Қауіпсіздікті тексеру - Security testing - Wikipedia

Бұл мақала үшін қосымша дәйексөздер қажет тексеру. Өтінемін көмектесіңіз осы мақаланы жақсарту арқылы дәйексөздерді сенімді дерек көздеріне қосу. Ресурссыз материалға шағым жасалуы және алынып тасталуы мүмкін. Дереккөздерді табу: «Қауіпсіздік тесті»  – жаңалықтар  · газеттер  · кітаптар  · ғалым  · JSTOR (Тамыз 2019) (Бұл шаблон хабарламасын қалай және қашан жою керектігін біліп алыңыз)

Серияның бір бөлігі
Ақпараттық қауіпсіздік
Байланысты қауіпсіздік санаттары
Автокөлік қауіпсіздігі Киберқылмыс Киберсекс саудасы Компьютерлік алаяқтық Кибер соғыс Интернет қауіпсіздігі Мобильді қауіпсіздік Желілік қауіпсіздік
Қауіп-қатер
Жетілдірілген тұрақты қауіп Артқы есік Компьютерлік қылмыс Вирустар Қызмет көрсетуден бас тарту Тыңдау Қанау Keyloggers Логикалық бомбалар Зиянды бағдарлама Пайдалы жүктеме Фишинг Төлем бағдарламасы Rootkit Экран скреперлер Шпиондық бағдарлама Трояндық ат Осалдық Веб-қабықтар Веб-бағдарламаның қауіпсіздігі Құрттар SQL инъекциясы
Қорғаныс
Компьютерге қатынасуды басқару Қолданба қауіпсіздігі Антивирустық бағдарлама Қауіпсіз кодтау Әдепкі бойынша қауіпсіз Дизайн бойынша қауіпсіз Істі дұрыс қолданбау Қауіпсіздікке бағытталған операциялық жүйе Аутентификация Көп факторлы аутентификация Авторизация Деректерге бағытталған қауіпсіздік Шифрлау Брандмауэр Интрузияны анықтау жүйесі Мобильді қауіпсіз шлюз Бағдарламаның өзін-өзі қорғау уақыты

Қауіпсіздікті тексеру ақауларын анықтауға арналған процесс қауіпсіздік механизмдері ақпараттық жүйе деректерді қорғайтын және мақсатқа сай функционалдылықты сақтайтын.^[1] Қауіпсіздік тестілеуінің логикалық шектеулеріне байланысты қауіпсіздік тестілеуінен өту ешқандай ақаулардың жоқтығының немесе жүйенің қауіпсіздік талаптарын жеткілікті түрде қанағаттандыратынын білдірмейді.

Қауіпсіздіктің типтік талаптары нақты элементтерді қамтуы мүмкін құпиялылық, тұтастық, аутентификация, қол жетімділік, авторизация және бас тартпау.^[2] Қауіпсіздіктің нақты талаптары жүйе енгізген қауіпсіздік талаптарына байланысты. Қауіпсіздік тестілеуі термин ретінде бірнеше түрлі мағынаға ие және әртүрлі тәсілдермен аяқталуы мүмкін. Осылайша, қауіпсіздік таксономиясы жұмыс істеудің базалық деңгейін қамтамасыз ету арқылы осы әртүрлі тәсілдер мен мағыналарды түсінуге көмектеседі.

Құпиялылық

• Жоспарлы алушыдан басқа тараптарға ақпараттың ашылуынан қорғайтын қауіпсіздік шарасы қауіпсіздікті қамтамасыз етудің жалғыз әдісі болып табылмайды.

Адалдық

Ақпараттың тұтастығы деп ақпаратты рұқсат етілмеген тараптардың өзгертулерінен қорғауды айтады

• Қабылдағышқа жүйе ұсынған ақпараттың дұрыс екендігін анықтауға мүмкіндік беретін шара.
• Тұтастық схемалары көбінесе құпиялылық схемалары сияқты кейбір негізгі технологияларды қолданады, бірақ олар әдетте барлық байланыстарды кодтаудан гөрі, алгоритмдік тексерістің негізін қалайтын ақпаратқа қосылуды көздейді.
• Дұрыс ақпараттың бір қосымшадан екіншісіне берілуін тексеру үшін.

Аутентификация

Бұл адамның жеке басын растауды, артефакттың шығу тегін анықтауды, өнімнің оның орамасы мен таңбалауы талап етілетініне көз жеткізуді немесе компьютерлік бағдарлама сенімді болып табылады.

Авторизация

• Сұраушыға қызмет алуға немесе операция жасауға рұқсат етілгенін анықтау процесі.
• Қатынасты басқару авторизациялаудың мысалы болып табылады.

Қол жетімділік

• Ақпараттық-коммуникациялық қызметтерді қамтамасыз ету күтілген кезде пайдалануға дайын болады.
• Ақпарат қажет болған кезде уәкілетті адамдарға қол жетімді болуы керек.

Бас тартпау

• Цифрлық қауіпсіздікке қатысты, бас тартпау дегеніміз - бұл хабарламаны жібердім және қабылдадым деп мәлімдеген тараптар жіберілген хабарламаның жіберілуін және қабылдануын қамтамасыз етеді. Бас тарту - бұл хабарлама жіберушінің хабарламаны кейін жібере алмайтындығына және алушы хабарламаны алғанынан бас тарта алмайтындығына кепілдік беру тәсілі.

