¿Qué es una prueba de seguridad?
PRUEBA DE SEGURIDAD es un tipo de prueba de software que revela vulnerabilidades, amenazas, riesgos en una aplicación de software y previene ataques maliciosos de intrusos. El propósito de las Pruebas de Seguridad es identificar todas las lagunas y debilidades potenciales en el sistema de software que podrían resultar en la pérdida de información, ingresos, reputación de los empleados o personas ajenas a la Organización.
¿Por qué son importantes las pruebas de seguridad?
El objetivo principal es Prueba de seguridad es identificar las amenazas en el sistema y medir las vulnerabilidades potenciales, para que las amenazas puedan ser detectadas y el sistema no deje de funcionar o no pueda ser explotado. También ayuda a detectar todos los posibles riesgos de seguridad en el sistema y ayuda a los desarrolladores a solucionar los problemas mediante la codificación.
En este tutorial, aprenderá:
Tipos de pruebas de seguridad:
Hay siete tipos principales de pruebas de seguridad de acuerdo con el manual de metodología de pruebas de seguridad de código abierto. Se explican de la siguiente manera:
- Análisis de vulnerabilidades: Esto se hace a través de un software automatizado para escanear un sistema contra firmas de vulnerabilidades conocidas.
- Escaneo de seguridad: Implica identificar las vulnerabilidades de la red y los sistemas, lo que a su vez proporciona soluciones para reducir estos riesgos. Este escaneo se puede realizar para escaneo manual y automático.
- Prueba de penetración: Este tipo de prueba simula un ataque de un pirata informático malintencionado. Esta prueba implica el análisis de un sistema en particular para verificar posibles vulnerabilidades de un intento de piratería externa.
- Evaluación de riesgos: Esta prueba incluye un análisis de los riesgos de seguridad observados en la organización. Los riesgos se clasifican en Bajo, Medio y Alto. Esta prueba recomienda controles y medidas para reducir el riesgo.
- Auditoría de seguridad: Esta es una auditoría interna de la aplicación y los sistemas operativos para detectar fallas de seguridad. También se puede realizar una auditoría a través de una auditoría en línea del código.
- Apoyo ético: Está pirateando sistemas de software organizacional. A diferencia de los piratas informáticos malintencionados, que roban para sus propios beneficios, el secreto es exponer las fallas de seguridad en el sistema.
- Evaluación de la postura: Esto combina el escaneo de seguridad, Apoyo ético y evaluaciones de riesgos para demostrar la postura de seguridad general de una organización.
Cómo hacer una prueba de seguridad
Siempre se ha acordado que este costo será mayor si aplazamos las pruebas de seguridad después de la fase de implementación del software o después de la implementación. Por lo tanto, las pruebas de seguridad son necesarias durante la vida útil del SDLC en las etapas anteriores.
Analizamos los procesos de seguridad correspondientes que se adoptarán para cada etapa del SDLC.
Pasos SDLC | Procesos de seguridad |
---|---|
Requisitos | Análisis de necesidades de seguridad y verificación de casos de abuso / abuso |
Diseño | Análisis de seguridad de riesgos de diseño. Desarrollo Plan de prueba incluyendo pruebas de seguridad |
Codificación y prueba unitaria | Pruebas y seguridad estáticas y dinámicas Prueba de caja blanca |
Examen de integración | Prueba de caja negra |
Prueba del sistema | Pruebas de caja negra y escaneo de vulnerabilidades |
Implementación | Prueba de penetración, Análisis de vulnerabilidades |
Apoyo | Análisis de impacto de parches |
El plan de prueba debe incluir
- Casos relacionados con la seguridad o casos de prueba
- Prueba de datos relacionados con las pruebas de seguridad
- Herramientas de prueba necesarias para las pruebas de seguridad
- Análisis de varios resultados de prueba de diferentes herramientas de seguridad.
Ejemplos de casos de prueba para pruebas de seguridad:
Ejemplos de casos de prueba para darle una idea de los casos de prueba de seguridad:
- La contraseña debe estar en formato cifrado
- Una aplicación o sistema no debe permitir usuarios inválidos
- Verifique las cookies y el tiempo de la sesión para las solicitudes
- Para los sitios financieros, el botón de retroceso del navegador no debería funcionar.
Metodologías / enfoques / técnicas para pruebas de seguridad
Durante las pruebas de seguridad, se siguen varias metodologías, que son las siguientes:
- Caja de tigre: Esta piratería se realiza generalmente en una computadora portátil que contiene una colección de sistemas operativos y herramientas de piratería. Esta prueba ayuda a los probadores de penetración y de seguridad a evaluar y atacar vulnerabilidades.
