Sơ lược về Kiểm thử bảo mật (Security Testing)

By | 8:55 am | 31/07/2017

 

Internet security online business concept pointing security services

I. Bảo mật là gì?

Bảo mật (Security) là một loạt các biện pháp để nhằm bảo vệ một ứng dụng chống lại các hành động không lường trước được, khiến cho ứng dụng ngừng hoạt động hoặc bị khai thác. Những hành động không lường trước được có thể là cố ý hoặc không cố ý.

II. Kiểm thử bảo mật là gì?

Kiểm thử bảo mật (Security Testing) là một trong những phần quan trọng trong phát triển phần mềm, nhằm đảm bảo các hệ thống và ứng dụng trong một tổ chức không có bất kỳ sơ hở nào có thể gây ra các tổn thất về an toàn bảo mật.

Việc Kiểm thử bảo mật đối với bất kỳ hệ thống nào đều là tìm kiếm tất cả các lỗ hổng và điểm yếu trong hệ thống mà dẫn đến rò rỉ thông tin của tổ chức.

Mục đích của Kiểm thử bảo mật là xác định các mối đe dọa và các lỗ hổng trong hệ thống. Nó giúp xác định tất cả các rủi ro về an toàn bảo mật trong hệ thống và giúp các nhóm phát triển phần mềm trong việc khắc phục các vấn đề này.

III. Các hình thức Kiểm thử bảo mật

Theo ISECOM (Open Source Security Testing) có 7 hình thức Kiểm thử bảo mật:

  1. Rà soát các lỗ hổng tiềm ẩn – Vulnerable Scanning: thực hiện thông qua các phần mềm để tự động scan một hệ thống nhằm phát hiện ra các lỗ hổng dựa trên các signatures đã biết.
  2. Rà soát các điểm yếu của hệ thống – Security Scanning: bao gồm việc xác định các điểm yếu của mạng và hệ thống, sau đó cung cấp các giải pháp nhằm giảm thiểu các rủi ro này. Có thể thực hiện bằng thủ công hoặc tự động.
  3. Đánh giá bảo mật bằng cách tấn công vào hệ thống – Penetration testing: Đây là loại kiểm thử mô phỏng cuộc tấn công từ phía một hacker thiếu thiện ý. Kiểm thử bao gồm việc phân tích một hệ thống cụ thể, tìm ra các lỗ hổng tiềm ẩn bằng cách tấn công từ bên ngoài.
  4. Đánh giá rủi ro – Risk Assessment: Kiểm thử này liên quan đến phân tích các rủi ro bảo mật nhận thấy được. Các rủi ro được phân loại là Low, Medium, High. Loại kiểm thử này đưa ra các khuyến nghị nhằm giảm thiểu các rủi ro.
  5. Kiểm toán an ninh – Security Auditing: Kiểm tra bảo mật nội bộ ứng dụng và OS.
  6. Tấn công vào hệ thống tìm các điểm yếu bảo mật – Ethical hacking: Các hacker thiện ý thực hiện phương pháp tương tự như những kẻ tấn công “thiếu thiện ý”, với mục tiêu tìm kiếm các điểm yếu bảo mật và xác định cách thức để thâm nhập vào mục tiêu, nhằm đánh giá mức độ thiệt hại do các lổ hỗng này gây ra, từ đó đưa ra cảnh báo cùng những phương án gia cố, kiện toàn bảo mật thích hợp.
  7. Posture assessment: Kết hợp Security Scanning, Ethical hacking và Risk Assessment đánh giá bảo mật tổng thể một tổ chức.

IV. Tích hợp các quy trình bảo mật với vòng đời phát triển của phần mềm (SDLC – Systems development life cycle):

Capture

Các quy trình bảo mật tương ứng các giai đoạn trong SDLC

Trong đó, Test Plan bao gồm:

  • Liên quan đến các trường hợp hoặc các kịch bản kiểm thử.
  • Các dữ liệu liên quan đến kiểm thử an ninh.
  • Các công cụ liên quan đến kiểm thử an ninh.
  • Phân tích các kết quả kiểm tra khác nhau từ các công cụ bảo mật khác nhau.

Kịch bản kiểm thử mẫu giúp cung cấp một cái nhìn sơ lược về các trường hợp kiểm thử bảo mật:

  • Mật khẩu cần phải ở dạng mã hóa.
  • Ứng dụng hoặc hệ thống cần phải kiểm soát người dùng, không cho phép các người dùng không hợp lệ.
  • Kiểm tra cookies và session time.
  • Với các website tài chính, Browser back button không nên hoạt động.

Phương pháp Kiểm thử bảo mật:

  • Tiger Box: được thực hiện trên một laptop, trong đó có một tập các các hệ điều hành và các công cụ hack. Phương pháp này giúp các nhân viên kiểm thử penetration testers và security testers tiến hành đánh giá các lỗ hổng và các cuộc tấn công.
  • Black Box: Nhân viên kiểm thử được ủy quyền để kiểm tra tất cả mọi thứ về về topo và công nghệ mạng.
  • Grey Box: Là sự kết hợp của mô hình black box và white box.

V. Kết luận:

Kiểm thử bảo mật là loại kiểm thử quan trọng nhất đối với một ứng dụng và giúp xác định liệu các dữ liệu quan trọng có được đảm bảo bí mật hay không.

Với loại kiểm thử này, kiểm thử viên đóng vai trò kẻ tấn công và tấn công hệ thống để tìm ra các lỗ hổng bảo mật.

Theo: Guru99