Saltar al contenido

¿Qué es una prueba de seguridad? Tipos con ejemplo

¿Qué es una prueba de seguridad?

PRUEBA DE SEGURIDAD es un tipo de prueba de software que revela vulnerabilidades, amenazas, riesgos en una aplicación de software y previene ataques maliciosos de intrusos. El propósito de las Pruebas de Seguridad es identificar todas las lagunas y debilidades potenciales en el sistema de software que podrían resultar en la pérdida de información, ingresos, reputación de los empleados o personas ajenas a la Organización.

¿Por qué son importantes las pruebas de seguridad?

El objetivo principal es Prueba de seguridad es identificar las amenazas en el sistema y medir las vulnerabilidades potenciales, para que las amenazas puedan ser detectadas y el sistema no deje de funcionar o no pueda ser explotado. También ayuda a detectar todos los posibles riesgos de seguridad en el sistema y ayuda a los desarrolladores a solucionar los problemas mediante la codificación.

En este tutorial, aprenderá:

Tipos de pruebas de seguridad:

Hay siete tipos principales de pruebas de seguridad de acuerdo con el manual de metodología de pruebas de seguridad de código abierto. Se explican de la siguiente manera:

Cómo hacer una prueba de seguridad

Siempre se ha acordado que este costo será mayor si aplazamos las pruebas de seguridad después de la fase de implementación del software o después de la implementación. Por lo tanto, las pruebas de seguridad son necesarias durante la vida útil del SDLC en las etapas anteriores.

Analizamos los procesos de seguridad correspondientes que se adoptarán para cada etapa del SDLC.

Pasos SDLCProcesos de seguridad
RequisitosAnálisis de necesidades de seguridad y verificación de casos de abuso / abuso
DiseñoAnálisis de seguridad de riesgos de diseño. Desarrollo Plan de prueba incluyendo pruebas de seguridad
Codificación y prueba unitariaPruebas y seguridad estáticas y dinámicas Prueba de caja blanca
Examen de integraciónPrueba de caja negra
Prueba del sistemaPruebas de caja negra y escaneo de vulnerabilidades
ImplementaciónPrueba de penetración, Análisis de vulnerabilidades
ApoyoAnálisis de impacto de parches

El plan de prueba debe incluir

Ejemplos de casos de prueba para pruebas de seguridad:

Ejemplos de casos de prueba para darle una idea de los casos de prueba de seguridad:

Metodologías / enfoques / técnicas para pruebas de seguridad

Durante las pruebas de seguridad, se siguen varias metodologías, que son las siguientes:

Roles de prueba de seguridad

Herramienta de prueba de seguridad

1) Intruso

Intruso Es un escáner de vulnerabilidades de nivel empresarial fácil de usar. Ejecuta más de 10,000 controles de seguridad de alta calidad en todas sus infraestructuras de TI, que incluyen, entre otros: vulnerabilidades de configuración, vulnerabilidades de aplicaciones (como inyección SQL y secuencias de comandos entre sitios) y parches faltantes. Al proporcionar resultados de prioridad inteligentes, así como análisis proactivos para las últimas amenazas, Intruder ayuda a ahorrar tiempo y mantiene a las empresas de todos los tamaños a salvo de los piratas informáticos.

Aspectos:

  • Conectores en la nube de AWS, Azure y Google
  • Resultados específicos del contorno para reducir su superficie de ataque externa
  • Informes de alta calidad
  • Slack integrado, Microsoft Staff, Jira, Zapier
  • Integración de API con su canalización de CI / CD

2) Owasp

Proyecto de seguridad de aplicaciones web abiertas (OWASP) es una organización mundial sin fines de lucro centrada en mejorar la seguridad del software. El proyecto cuenta con multitud de herramientas para probar diferentes entornos y protocolos de software. Las herramientas insignia del proyecto incluyen

  1. Proxy de ataque Zed (ZAP – herramienta de prueba de penetración integrada)
  2. Verificación de dependencia de OWASP (analiza las dependencias del proyecto y comprueba las vulnerabilidades conocidas)
  3. Proyecto de entorno de pruebas web OWASP (colección de herramientas y documentos de seguridad)

3) WireShark

Wireshark es una herramienta de análisis de redes antes conocida como Ethereal. Captura paquetes en tiempo real y los muestra en un formato legible por humanos. Es básicamente un analizador de paquetes de red, que proporciona datos minuciosos sobre sus protocolos de red, descifrado, información de paquetes, etc. Es de código abierto y se puede utilizar en Linux, Windows, OS X, Solaris, NetBSD, FreeBSD y muchos otros sistemas. La información obtenida a través de esta herramienta se puede ver a través de GUI o mediante el método TTY TShark Utility.

4) W3af

w3af Es un marco de auditoría y ataque de aplicaciones web. Hay tres tipos de complementos; descubrimiento, exploración y ataque que se comunican entre sí sobre cualquier vulnerabilidad en el sitio, por ejemplo, un complemento de descubrimiento en w3af busca diferentes URL para probar vulnerabilidades y reenvía al complemento de auditoría que luego usa esas URL para buscar vulnerabilidades.

Mitos y realidades sobre las pruebas de seguridad:

Hablemos de temas interesantes sobre mitos y hechos de pruebas de seguridad:

Mito # 1 No necesitamos una política de seguridad porque somos una pequeña empresa

Hecho: todos y todas las empresas necesitan una política de seguridad

Mito # 2 No hay retorno de la inversión en pruebas de seguridad.

Realidad: Las pruebas de seguridad pueden identificar áreas de mejora que pueden mejorar la eficiencia y reducir el tiempo de inactividad, al tiempo que permiten el máximo rendimiento.

Mito # 3: La única forma de ahorrar es desenchufarlo.

Realidad: La única y mejor manera de proteger una organización es obtener “Seguridad Perfecta”. Se puede lograr una seguridad perfecta evaluando la postura y comparando las realidades comerciales, legales y de la industria.

Mito # 4: Internet no es seguro. Compraré software o hardware para proteger el sistema y salvar el negocio.

Realidad: Uno de los mayores problemas es la compra de software y hardware por motivos de seguridad. En cambio, la organización debe comprender primero la seguridad y luego implementarla.

Conclusión:

Las pruebas de seguridad son la prueba más importante de una aplicación y verifican si los datos confidenciales siguen siendo confidenciales. En este tipo de prueba, un evaluador desempeña el papel del atacante y juega con el sistema para encontrar errores relacionados con la seguridad. Las pruebas de seguridad son muy importantes en la ingeniería de software para proteger los datos en todos los sentidos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *