Kiểm tra bảo mật là gì?
KIỂM TRA BẢO MẬT là một loại Kiểm tra phần mềm nhằm phát hiện ra các lỗ hổng, các mối đe dọa, rủi ro trong một ứng dụng phần mềm và ngăn chặn các cuộc tấn công nguy hiểm từ những kẻ xâm nhập. Mục đích của Kiểm tra bảo mật là xác định tất cả các lỗ hổng và điểm yếu có thể có của hệ thống phần mềm có thể dẫn đến mất thông tin, doanh thu, danh tiếng vào tay nhân viên hoặc người ngoài của Tổ chức.
Tại sao Kiểm tra bảo mật lại quan trọng?
Mục tiêu chính của Kiểm thử bảo mật là xác định các mối đe dọa trong hệ thống và đo lường các lỗ hổng tiềm ẩn của nó, do đó các mối đe dọa có thể gặp phải và hệ thống không ngừng hoạt động hoặc không thể bị khai thác. Nó cũng giúp phát hiện tất cả các rủi ro bảo mật có thể có trong hệ thống và giúp các nhà phát triển khắc phục sự cố thông qua mã hóa.
Trong hướng dẫn này, bạn sẽ học-
- Kiểm tra bảo mật là gì?
- Các loại kiểm tra bảo mật
- Cách thực hiện Kiểm tra bảo mật
- Các tình huống thử nghiệm mẫu để kiểm tra bảo mật
- Phương pháp luận / Cách tiếp cận / Kỹ thuật kiểm tra bảo mật
- Các vai trò kiểm tra bảo mật
- Công cụ kiểm tra bảo mật
- Huyền thoại và Sự thật về Kiểm tra Bảo mật
Các loại kiểm tra bảo mật:
Có bảy loại kiểm tra bảo mật chính theo sổ tay phương pháp Kiểm tra bảo mật nguồn mở. Chúng được giải thích như sau:
- Quét lỗ hổng bảo mật : Điều này được thực hiện thông qua phần mềm tự động để quét hệ thống chống lại các dấu hiệu lỗ hổng đã biết.
- Quét bảo mật: Nó liên quan đến việc xác định các điểm yếu của mạng và hệ thống, sau đó cung cấp các giải pháp để giảm những rủi ro này. Quá trình quét này có thể được thực hiện cho cả quét Thủ công và Tự động.
- Kiểm tra thâm nhập : Loại kiểm tra này mô phỏng một cuộc tấn công từ một hacker độc hại. Thử nghiệm này liên quan đến việc phân tích một hệ thống cụ thể để kiểm tra các lỗ hổng tiềm ẩn đối với một nỗ lực tấn công bên ngoài.
- Đánh giá rủi ro: Thử nghiệm này liên quan đến việc phân tích các rủi ro an ninh được quan sát thấy trong tổ chức. Rủi ro được phân loại là Thấp, Trung bình và Cao. Thử nghiệm này đề xuất các biện pháp kiểm soát và giảm thiểu rủi ro.
- Kiểm tra bảo mật: Đây là hoạt động kiểm tra nội bộ của các Ứng dụng và Hệ điều hành để tìm các lỗi bảo mật. Việc kiểm tra cũng có thể được thực hiện thông qua việc kiểm tra từng dòng mã
- Hack theo đạo đức: Đó là hack hệ thống Phần mềm của Tổ chức. Không giống như các tin tặc độc hại, những kẻ ăn cắp vì lợi ích của riêng mình, mục đích là để lộ các lỗ hổng bảo mật trong hệ thống.
- Đánh giá tư thế: Điều này kết hợp quét bảo mật, lấy cắp đạo đức và đánh giá rủi ro để hiển thị tư thế bảo mật tổng thể của một tổ chức.
Cách thực hiện Kiểm tra bảo mật
Nó luôn được thống nhất, chi phí đó sẽ nhiều hơn nếu chúng ta hoãn việc kiểm tra bảo mật sau giai đoạn triển khai phần mềm hoặc sau khi triển khai. Vì vậy, cần phải liên quan đến kiểm tra bảo mật trong vòng đời SDLC ở các giai đoạn trước đó.
Hãy xem xét các quy trình Bảo mật tương ứng sẽ được áp dụng cho mọi giai đoạn trong SDLC
| Các giai đoạn SDLC | Quy trình bảo mật |
|---|---|
| Yêu cầu | Phân tích bảo mật cho các yêu cầu và kiểm tra các trường hợp lạm dụng / lạm dụng |
| Thiết kế | Phân tích rủi ro bảo mật để thiết kế. Phát triển kế hoạch kiểm tra bao gồm kiểm tra bảo mật |
| Kiểm tra đơn vị và mã hóa | Kiểm tra tĩnh và động và kiểm tra hộp trắng bảo mật |
| Thử nghiệm hội nhập | Kiểm tra hộp đen |
| Thử nghiệm hệ thống | Kiểm tra hộp đen và quét lỗ hổng bảo mật |
| Thực hiện | Kiểm tra thâm nhập, quét lỗ hổng |
| Ủng hộ | Phân tích tác động của các bản vá lỗi |
Kế hoạch kiểm tra nên bao gồm
- Các trường hợp hoặc tình huống thử nghiệm liên quan đến bảo mật
- Dữ liệu kiểm tra liên quan đến kiểm tra bảo mật
- Công cụ kiểm tra cần thiết để kiểm tra bảo mật
- Phân tích các kết quả kiểm tra khác nhau từ các công cụ bảo mật khác nhau
Các kịch bản kiểm tra mẫu cho kiểm tra bảo mật:
Các kịch bản Kiểm tra mẫu để cung cấp cho bạn cái nhìn tổng quan về các trường hợp kiểm tra bảo mật -
- Mật khẩu phải ở định dạng được mã hóa
- Ứng dụng hoặc Hệ thống không được cho phép người dùng không hợp lệ
- Kiểm tra cookie và thời gian phiên cho ứng dụng
- Đối với các trang web tài chính, nút quay lại Trình duyệt sẽ không hoạt động.
Phương pháp luận / Cách tiếp cận / Kỹ thuật kiểm tra bảo mật
Trong thử nghiệm bảo mật, các phương pháp khác nhau được tuân theo và chúng như sau:
- Tiger Box : Việc hack này thường được thực hiện trên máy tính xách tay có tập hợp các hệ điều hành và công cụ hack. Thử nghiệm này giúp người kiểm tra thâm nhập và kiểm tra bảo mật tiến hành đánh giá lỗ hổng và các cuộc tấn công.
- Hộp đen : Người kiểm tra được phép thực hiện kiểm tra mọi thứ về cấu trúc liên kết mạng và công nghệ.
- Hộp màu xám : Một phần thông tin được cung cấp cho người thử nghiệm về hệ thống và nó là sự kết hợp giữa các mẫu hộp màu trắng và màu đen.
Các vai trò kiểm tra bảo mật
- Tin tặc - Truy cập hệ thống máy tính hoặc mạng mà không được phép
- Crackers - Đột nhập vào hệ thống để lấy cắp hoặc phá hủy dữ liệu
- Đạo đức Hacker - Thực hiện hầu hết các hoạt động vi phạm nhưng với sự cho phép của chủ sở hữu
- Script Kiddies hoặc con khỉ gói - Tin tặc thiếu kinh nghiệm với kỹ năng ngôn ngữ lập trình
Công cụ kiểm tra bảo mật
1) Kẻ xâm nhập
Intruder là một trình quét lỗ hổng cấp doanh nghiệp rất dễ sử dụng. Nó chạy hơn 10.000 lần kiểm tra bảo mật chất lượng cao trên cơ sở hạ tầng CNTT của bạn, bao gồm nhưng không giới hạn ở: điểm yếu về cấu hình, điểm yếu của ứng dụng (chẳng hạn như SQL injection & cross-site scripting) và các bản vá bị thiếu. Cung cấp các kết quả được ưu tiên thông minh cũng như chủ động quét các mối đe dọa mới nhất, Intruder giúp tiết kiệm thời gian và giữ an toàn cho các doanh nghiệp thuộc mọi quy mô trước tin tặc.
