Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
| Ця стаття є сирим з іншої мови. Можливо, вона створена за допомогою машинного перекладу або перекладачем, який недостатньо володіє обома мовами. (серпень 2019) |
Тестування безпеки (англ. Security testing) - оцінка вразливості програмного забезпечення до різних атак.
Комп'ютерні системи дуже часто є мішенню незаконного проникнення. Під проникненням розуміється широкий діапазон дій: спроби хакерів проникнути в систему із спортивного інтересу, помста розсерджених службовців, взлом шахраями для незаконної наживи. Тестування безпеки перевіряє фактичну реакцію захисних механізмів, вбудованих в систему, на проникнення. У ході тестування безпеки випробувач грає роль хакера, який намагається знайти в системі вразливі місця. Йому дозволено все:
- Спроби дізнатися пароль за допомогою зовнішніх засобів;
- Атака системи за допомогою спеціальних утиліт, які аналізують захищеність;
- Подавлення, перевантаження системи (в надії, що вона відмовиться обслуговувати інших клієнтів);
- Цілеспрямоване введення помилок з ціллю проникнути в систему в ході відновлення;
- Перегляд несекретних даних з метою знайти ключ для входу в систему.
При необмеженому часі і ресурсах хороше тестування безпеки взламає будь-яку систему. Завдання проектувальника системи - зробити ціну проникнення більш високою, ніж ціна одержуваної в результаті інформації.
Тестування безпеки являє собою процес, який використовується для визначення захисту даних при збереженні функціональності.
Шість основних аспектів безпеки, з яких складається тестування безпеки є: конфіденційність, цілісність, аутентифікація, доступність, авторизації і безвідмовність. Тестування безпеки як термін має кілька різних значень і може бути інтерпретований різними способами. Таксономія безпеки допомагає нам зрозуміти ці різні підходи і значення, надаючи базовий рівень, з якого можна розпочинати роботу по забезпеченню безпеки.
Конфіденційність
- Міра безпеки, яка захищає інформацію від розкриття іншим сторонам, крім одержувача. Ця міра в жодному разі не є єдиним способом забезпечення безпеки.
Цілісність
- Дозволяє клієнту визначити, що інформація, яку він отримує від системи, є правильною.
- Схеми цілісності часто використовують деякі з основних технологій, як конфіденційність схеми, але вони зазвичай включають інформацію в повідомлення на основі алгоритмічних перевірок, а не кодування всього канала.
Ідентифікація
- Цей етап включає в себе підтверждення особи, простежуючи хід виконання тих чи інших дій. Також, ця міра гарантує, що ПЗ надає клієнту таку інформацію, яку має надавати.
Авторизація
- Процес визначення того, чи є дозвіл в користувача отримувати ту чи іншу послугу або виконати операцію.
Управління доступом є прикладом авторизації.
Доступність
- Забезпечення того, що інформація та комунікаційні сервіси будуть готові для використання тоді, коли очікується.
- Інформація повинна бути доступна для авторизованих осіб, в будь-який момент.
Безвідмовність
- Відносно цифрової безпеки, безвідмовність означає запевнення того, що повідомлення, яке передається, було відправлено і отримано саме тими сторонами, які цим займалися. Безвідмовність гарантує те, що відправник і отримувач повідомлення не зможуть згодом відмінити свої дії.
Таксономія тестування безпеки
Загальні терміни, які використовуються в тестуванні безпеки:
- Визначення - Метою даного етапу є визначення системи в межах її обсягу та послуг, які при цьому задіяні. Цей етап не призначений для виявлення вразливих місць. Визначення версії допомагає знайти зміни з попередніх версій програмного забезпечення і таким чином вказати на потенційні вразливості.
- Пошук вразливостей - Після етапу виявлення цей етап перевіряє на наявність відомих проблем безпеки за допомогою автоматизованих засобів відповідно до умов. Рівень повідомлень ризику встановлюється автоматично за допомогою інструменту, без ручної перевірки або втручання тестувальника. Також, цей етап може бути доповнений певним скануванням, яке базується на ідентифікації. Воно слідкує за деякими помилковими спрацьовуваннями системи за допомогою облікових даних для перевірки (наприклад, локальні облікові записи Windows).
- Оцінка вразливості - цей етап визначає і використовує сканування для пошуку вразливостей, які згодом розміщує в контексті навколишнього середовища. Прикладом може служити видалення загальних помилкових спрацьовувань із звіту та виявлення рівня ризиків, які повинні бути застосовані до кожного спрацьовування для покращення розуміння системи та її контексту.
- Оцінка безпеки - базується на оцінці вразливості, за рахунок додавання ручної перевірки для підтвердження експозиції, але не включає експлуатацію вразливостей, щоб отримати більш широкий доступ. Перевірка може проводитися у вигляді несанкціонованого доступу до системи, щоб підтвердити налаштування та захист системи, задіяти системний лог, повідомлення про помилки, коди і т.д. За допомогою оцінки безпеки тестувальники прагнуть отримати широке представлення системи, але без подробиць про її внутрішню функціональність.