- Caja negra: Un evaluador tiene la autoridad para probar todo lo relacionado con la topología y tecnología de la red.
- Caja gris: El probador recibe información parcial sobre el sistema y es un híbrido de modelos de caja blanca y negra.
Roles de prueba de seguridad
- Piratas informáticos: acceso no autorizado a un sistema informático o red
- Cookies: irrumpir en sistemas para robar o eliminar datos.
- Ethical Hacker: realiza la mayoría de las actividades interrumpidas solo con el permiso del propietario
- Script Kiddies o packet monkeys: piratas informáticos sin experiencia con habilidades en lenguaje de programación
Herramienta de prueba de seguridad
1) Intruso
Intruso Es un escáner de vulnerabilidades de nivel empresarial fácil de usar. Ejecuta más de 10,000 controles de seguridad de alta calidad en todas sus infraestructuras de TI, que incluyen, entre otros: vulnerabilidades de configuración, vulnerabilidades de aplicaciones (como inyección SQL y secuencias de comandos entre sitios) y parches faltantes. Al proporcionar resultados de prioridad inteligentes, así como análisis proactivos para las últimas amenazas, Intruder ayuda a ahorrar tiempo y mantiene a las empresas de todos los tamaños a salvo de los piratas informáticos.
Aspectos:
- Conectores en la nube de AWS, Azure y Google
- Resultados específicos del contorno para reducir su superficie de ataque externa
- Informes de alta calidad
- Slack integrado, Microsoft Staff, Jira, Zapier
- Integración de API con su canalización de CI / CD
2) Owasp
Proyecto de seguridad de aplicaciones web abiertas (OWASP) es una organización mundial sin fines de lucro centrada en mejorar la seguridad del software. El proyecto cuenta con multitud de herramientas para probar diferentes entornos y protocolos de software. Las herramientas insignia del proyecto incluyen
- Proxy de ataque Zed (ZAP – herramienta de prueba de penetración integrada)
- Verificación de dependencia de OWASP (analiza las dependencias del proyecto y comprueba las vulnerabilidades conocidas)
- Proyecto de entorno de pruebas web OWASP (colección de herramientas y documentos de seguridad)
3) WireShark
Wireshark es una herramienta de análisis de redes antes conocida como Ethereal. Captura paquetes en tiempo real y los muestra en un formato legible por humanos. Es básicamente un analizador de paquetes de red, que proporciona datos minuciosos sobre sus protocolos de red, descifrado, información de paquetes, etc. Es de código abierto y se puede utilizar en Linux, Windows, OS X, Solaris, NetBSD, FreeBSD y muchos otros sistemas. La información obtenida a través de esta herramienta se puede ver a través de GUI o mediante el método TTY TShark Utility.
4) W3af
w3af Es un marco de auditoría y ataque de aplicaciones web. Hay tres tipos de complementos; descubrimiento, exploración y ataque que se comunican entre sí sobre cualquier vulnerabilidad en el sitio, por ejemplo, un complemento de descubrimiento en w3af busca diferentes URL para probar vulnerabilidades y reenvía al complemento de auditoría que luego usa esas URL para buscar vulnerabilidades.
Mitos y realidades sobre las pruebas de seguridad:
Hablemos de temas interesantes sobre mitos y hechos de pruebas de seguridad:
Mito # 1 No necesitamos una política de seguridad porque somos una pequeña empresa
Hecho: todos y todas las empresas necesitan una política de seguridad
Mito # 2 No hay retorno de la inversión en pruebas de seguridad.
Realidad: Las pruebas de seguridad pueden identificar áreas de mejora que pueden mejorar la eficiencia y reducir el tiempo de inactividad, al tiempo que permiten el máximo rendimiento.
Mito # 3: La única forma de ahorrar es desenchufarlo.
Realidad: La única y mejor manera de proteger una organización es obtener «Seguridad Perfecta». Se puede lograr una seguridad perfecta evaluando la postura y comparando las realidades comerciales, legales y de la industria.
Mito # 4: Internet no es seguro. Compraré software o hardware para proteger el sistema y salvar el negocio.
Realidad: Uno de los mayores problemas es la compra de software y hardware por motivos de seguridad. En cambio, la organización debe comprender primero la seguridad y luego implementarla.
Conclusión:
Las pruebas de seguridad son la prueba más importante de una aplicación y verifican si los datos confidenciales siguen siendo confidenciales. En este tipo de prueba, un evaluador desempeña el papel del atacante y juega con el sistema para encontrar errores relacionados con la seguridad. Las pruebas de seguridad son muy importantes en la ingeniería de software para proteger los datos en todos los sentidos.