منظور از تست امنیتی چیست ؟

تست امنیتی چیست ؟

تست امنیتی چیست ؟

تست امنیت بخشی جدایی ناپذیر از تست نرم افزار است که برای کشف نقاط ضعف، خطرات یا تهدیدات در برنامه نرم افزاری استفاده می شود.

همچنین به ما کمک کنید تا از حمله ناخوشایند خارجی ها جلوگیری کنیم و از امنیت برنامه های نرم افزاری خود اطمینان حاصل کنیم.

هدف اولیه از تست امنیتی یافتن تمام ابهامات و آسیب پذیری های احتمالی برنامه است تا نرم افزار از کار خود باز نماند.

اگر تست امنیتی انجام دهیم، به ما کمک می کند تا تمام تهدیدات امنیتی احتمالی را شناسایی کنیم و همچنین به برنامه نویس کمک می کند تا آن خطاها را برطرف کند.

این یک روش تست است که برای تعریف ایمن بودن داده ها و همچنین ادامه روند کار نرم افزار استفاده می شود.

 

قاعده و اصل تست امنیتی

 

در اینجا، ما جنبه های زیر تست امنیتی را مورد بحث قرار خواهیم داد:

 

 

Availability (دسترسی) :

 

در این مورد، داده ها باید توسط یک شخص رسمی نگهداری شود و آنها همچنین تضمین می کنند که خدمات داده ها و بیانیه ها در هر زمان که نیاز داشته باشیم آماده استفاده خواهند بود.

 

Integrity (یکپارچگی) :

 

در این، ما آن دسته از داده هایی را که توسط شخص غیر رسمی تغییر داده شده است، ایمن خواهیم کرد. هدف اصلی یکپارچگی این است که به گیرنده اجازه داده شود داده هایی را که توسط سیستم داده می شود کنترل کند.

سیستم های یکپارچگی به طور منظم از برخی از رویکردهای اساسی مشابه به عنوان ساختارهای محرمانه استفاده می کنند. با این حال، آنها به طور کلی شامل داده های ارتباط هستند تا برای ایجاد منبع بررسی الگوریتمی به جای رمزگذاری تمام ارتباطات. و همچنین بررسی کنید که داده های صحیح از یک برنامه به برنامه دیگر منتقل شده است.

 

Authorization (مجوز) :

 

این فرآیند تعریف این است که یک مشتری مجاز به انجام یک عمل و همچنین دریافت خدمات است. نمونه مجوز، کنترل دسترسی است.

 

 

Confidentiality (محرمانه) :

 

این یک فرآیند امنیتی است که نشت داده ها را از افراد خارجی طولانی می کند زیرا تنها راهی است که می توانیم از امنیت داده های خود اطمینان حاصل کنیم.

 

Authentication (احراز هویت) :

 

فرآیند احراز هویت شامل تأیید فردیت یک فرد، ردیابی منبع محصول است که برای دسترسی به اطلاعات خصوصی یا سیستم ضروری است.

 

 

Non-repudiation (عدم انکار) :

 

این به عنوان مرجعی برای امنیت دیجیتال استفاده می شود، و راهی برای اطمینان از اینکه فرستنده پیام نمی تواند با ارسال پیام مخالف باشد و گیرنده نمی تواند دریافت پیام را انکار کند.

عدم رد برای اطمینان از ارسال و دریافت پیام منتقل شده توسط شخصی که ادعا می کند پیام را ارسال و دریافت کرده است، استفاده می شود.

 

حوزه های کلیدی در تست امنیت

 

در حین انجام تست امنیتی در برنامه تحت وب، برای آزمایش برنامه باید روی قسمت های زیر تمرکز کنیم:

 

 

امنیت نرم افزاری سیستم

 

در این مطلب به بررسی آسیب پذیری های اپلیکیشن بر اساس نرم افزارهای مختلف از جمله سیستم عامل، سیستم پایگاه داده و … می پردازیم.

 

امنیت شبکه

 

در این قسمت ضعف ساختار شبکه مانند سیاست ها و منابع را بررسی می کنیم.

 

امنیت سمت سرور اپلیکیشن

 

ما امنیت برنامه سمت سرور را انجام خواهیم داد تا اطمینان حاصل کنیم که رمزگذاری سرور و ابزارهای آن برای محافظت از نرم افزار در برابر هرگونه اختلال کافی است.

 

امنیت سمت کلاینت اپلیکیشن

 

در این، ما مطمئن خواهیم شد که هر مزاحمی نمی تواند روی هر مرورگر یا ابزاری که توسط مشتریان استفاده می شود کار کند.

 

انواع تست های امنیتی

 

طبق تکنیک های تست امنیت منبع باز، انواع مختلفی از تست های امنیتی را داریم که به شرح زیر است:

 

  • Security Scanning
  • Risk Assessment
  • Vulnerability Scanning
  • Penetration testing
  • Security Auditing
  • Ethical hacking
  • Posture Assessment

 

 

اسکن امنیتی

 

اسکن امنیتی را می توان هم برای تست اتوماسیون و هم برای تست دستی انجام داد. این اسکن برای یافتن آسیب‌پذیری یا اصلاح ناخواسته فایل در یک برنامه مبتنی بر وب، وب‌سایت‌ها، شبکه یا سیستم فایل استفاده می‌شود.

پس از آن، نتایجی را ارائه می دهد که به ما کمک می کند تا آن تهدیدات را کاهش دهیم. اسکن امنیتی برای آن سیستم ها مورد نیاز است که به ساختاری که آنها استفاده می کنند بستگی دارد.

 

ارزیابی ریسک

 

برای تعدیل ریسک یک برنامه، به ارزیابی ریسک خواهیم پرداخت. در این، ما خطر امنیتی را که می توان در ارتباط شناسایی کرد، بررسی خواهیم کرد.

ریسک را می توان بیشتر به سه بخش تقسیم کرد که عبارتند از بالا، متوسط ​​و پایین. هدف اولیه فرآیند ارزیابی ریسک، ارزیابی آسیب‌پذیری‌ها و کنترل تهدید مهم است.

 

اسکن آسیب پذیری

 

این برنامه ای است که برای تعیین و تولید لیستی از تمام سیستم هایی که شامل دسکتاپ ها، سرورها، لپ تاپ ها، ماشین های مجازی، چاپگرها، سوئیچ ها و فایروال های مربوط به یک شبکه هستند، استفاده می شود.

اسکن آسیب پذیری را می توان بر روی برنامه خودکار انجام داد و همچنین آن دسته از نرم افزارها و سیستم هایی را که آسیب پذیری های امنیتی را تصدیق کرده اند، شناسایی می کند.

 

تست نفوذ

 

تست نفوذ یک پیاده سازی امنیتی است که در آن یک متخصص امنیت سایبری سعی در شناسایی و بهره برداری از ضعف در سیستم کامپیوتری دارد.

هدف اصلی این آزمایش شبیه سازی شیوع و همچنین یافتن شکاف در سیستم و به طور مشابه از مزاحمینی که می توانند از مزایا استفاده کنند نجات می دهد.

بستن