Тестирование безопасности представляет собой процесс , предназначенный для выявления недостатков в механизмах безопасности в информационной системе , которые защищают данные и поддерживают функциональные возможности, как предполагалось. Из - за логические ограничения тестирования безопасности, проходя тестирование безопасности не является свидетельство того, что никаких недостатков не существуют или что система адекватно удовлетворяет требования безопасности.
Типичные требования безопасности могут включать в себя конкретные элементы конфиденциальности, целостности, подлинности, доступности, авторизации и безотказности. Фактические требования безопасности проверены в зависимости от требований безопасности , реализованных в системе. Тестирование безопасности как термин имеет несколько различных значений и может быть завершена в ряде различных способов. В такой Систематика безопасности помогает нам понять эти различные подходы и значение, обеспечивая базовый уровень для работы.
Конфиденциальность
Мера безопасности, которая защищает от раскрытия информации, кроме предполагаемого получателя сторон это отнюдь не единственный способ обеспечения безопасности.
Целостность
Целостность информации относится к защите информации от изменения неавторизованных сторон
Мера предназначена, чтобы позволить приемнику определить, что информация, представленная системой правильно.
Схемы Integrity часто используют некоторые из тех же базовых технологий как схемы конфиденциальности, но они обычно включают добавление информации в сообщение, чтобы сформировать основу алгоритмической проверки, а не кодирование всех сообщений.
Чтобы проверить, правильно ли информация передается от одного приложения к другому.
Аутентификация
Это может включать в себя подтверждающие личность человека, прослеживая происхождение артефакта, гарантируя, что продукт является то, что его упаковка и маркировка утверждает, что, или заверив, что компьютерная программа является надежным один.
Авторизация
Процесс определения того, что запрашивающий разрешено принимать услугу или выполнить операцию.
Контроль доступа является примером авторизации.
Наличие
Обеспечение информационных и коммуникационных услуг будет готов к использованию, когда ожидается.
Информация должна быть доступна уполномоченными лицами, когда они нуждаются в ней.
Неотрекаемость
В связи с цифровой безопасности, безотказности средств для обеспечения того, передано сообщение было отправлено и получено сторонами, утверждающих, отправленных и полученных сообщений. Неотрекаемость это способ гарантировать, что отправитель сообщения не может позже отрицать, послав сообщение и что получатель не может отрицать, получив сообщение.
Безопасность Тестирование Таксономия
Discovery - Целью данного этапа является определение системы в пределах объема и услуг в использовании. Оно не предназначено для обнаружения уязвимых мест, но определение версии может выделить устаревшие версии программного обеспечения / встроенного программного обеспечения и , таким образом , указывают на потенциальные уязвимости.
Сканирование уязвимостей - После стадии обнаружения этого ищет известные проблемы безопасности с помощью автоматизированных средств в соответствии с условиями с известными уязвимостями. Сообщили уровень риска устанавливается автоматически с помощью инструмента, без ручной проверки или интерпретации испытуемого поставщика. Это может быть дополнен с учетными данными на основе сканирования , который выглядит , чтобы удалить некоторые общие ложных срабатываний с помощью предоставленных учетных данных для проверки подлинности с помощью службы (например, локальных учетных записей Windows).
Оценка уязвимости - Это использует обнаружение и сканирование уязвимостей для выявления уязвимостей безопасности и помещает результаты в контекст окружающей среды при испытании. Пример может служить удаление общих ложных срабатываний из отчета и решения уровней риски , которые должны быть применены к каждому отчету находя для улучшения понимания бизнеса и контекста.
Оценка безопасности - основывается на оценке уязвимости путем добавления ручной проверки для подтверждения экспозиции, но не включает в себя эксплуатацию уязвимостей для получения дальнейшего доступа. Проверка может быть в форме санкционированного доступа к системе , чтобы подтвердить настройки системы и включать журналы, которых анализируются системными ответы, сообщения об ошибках, коды и т.д. оценки безопасности рассчитывают получить широкий охват систем в рамках теста , но не глубина воздействия , что определенная уязвимость может привести к.
Проникновение тест - тест на проникновение имитирует нападение злонамеренной стороны. Основываясь на предыдущих этапах , и включает в себя эксплуатации найденных уязвимостей для получения дальнейшего доступа. Используя этот подход приведет к пониманию способности злоумышленника получить доступ к конфиденциальной информации, влияет на целостность данных и доступность сервиса и соответствующее воздействие. Каждый тест пытается решить с помощью последовательной и полной методологии таким образом , что позволяет тестеру использовать свои решения проблем способности, выход из ряда инструментов и их собственные знания сетевых технологий и систем для поиска уязвимостей , которые бы / не могли быть идентифицированы путем автоматизированные инструменты. Такой подход выглядит на глубине атаки по сравнению с подходом оценки безопасности , которая смотрит на более широкий охват.
Аудит безопасности - Ведомая функция аудита / риски смотреть на конкретный контроль или соответствие вопрос. Характеризуется узкой сферой, этот тип взаимодействия может использовать любого из предыдущих подходов , обсуждавшихся ( оценки уязвимости , оценки безопасности, тест на проникновение).
Обзор безопасности - проверка того, что отрасли или внутренняя безопасность стандарты были применены к компонентам системы или продукту. Это , как правило , завершается через анализ пробелов и использует обзоры сборки / код или путем анализа проектной документации и архитектуры диаграмм. Эта деятельность не использует какую - либо из предыдущих подходов (оценка уязвимости, оценка безопасности, Проникновение испытание, аудит безопасности)