- Випробування на проникнення - імітує напад зловмисників. Ґрунтуючись на попередніх етапах та включаючи в себе використання знайдених вразливостей, тест намагається отримати більш широкий доступ до системи. При використанні цей підхід приводить до розуміння того, як зловмисник отримає доступ до конфіденційної інформації та повпливає на цілісність даних. Кожен тест розрахований на використання постійної та повноцінної методології таким чином, що дозволяє тестеру використовувати свої здібності, щоб вирішувати проблеми, які виходять за межі дії їх інструментів, їх власних знань та досвіду. Це допомагає знайти ті вразливості, які б не були ідентифіковані ні одним автоматизованим засобом. Цей підхід ґрунтується на типі атаки в порівнянні з оцінкою безпеки системи, яка охоплює більш широку зону системи.
- Аудит безпеки - це функція, яка дивитися на конкретний елемент керування або дотримання його специфіки. Охарактеризований вузькою сферою, цей тип взаємодії може використовувати як будь-який з підходів, що обговорювався раніше (оцінка вразливості, оцінка безпеки, тест проникнення).
- Огляд Безпеки - підтвердження того, що галузеві стандарти або внутрішня безпека були застосовані до компонентів системи або продукту. Це, як правило, робиться в ході аналізу недоліків і використовує побудову / огляд коду або виконується шляхом перегляду проектної документації та архітектури діаграм. Ця дія не використовує будь-яку з попередніх підходів (оцінка вразливості, оцінка безпеки, тест проникнення, аудит безпеки).
Посилання
- Тестування безпеки — protesting.ru
- Тестування вразливості — MSDN Magazine
- (рус.)
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Cya stattya ye sirim perekladom z inshoyi movi Mozhlivo vona stvorena za dopomogoyu mashinnogo perekladu abo perekladachem yakij nedostatno volodiye oboma movami Bud laska dopomozhit polipshiti pereklad serpen 2019 Testuvannya bezpeki angl Security testing ocinka vrazlivosti programnogo zabezpechennya do riznih atak Komp yuterni sistemi duzhe chasto ye mishennyu nezakonnogo proniknennya Pid proniknennyam rozumiyetsya shirokij diapazon dij sprobi hakeriv proniknuti v sistemu iz sportivnogo interesu pomsta rozserdzhenih sluzhbovciv vzlom shahrayami dlya nezakonnoyi nazhivi Testuvannya bezpeki pereviryaye faktichnu reakciyu zahisnih mehanizmiv vbudovanih v sistemu na proniknennya U hodi testuvannya bezpeki viprobuvach graye rol hakera yakij namagayetsya znajti v sistemi vrazlivi miscya Jomu dozvoleno vse Sprobi diznatisya parol za dopomogoyu zovnishnih zasobiv Ataka sistemi za dopomogoyu specialnih utilit yaki analizuyut zahishenist Podavlennya perevantazhennya sistemi v nadiyi sho vona vidmovitsya obslugovuvati inshih kliyentiv Cilespryamovane vvedennya pomilok z cillyu proniknuti v sistemu v hodi vidnovlennya Pereglyad nesekretnih danih z metoyu znajti klyuch dlya vhodu v sistemu Pri neobmezhenomu chasi i resursah horoshe testuvannya bezpeki vzlamaye bud yaku sistemu Zavdannya proektuvalnika sistemi zrobiti cinu proniknennya bilsh visokoyu nizh cina oderzhuvanoyi v rezultati informaciyi Testuvannya bezpeki yavlyaye soboyu proces yakij vikoristovuyetsya dlya viznachennya zahistu danih pri zberezhenni funkcionalnosti Shist osnovnih aspektiv bezpeki z yakih skladayetsya testuvannya bezpeki ye konfidencijnist cilisnist autentifikaciya dostupnist avtorizaciyi i bezvidmovnist Testuvannya bezpeki yak termin maye kilka riznih znachen i mozhe buti interpretovanij riznimi sposobami Taksonomiya bezpeki dopomagaye nam zrozumiti ci rizni pidhodi i znachennya nadayuchi bazovij riven z yakogo mozhna rozpochinati robotu po zabezpechennyu bezpeki KonfidencijnistMira bezpeki yaka zahishaye informaciyu vid rozkrittya inshim storonam krim oderzhuvacha Cya mira v zhodnomu razi ne ye yedinim sposobom zabezpechennya bezpeki CilisnistDozvolyaye kliyentu viznachiti sho informaciya yaku vin otrimuye vid sistemi ye pravilnoyu Shemi cilisnosti chasto vikoristovuyut deyaki z osnovnih tehnologij yak konfidencijnist shemi ale voni zazvichaj vklyuchayut informaciyu v povidomlennya na osnovi algoritmichnih perevirok a ne koduvannya vsogo kanala IdentifikaciyaCej etap vklyuchaye v sebe pidtverzhdennya osobi prostezhuyuchi hid vikonannya tih chi