống được cung ứng cho tester, đây là sự phối kết hợp giữa white box và blackbox models

Security Testing Roles

Hackers - truy vấn trái phép vào khối hệ thống máy tính hoặc mạngCrackers - bỗng dưng nhập vào hệ thống để ăn cắp hoặc tiêu diệt dữ liệuEthical tin tặc - tiến hành đa số các chuyển động phá hoại nhưng với sự có thể chấp nhận được của nhà sỡ hữuScript Kiddies or packet monkeys - những hacker có khả năng về lập trình dẫu vậy thiếu ghê nghiệm

Security Testing Tool

Owasp: dự án bảo mật ứng dụng Web (OWASP) là 1 trong những tổ chức phi lợi nhuận trái đất tập trung vào việc nâng cấp tính bảo mật thông tin của phần mềm. Dự án có nhiều công cầm cố để chất vấn các môi trường thiên nhiên và các giao thức ứng dụng khác nhau. Các công cụ bậc nhất của dự án công trình bao gồm:Zed Attack Proxy (ZAP – một vẻ ngoài kiểm tra thâm nhập tích hợp)OWASP Dependency check (quét các dependencies của dự án và chất vấn phát hiện lỗ hổng)OWASP web Testing Environment Project (tập hợp các công ráng và tư liệu bảo mật)

Wireshark: là 1 trong những công cụ phân tích mạng (trước phía trên được gọi là Ethereal). Nó quản lý các gói tin theo thời hạn thực và hiển thị chúng ở định dạng rất có thể đọc được. Về cơ bản nó là một bộ phân tích gói mạng - cung cấp các thông tin cụ thể dù là nhỏ dại nhất về các giao thức mạng, giải mã, tin tức gói, v.vWireshark là một mã mối cung cấp mở và hoàn toàn có thể sử dụng được trên Linux, Windows, OS X, Solaris, NetBSD, FreeBSD với nhiều khối hệ thống khác. Thông tin được nhận thông qua công thế này rất có thể được liếc qua GUI hoặc TShark Utility ở chính sách TTY

W3af: là 1 trong framework có tính năng kiểm nghiệm và tiến công ứng dụng web, bao gồm 3 các loại plugin: điều tra (discovery), kiểm định (audit) cùng tấn công(attack).3 một số loại plugin này phối phù hợp với nhau để tìm ra bất kể lỗ hổng nào của site, vd: discovery plugin đã tìm kiếm các url khác nhau để kiểm tra những lỗ hổng và chuyến qua nó đến phân tích và đo lường plugin và tiếp nối audit plugin sẽ liên tục dùng các url này để thường xuyên tìm các lỗ hổng khác.

Myths và Facts of Security testing:

MythsFacts
Chúng ta ko cần chính sách bảo mật bởi chúng ta có business đồ sộ nhỏBất cứ cá nhân hay công ty nào cũng cần phải có bảo mật
Tiêu tốn chi tiêu vào security test sẽ chẳng sở hữu lại bất kể lợi ích gìSecurity test có thể chỉ ra những vùng cần phải cải thiện, từ đó nâng cấp chúng tác dụng hơn, giảm thiểu nguy hại sập khối hệ thống (reduce downtime)
Cách độc nhất vô nhị để bảo mật thông tin là gỡ bỏ nó điCách độc nhất và tốt nhất để bảo mật thông tin cho một tổ chức là tra cứu ra phương pháp "Bảo mật trả hảo". Cách thức bảo mật tuyệt đối hoàn hảo là phương pháp vừa bảo mật được hệ thống và vừa tương xứng với business và cơ chế công ty
Mạng internet là ko an toàn. Tôi sẽ đầu tư các phần mềm và hartware để đảm bảo an toàn hệ thống với business.

Xem thêm: Iqoption Là Gì ? Nó Có An Toàn Không? Cách Đăng Ký Ở Việt Nam?

Việc chi tiêu kinh tổn phí vào ứng dụng và phần cứng cũng trở thành trở thành rất nhiều vấn nạn to béo nếu ta không thực sự hiểu về security và phương pháp áp dụng nó vào cụ thể từng doanh nghiệp

Kết luận

Security chạy thử là kiểm thử đặc trưng nhất so với một vận dụng và kiểm tra xem dữ liệu tuyệt mật gồm thực sự được giữ kín hay không. Trong loại kiểm test này, tester đã đóng phương châm của tin tặc và khai quật các lỗ hổng có thể có xung quanh hệ thống để tìm các lỗi tương quan đến bảo mật. Security kiểm tra đóng mục đích rất quan trọng trong technology kỹ thuật ứng dụng để bảo đảm dữ liệu bởi mọi cách.

References: https://www.guru99.com/what-is-security-testing.html?fbclid=IwAR1y1QmC6JKJp5Eijo22DerVxPdy7XIUErYTI-nc_BQ6Umo8fltqHX-f7_s