¿Qué son las pruebas de seguridad?
LA PRUEBA DE SEGURIDAD es un tipo de prueba de software que descubre vulnerabilidades, amenazas, riesgos en una aplicación de software y previene ataques maliciosos de intrusos. El propósito de las Pruebas de Seguridad es identificar todas las posibles lagunas y debilidades del sistema de software que podrían resultar en una pérdida de información, ingresos, reputación a manos de los empleados o personas externas a la Organización.
¿Por qué son importantes las pruebas de seguridad?
El objetivo principal de Security Testing es identificar las amenazas en el sistema y medir sus vulnerabilidades potenciales, para que las amenazas se puedan encontrar y el sistema no deje de funcionar o no pueda ser explotado. También ayuda a detectar todos los posibles riesgos de seguridad en el sistema y ayuda a los desarrolladores a solucionar los problemas mediante la codificación.
En este tutorial, aprenderá:
- ¿Qué son las pruebas de seguridad?
- Tipos de pruebas de seguridad
- Cómo realizar pruebas de seguridad
- Escenarios de prueba de ejemplo para pruebas de seguridad
- Metodologías / Enfoque / Técnicas para pruebas de seguridad
- Roles de prueba de seguridad
- Herramienta de prueba de seguridad
- Mitos y realidades de las pruebas de seguridad
Tipos de pruebas de seguridad:
Hay siete tipos principales de pruebas de seguridad según el manual de metodología de pruebas de seguridad de código abierto. Se explican de la siguiente manera:
- Escaneo de vulnerabilidades : esto se realiza a través de un software automatizado para escanear un sistema contra firmas de vulnerabilidad conocidas.
- Escaneo de seguridad: implica identificar las debilidades de la red y del sistema, y luego proporciona soluciones para reducir estos riesgos. Este escaneo se puede realizar tanto para escaneo manual como automático.
- Prueba de penetración : este tipo de prueba simula un ataque de un pirata informático malintencionado. Esta prueba implica el análisis de un sistema en particular para verificar posibles vulnerabilidades a un intento de piratería externa.
- Evaluación de riesgos: esta prueba implica el análisis de los riesgos de seguridad observados en la organización. Los riesgos se clasifican en Bajo, Medio y Alto. Esta prueba recomienda controles y medidas para reducir el riesgo.
- Auditoría de seguridad: esta es una inspección interna de las aplicaciones y los sistemas operativos para detectar fallas de seguridad. También se puede realizar una auditoría a través de la inspección de código línea por línea
- Piratería ética: es piratear los sistemas de software de una organización. A diferencia de los piratas informáticos malintencionados, que roban para sus propios beneficios, la intención es exponer fallas de seguridad en el sistema.
- Evaluación de la postura: combina análisis de seguridad, piratería ética y evaluaciones de riesgos para mostrar una postura de seguridad general de una organización.
Cómo realizar pruebas de seguridad
Siempre se acuerda que el costo será mayor si posponemos las pruebas de seguridad después de la fase de implementación del software o después de la implementación. Por lo tanto, es necesario incluir pruebas de seguridad en el ciclo de vida de SDLC en las fases anteriores.
Veamos los procesos de seguridad correspondientes que se adoptarán para cada fase en SDLC
| Fases SDLC | Procesos de seguridad |
|---|---|
| Requisitos | Análisis de seguridad para requisitos y verificación de casos de abuso / uso indebido |
| Diseño | Análisis de riesgos de seguridad para el diseño. Desarrollo de un plan de pruebas que incluye pruebas de seguridad. |
| Codificación y pruebas unitarias | Pruebas estáticas y dinámicas y pruebas de caja blanca de seguridad |
| Pruebas de integración | Prueba de caja negra |
| Prueba del sistema | Prueba de caja negra y escaneo de vulnerabilidades |
| Implementación | Pruebas de penetración, escaneo de vulnerabilidades |
| Apoyo | Análisis de impacto de parches |
El plan de prueba debe incluir
- Casos o escenarios de prueba relacionados con la seguridad
- Datos de prueba relacionados con las pruebas de seguridad
- Herramientas de prueba necesarias para las pruebas de seguridad
- Análisis de varios resultados de pruebas de diferentes herramientas de seguridad.
Escenarios de prueba de ejemplo para pruebas de seguridad:
Ejemplos de escenarios de prueba para darle una idea de los casos de prueba de seguridad:
- Una contraseña debe estar en formato cifrado
- La aplicación o el sistema no deben permitir usuarios inválidos
- Verifique las cookies y el tiempo de la sesión para la aplicación
- Para los sitios financieros, el botón de retroceso del navegador no debería funcionar.
