進(jìn)行安全測(cè)試以發(fā)現(xiàn)軟件/應(yīng)用程序中的漏洞和安全弱點(diǎn)。安全專家和測(cè)試人員使用不同類型的安全測(cè)試來識(shí)別潛在威脅,衡量利用漏洞的可能性,并衡量軟件/應(yīng)用程序面臨的整體風(fēng)險(xiǎn)。從這些測(cè)試中獲得的可操作見解可用于彌補(bǔ)差距并最大限度地降低安全風(fēng)險(xiǎn)。在本文中,將深入探討安全測(cè)試的類型和屬性。
安全測(cè)試有哪些類型?
漏洞掃描
通常由自動(dòng)化提供支持(也存在手動(dòng)工具),利用漏洞掃描來識(shí)別已知漏洞和漏洞簽名。這是漏洞管理和應(yīng)用程序/軟件安全的許多步驟中的第一步。它用于了解安全風(fēng)險(xiǎn)的基線。
安全掃描
安全掃描是識(shí)別應(yīng)用程序/軟件、網(wǎng)絡(luò)和系統(tǒng)中的漏洞和錯(cuò)誤配置的過程。手動(dòng)和自動(dòng)工具都用于此測(cè)試類型。列出并深入分析了這些測(cè)試的見解,并提供了解決問題的解決方案。
滲透測(cè)試
滲透測(cè)試(筆測(cè)試)是在安全條件下刺激針對(duì)應(yīng)用程序/軟件、系統(tǒng)或網(wǎng)絡(luò)的實(shí)時(shí)網(wǎng)絡(luò)攻擊的過程。它(并且必須)由受信任的、經(jīng)過認(rèn)證的安全專家手動(dòng)執(zhí)行,以實(shí)時(shí)了解針對(duì)攻擊的安全措施的強(qiáng)度。最重要的是,未知漏洞(包括零日威脅和業(yè)務(wù)邏輯缺陷)通過滲透測(cè)試暴露出來。
安全審計(jì)/審查
安全審計(jì)或安全審查是根據(jù)定義的標(biāo)準(zhǔn)審查/審計(jì)應(yīng)用程序/軟件的結(jié)構(gòu)化過程。通過差距分析和代碼/設(shè)計(jì)審查,評(píng)估物理配置、操作系統(tǒng)、信息處理流程、用戶實(shí)踐等的安全性。還評(píng)估了對(duì)監(jiān)管標(biāo)準(zhǔn)和框架的遵守情況。
道德黑客
道德黑客,比滲透測(cè)試更廣泛,是一個(gè)包含多種黑客方法的總稱。在這里,所有漏洞和錯(cuò)誤配置都試圖通過模擬來自應(yīng)用程序/軟件內(nèi)部的攻擊來暴露。
風(fēng)險(xiǎn)評(píng)估
通過風(fēng)險(xiǎn)評(píng)估,識(shí)別、分析和分類應(yīng)用程序/軟件/網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)(關(guān)鍵、高、中、低)。根據(jù)優(yōu)先級(jí)建議緩解措施和控制措施。
姿勢(shì)評(píng)估
組織的整體安全態(tài)勢(shì)是通過安全掃描、道德黑客攻擊和風(fēng)險(xiǎn)評(píng)估相結(jié)合的態(tài)勢(shì)評(píng)估來評(píng)估的。
注意:進(jìn)行安全測(cè)試沒有單一的最佳方法。它必須高度定制,安全測(cè)試的選擇應(yīng)基于組織的需求、環(huán)境和規(guī)范。
安全測(cè)試必須包括的7個(gè)屬性是什么?
驗(yàn)證
在通過身份驗(yàn)證訪問系統(tǒng)之前,用戶會(huì)被數(shù)字識(shí)別。通過測(cè)試和驗(yàn)證該屬性,確保系統(tǒng)僅允許合法/正確用戶訪問的有效性。該系統(tǒng)可以使用簡(jiǎn)單的用戶名-密碼或多因素身份驗(yàn)證過程(其中可以使用 OTP、生物識(shí)別、安全 ID 令牌等的組合)。
授權(quán)
一旦用戶通過身份驗(yàn)證,他們就可以訪問系統(tǒng)。他們?cè)谙到y(tǒng)內(nèi)執(zhí)行操作的特權(quán)和權(quán)限是根據(jù)用戶角色定義的,并受授權(quán)限制。例如,由授權(quán)屬性決定特定用戶是否可以修改數(shù)據(jù)、訪問某些文件等。
保密
通過測(cè)試機(jī)密性屬性,驗(yàn)證信息、服務(wù)和資源是否僅供預(yù)期用戶訪問并且僅在請(qǐng)求時(shí)訪問。測(cè)試人員可以
- 識(shí)別未經(jīng)授權(quán)的用戶是否正在訪問特權(quán)資源。
- 驗(yàn)證是否所有數(shù)據(jù)都已加密。
- 分析請(qǐng)求時(shí)顯示數(shù)據(jù)的格式等。
可用性
測(cè)試可用性屬性時(shí),測(cè)試人員可以了解軟件/應(yīng)用程序是否全天候正常運(yùn)行,并且可接受的停機(jī)時(shí)間最少(來自定期維護(hù)和升級(jí))。還驗(yàn)證了根據(jù)請(qǐng)求提供的信息和服務(wù)的可用性以及在出現(xiàn)故障時(shí)的備份文件。
正直
如果是,則通過完整性屬性進(jìn)行驗(yàn)證
- 收到的信息在傳輸過程中沒有改變。
- 根據(jù)用戶組、權(quán)限和限制提供正確和更新的信息。
不可否認(rèn)性
在這里,被拒絕的訪問請(qǐng)求連同時(shí)間戳和 IP 地址被跟蹤。測(cè)試人員確認(rèn)用戶是否真實(shí)且不構(gòu)成安全威脅。
彈力
通過彈性屬性的測(cè)試來檢驗(yàn)系統(tǒng)對(duì)內(nèi)外部攻擊的抵抗力。
結(jié)論
眾所周知,成功的網(wǎng)絡(luò)攻擊和破壞會(huì)削弱信任、聲譽(yù)和財(cái)務(wù)資源。進(jìn)行安全測(cè)試是贏得利益相關(guān)者信任的關(guān)鍵步驟。
網(wǎng)站資訊
解決方案
關(guān)于我們