inshih dij Takozh cya mira garantuye sho PZ nadaye kliyentu taku informaciyu yaku maye nadavati AvtorizaciyaProces viznachennya togo chi ye dozvil v koristuvacha otrimuvati tu chi inshu poslugu abo vikonati operaciyu Upravlinnya dostupom ye prikladom avtorizaciyi DostupnistZabezpechennya togo sho informaciya ta komunikacijni servisi budut gotovi dlya vikoristannya todi koli ochikuyetsya Informaciya povinna buti dostupna dlya avtorizovanih osib v bud yakij moment BezvidmovnistVidnosno cifrovoyi bezpeki bezvidmovnist oznachaye zapevnennya togo sho povidomlennya yake peredayetsya bulo vidpravleno i otrimano same timi storonami yaki cim zajmalisya Bezvidmovnist garantuye te sho vidpravnik i otrimuvach povidomlennya ne zmozhut zgodom vidminiti svoyi diyi Taksonomiya testuvannya bezpekiZagalni termini yaki vikoristovuyutsya v testuvanni bezpeki Viznachennya Metoyu danogo etapu ye viznachennya sistemi v mezhah yiyi obsyagu ta poslug yaki pri comu zadiyani Cej etap ne priznachenij dlya viyavlennya vrazlivih misc Viznachennya versiyi dopomagaye znajti zmini z poperednih versij programnogo zabezpechennya i takim chinom vkazati na potencijni vrazlivosti Poshuk vrazlivostej Pislya etapu viyavlennya cej etap pereviryaye na nayavnist vidomih problem bezpeki za dopomogoyu avtomatizovanih zasobiv vidpovidno do umov Riven povidomlen riziku vstanovlyuyetsya avtomatichno za dopomogoyu instrumentu bez ruchnoyi perevirki abo vtruchannya testuvalnika Takozh cej etap mozhe buti dopovnenij pevnim skanuvannyam yake bazuyetsya na identifikaciyi Vono slidkuye za deyakimi pomilkovimi spracovuvannyami sistemi za dopomogoyu oblikovih danih dlya perevirki napriklad lokalni oblikovi zapisi Windows Ocinka vrazlivosti cej etap viznachaye i vikoristovuye skanuvannya dlya poshuku vrazlivostej yaki zgodom rozmishuye v konteksti navkolishnogo seredovisha Prikladom mozhe sluzhiti vidalennya zagalnih pomilkovih spracovuvan iz zvitu ta viyavlennya rivnya rizikiv yaki povinni buti zastosovani do kozhnogo spracovuvannya dlya pokrashennya rozuminnya sistemi ta yiyi kontekstu Ocinka bezpeki bazuyetsya na ocinci vrazlivosti za rahunok dodavannya ruchnoyi perevirki dlya pidtverdzhennya ekspoziciyi ale ne vklyuchaye ekspluataciyu vrazlivostej shob otrimati bilsh shirokij dostup Perevirka mozhe provoditisya u viglyadi nesankcionovanogo dostupu do sistemi shob pidtverditi nalashtuvannya ta zahist sistemi zadiyati sistemnij log povidomlennya pro pomilki kodi i t d Za dopomogoyu ocinki bezpeki testuvalniki pragnut otrimati shiroke predstavlennya sistemi ale bez podrobic pro yiyi vnutrishnyu funkcionalnist Viprobuvannya na proniknennya imituye napad zlovmisnikiv Gruntuyuchis na poperednih etapah ta vklyuchayuchi v sebe vikoristannya znajdenih vrazlivostej test namagayetsya otrimati bilsh shirokij dostup do sistemi Pri vikoristanni cej pidhid privodit do rozuminnya togo yak zlovmisnik otrimaye dostup do konfidencijnoyi informaciyi ta povplivaye na cilisnist danih Kozhen test rozrahovanij na vikoristannya postijnoyi ta povnocinnoyi metodologiyi takim chinom sho dozvolyaye testeru vikoristovuvati svoyi zdibnosti shob virishuvati problemi yaki vihodyat za mezhi diyi yih instrumentiv yih vlasnih znan ta dosvidu Ce dopomagaye znajti ti vrazlivosti yaki b ne buli identifikovani ni odnim avtomatizovanim zasobom Cej pidhid gruntuyetsya na tipi ataki v porivnyanni z ocinkoyu bezpeki sistemi yaka ohoplyuye bilsh shiroku zonu sistemi Audit bezpeki ce funkciya yaka divitisya na konkretnij element keruvannya abo dotrimannya jogo specifiki Oharakterizovanij vuzkoyu sferoyu cej tip vzayemodiyi mozhe vikoristovuvati yak bud yakij z pidhodiv sho obgovoryuvavsya ranishe ocinka vrazlivosti ocinka bezpeki test proniknennya Oglyad Bezpeki pidtverdzhennya togo sho galuzevi standarti abo vnutrishnya bezpeka buli zastosovani do komponentiv sistemi abo produktu Ce yak pravilo robitsya v hodi analizu nedolikiv i vikoristovuye pobudovu oglyad kodu abo vikonuyetsya shlyahom pereglyadu proektnoyi dokumentaciyi ta arhitekturi diagram Cya diya ne vikoristovuye bud yaku z poperednih pidhodiv ocinka vrazlivosti ocinka bezpeki test proniknennya audit bezpeki PosilannyaTestuvannya bezpeki protesting ru Testuvannya vrazlivosti MSDN Magazine rus