Таксономия

Қауіпсіздік тестілеуін өткізу үшін қолданылатын жалпы терминдер:

• Ашу - Бұл кезеңнің мақсаты - қолдану аясындағы жүйелер мен қызметтерді анықтау. Ол осалдықтарды анықтауға арналмаған, бірақ нұсқаны анықтау ескірген нұсқаларын бөліп көрсетуі мүмкін бағдарламалық жасақтама / микробағдарламалық жасақтама және осылайша ықтимал осалдықтарды көрсетеді.
• Осалдықты сканерлеу - Ашылу кезеңінен кейін бұл жағдай белгілі осалдықтармен сәйкестендіру үшін автоматтандырылған құралдарды қолдану арқылы белгілі қауіпсіздік мәселелерін іздейді. Хабарланған тәуекел деңгейі құралды автоматты түрде орнатады, тестілеу жеткізушісі қолмен тексерусіз немесе түсіндірмейді. Бұны кейбір жалпы жағдайларды жоюға мүмкіндік беретін тіркелгі деректері негізінде сканерлеумен толықтыруға болады жалған позитивтер қызметпен аутентификациялау үшін берілген тіркелгі деректерін пайдалану (мысалы, жергілікті Windows тіркелгісі).
• Осалдықтарды бағалау - Бұл қауіпсіздік осалдықтарын анықтау үшін ашылымдар мен осалдықтарды сканерлеуді пайдаланады және алынған нәтижелерді сыналатын ортаның контекстіне орналастырады. Мысал ретінде есептен жалпы жалған позитивтерді алып тастау және іскери түсіну мен контекстті жақсарту үшін әр есеп беру нәтижелеріне қолданылуы керек тәуекел деңгейлерін шешуге болады.
• Қауіпсіздікті бағалау - Экспозицияны растау үшін қолмен тексеруді қосу арқылы осалдықты бағалауға негізделеді, бірақ одан әрі қол жеткізу үшін осалдықтарды пайдалануды қамтымайды. Тексеру жүйенің параметрлерін растауға және журналдарды, жүйелік жауаптарды, қателік туралы хабарламаларды, кодтарды және т.б. тексеруді қажет ететін жүйеге рұқсат етілген қол жетімділік түрінде болуы мүмкін. Қауіпсіздікті бағалау тексеріліп жатқан жүйелерді кең қамтуға ұмтылады, бірақ тереңдігі емес белгілі бір осалдыққа әкелуі мүмкін әсер ету.
• Пенетрациялық тест - Пенетрациялық тест зиянды тараптың шабуылын модельдейді. Алдыңғы кезеңдерге сүйене отырып, одан әрі қол жеткізу үшін табылған осалдықтарды пайдалануды көздейді. Бұл тәсілді қолдану шабуылдаушының құпия ақпаратқа қол жеткізу, мәліметтердің тұтастығына немесе қызметтің қол жетімділігіне және тиісті әсерге әсер ету қабілетін түсінуге әкеледі. Әрбір тестке дәйекті және толық әдіснаманы қолдана отырып, тестерге проблемаларды шешу қабілеттерін, бірқатар құралдардың нәтижелерін және желілер мен жүйелер туралы өз білімдерін пайдалануға мүмкіндік беретін осалдықтарды табуға мүмкіндік береді. автоматтандырылған құралдар. Бұл тәсіл кеңірек қамтуды қарастыратын қауіпсіздікті бағалау тәсілімен салыстырғанда шабуылдың тереңдігін қарастырады.
• Қауіпсіздік аудиті - Нақты бақылау немесе сәйкестік мәселесін қарау үшін аудит / тәуекел функциясы басқарады. Тар шеңбермен сипатталатын келісімнің бұл түрі ертерек талқыланған кез келген тәсілдерді қолдана алады (осалдықты бағалау, қауіпсіздікті бағалау, ену сынағы).
• Қауіпсіздік шолу - Өндірістік немесе ішкі қауіпсіздік стандарттарының жүйенің компоненттеріне немесе өніміне қолданылғандығын тексеру. Бұл әдетте саңылауларды талдау арқылы аяқталады және құрастыру / код шолуларын пайдаланады немесе жобалық құжаттар мен архитектуралық диаграммаларды қарап шығады. Бұл қызмет бұрынғы тәсілдердің ешқайсысын қолданбайды (осалдықтарды бағалау, қауіпсіздікті бағалау, ену сынағы, қауіпсіздік аудиті)

Құралдар

• CSA - контейнер және инфрақұрылым қауіпсіздігін талдау
• DAST - Бағдарламаның қауіпсіздігін динамикалық тестілеу
• DLP - Деректер жоғалуының алдын алу
• IAST - Интерактивті қолданбалы қауіпсіздік тестілеуі
• Жеке куәліктер / IPS - Интрузияны анықтау және / немесе басып кірудің алдын алу
• OSS - Бағдарламалық жасақтаманы сканерлеудің ашық көзі
• RASP - жұмыс уақытының қосымшасынан өзін-өзі қорғау
• ҚАУІПСІЗ - қолданбалы қауіпсіздік бойынша статикалық тестілеу
• SCA - бағдарламалық жасақтаманы талдау
• WAF - веб-қосымшаның брандмауэрі

Сондай-ақ қараңыз

• Ұлттық ақпараттық кепілдік сөздігі

Әдебиеттер тізімі