Metodologías / Enfoque / Técnicas para pruebas de seguridad
En las pruebas de seguridad se siguen diferentes metodologías, y son las siguientes:
- Tiger Box : esta piratería generalmente se realiza en una computadora portátil que tiene una colección de sistemas operativos y herramientas de piratería. Esta prueba ayuda a los probadores de penetración y de seguridad a realizar evaluaciones de vulnerabilidades y ataques.
- Black Box : Tester está autorizado para realizar pruebas en todo lo relacionado con la topología de la red y la tecnología.
- Caja gris : se proporciona información parcial al probador sobre el sistema, y es un híbrido de modelos de caja blanca y negra.
Roles de prueba de seguridad
- Hackers: acceden al sistema informático o la red sin autorización.
- Crackers: irrumpe en los sistemas para robar o destruir datos
- Ethical Hacker: realiza la mayoría de las actividades de ruptura pero con el permiso del propietario
- Script Kiddies o packet monkeys: hackers sin experiencia con habilidad en el lenguaje de programación
Herramienta de prueba de seguridad
1) intruso
Intruder es un escáner de vulnerabilidades de nivel empresarial que es fácil de usar. Ejecuta más de 10,000 controles de seguridad de alta calidad en toda su infraestructura de TI, que incluyen, entre otros: debilidades de configuración, debilidades de aplicaciones (como inyección SQL y secuencias de comandos entre sitios) y parches faltantes. Al proporcionar resultados priorizados de manera inteligente, así como análisis proactivos para las últimas amenazas, Intruder ayuda a ahorrar tiempo y mantiene a las empresas de todos los tamaños a salvo de los piratas informáticos.
Características:
- Conectores de AWS, Azure y Google Cloud
- Resultados específicos del perímetro para reducir su superficie de ataque externa
- Informes de alta calidad
- Integraciones de Slack, Microsoft Teams, Jira, Zapier
- Integración de API con su canalización de CI / CD
2) Owasp
El Open Web Application Security Project (OWASP) es una organización mundial sin fines de lucro que se centra en mejorar la seguridad del software. El proyecto cuenta con múltiples herramientas para realizar pruebas en varios entornos de software y protocolos. Las herramientas emblemáticas del proyecto incluyen
- Zed Attack Proxy (ZAP - una herramienta de prueba de penetración integrada)
- Comprobación de dependencia de OWASP (analiza las dependencias del proyecto y comprueba las vulnerabilidades conocidas)
- Proyecto de entorno de pruebas web OWASP (colección de herramientas de seguridad y documentación)
3) WireShark
Wireshark es una herramienta de análisis de red anteriormente conocida como Ethereal. Captura paquetes en tiempo real y los muestra en formato legible por humanos. Básicamente, es un analizador de paquetes de red, que proporciona los detalles minuciosos sobre sus protocolos de red, descifrado, información de paquetes, etc. Es un código abierto y se puede usar en Linux, Windows, OS X, Solaris, NetBSD, FreeBSD y muchos otros sistemas. La información que se recupera a través de esta herramienta se puede ver a través de una GUI o la utilidad TShark en modo TTY.
4) W3af
w3af es un marco de auditoría y ataque de aplicaciones web. Tiene tres tipos de complementos; descubrimiento, auditoría y ataque que se comunican entre sí para detectar vulnerabilidades en el sitio, por ejemplo, un complemento de descubrimiento en w3af busca diferentes URL para probar vulnerabilidades y reenviarlas al complemento de auditoría que luego usa estas URL para buscar vulnerabilidades.
Mitos y realidades de las pruebas de seguridad:
Hablemos de un tema interesante sobre mitos y realidades de las pruebas de seguridad:
Mito # 1 No necesitamos una política de seguridad ya que tenemos una pequeña empresa
Hecho: todos y todas las empresas necesitan una política de seguridad
Mito n. ° 2 No hay retorno de la inversión en pruebas de seguridad
Realidad: las pruebas de seguridad pueden señalar áreas de mejora que pueden mejorar la eficiencia y reducir el tiempo de inactividad, lo que permite un rendimiento máximo.
Mito # 3 : La única forma de asegurarlo es desenchufarlo.
Realidad: La única y mejor manera de proteger una organización es encontrar la "Seguridad Perfecta". Se puede lograr una seguridad perfecta realizando una evaluación de la postura y comparándola con las justificaciones comerciales, legales y de la industria.
Mito n. ° 4 : Internet no es seguro. Compraré software o hardware para proteger el sistema y salvar el negocio.
Realidad: Uno de los mayores problemas es comprar software y hardware para la seguridad. En cambio, la organización debe comprender la seguridad primero y luego aplicarla.
Conclusión:
Las pruebas de seguridad son las pruebas más importantes para una aplicación y verifican si los datos confidenciales se mantienen confidenciales. En este tipo de prueba, el probador juega un papel de atacante y juega con el sistema para encontrar errores relacionados con la seguridad. Las pruebas de seguridad son muy importantes en la ingeniería de software para proteger los datos por todos los medios.