Đặc trưng:
- Các trình kết nối AWS, Azure và Google Cloud
- Kết quả cụ thể theo chu vi để giảm bề mặt tấn công bên ngoài của bạn
- Báo cáo chất lượng cao
- Tích hợp Slack, Microsoft Teams, Jira, Zapier
- Tích hợp API với đường ống CI / CD của bạn
2) Owasp
Dự án Bảo mật Ứng dụng Web Mở (OWASP) là một tổ chức phi lợi nhuận trên toàn thế giới tập trung vào việc cải thiện tính bảo mật của phần mềm. Dự án có nhiều công cụ để thử nghiệm các giao thức và môi trường phần mềm khác nhau. Các công cụ hàng đầu của dự án bao gồm
- Zed Attack Proxy (ZAP - một công cụ kiểm tra thâm nhập tích hợp)
- Kiểm tra phụ thuộc OWASP (nó quét các phụ thuộc của dự án và kiểm tra các lỗ hổng đã biết)
- Dự án môi trường kiểm tra web OWASP (tập hợp các công cụ bảo mật và tài liệu)
3) WireShark
Wireshark là một công cụ phân tích mạng trước đây được gọi là Ethereal. Nó bắt gói tin theo thời gian thực và hiển thị chúng ở định dạng con người có thể đọc được. Về cơ bản, nó là một trình phân tích gói mạng - cung cấp chi tiết từng phút về các giao thức mạng, giải mã, thông tin gói, v.v. Nó là một mã nguồn mở và có thể được sử dụng trên Linux, Windows, OS X, Solaris, NetBSD, FreeBSD và nhiều các hệ thống khác. Thông tin được truy xuất qua công cụ này có thể được xem qua GUI hoặc Tiện ích TShark ở chế độ TTY.
4) W3af
w3af là một khuôn khổ kiểm tra và tấn công ứng dụng web. Nó có ba loại plugin; khám phá, kiểm tra và tấn công liên lạc với nhau để tìm bất kỳ lỗ hổng nào trong trang web, ví dụ: một plugin khám phá trong w3af tìm kiếm các url khác nhau để kiểm tra các lỗ hổng và chuyển tiếp nó đến plugin kiểm tra, sau đó sử dụng các URL này để tìm kiếm các lỗ hổng.
Huyền thoại và sự thật về thử nghiệm bảo mật:
Hãy nói về một chủ đề thú vị về Huyền thoại và sự thật của kiểm thử bảo mật:
Lầm tưởng số 1 Chúng tôi không cần chính sách bảo mật vì chúng tôi có một doanh nghiệp nhỏ
Sự thật: Mọi người và mọi công ty cần có chính sách bảo mật
Lầm tưởng # 2 Không có lợi tức đầu tư vào thử nghiệm bảo mật
Sự thật: Kiểm tra bảo mật có thể chỉ ra các lĩnh vực cần cải thiện có thể nâng cao hiệu quả và giảm thời gian chết, cho phép thông lượng tối đa.
Lầm tưởng số 3 : Cách duy nhất để bảo mật là rút phích cắm.
Sự thật: Cách duy nhất và tốt nhất để bảo vệ một tổ chức là tìm "Bảo mật hoàn hảo". Bảo mật hoàn hảo có thể đạt được bằng cách thực hiện đánh giá tư thế và so sánh với các biện minh kinh doanh, pháp lý và ngành.
Lầm tưởng # 4 : Internet không an toàn. Tôi sẽ mua phần mềm hoặc phần cứng để bảo vệ hệ thống và cứu công việc kinh doanh.
Sự thật: Một trong những vấn đề lớn nhất là mua phần mềm và phần cứng để bảo mật. Thay vào đó, tổ chức nên hiểu bảo mật trước và sau đó áp dụng nó.
Phần kết luận:
Kiểm tra bảo mật là kiểm tra quan trọng nhất đối với một ứng dụng và kiểm tra xem dữ liệu bí mật có được giữ bí mật hay không. Trong loại thử nghiệm này, người kiểm tra đóng vai trò của kẻ tấn công và chơi xung quanh hệ thống để tìm ra các lỗi liên quan đến bảo mật. Kiểm tra bảo mật là rất quan trọng trong Kỹ thuật phần mềm để bảo vệ dữ liệu bằng mọi cách.