Penetration Testing në Agile Testing
Penetration Testing është praktika e testimit të një sistemi kompjuterik, rrjeti ose aplikacioni në internet për të identifikuar dobësitë e sigurisë që mund të shfrytëzohen nga një sulmues me qellime te keqija. Testimi i depërtimit mund të automatizohet me aplikacione softverike ose të kryhet manualisht. Ky testim përfshin mbledhjen e informacioneve rreth kompanise per sherbimet qe ka, identifikimin e pikave të mundshme qe mund te shfrytezohen per te depërtuar brenda, dhe raportimin e gjetjeve.
Qëllimi i penetration testing është të gjejë dobësitë e sigurisë, por gjithashtu të shqyrtojë politikën e sigurisë së organizatës apo biznesit – duke përfshirë kërkesat e pajtueshmërisë dhe vetëdijen e sigurisë së organizatës për t’iu përgjigjur incidenteve.
Raportet e krijuara nga ky testim ofrojne sqarimet e nevojshme për një organizatë për t’i dhënë përparësi investimeve ne fushën e sigurisë. Mund të ndihmojë gjithashtu zhvilluesit e aplikacioneve të krijojnë aplikacione më të sigurta, duke kuptuar logjikën se si operon një hakeri mund të hyje në aplikacione. Në atë mënyrë, zhvilluesit nuk do të bëjnë të njëjtat gabime.
Si mundet që Penetration Testing të përmirësojë sigurinë e Agile Testing?
Çelësi i Agile development testing është shpërndarja e shpejtë e softuerit cilësor. Që kjo të jetë efektive, siguria duhet të merret parasysh që nga fillimi i procesit të zhvillimit, si dhe të merren parasysh të gjitha rreziqet që lidhen me sigurinë. Disa projekte zhvillimi mund të kërkojnë testime të shpeshta të sigurisë gjatë zhvillimit ndërsa të tjerët mund të kenë nevojë vetëm për një ose dy teste gjatë procesit.
Duke marrë parasysh rreziqet që nga fillimi, testuesit do të jenë më të vetëdijshëm për llojet e testimit qe jane te nevojshme, sa shpesh ata duhet t’i bëjnë ato dhe në cilën fazë mund të vendosen kontrollet e sigurisë.
Për këtë arsye kompania FindBUG e cila është vetme në rajon që ofron shërbime për testime në fushën e ‘Crowd Source Penetration Testing’, ku mundëson që kompania apo biznesi ta maksimizojnë kthimin e sigurisë në investim.
Për të arritur ekuilibrin e duhur midis testimit të automatizuar dhe manual që hulumtuesit e sigurisë, apo testuesit e sigurisë e bëjnë në aplikacione të cilat i testojnë, organizata duhet të nxjerrë në pah fushat kryesore të zhvillimit që kërkojnë testim. Zonat me rrezik më të ulët mund të kenë nevojë vetëm për skanimin e cenueshmërisë. Sidoqoftë, zonat me rrezik të lartë do të duhet të kryejnë një skanim të cenueshmërisë, pastaj të vërtetojnë manualisht përpjekjet e rehabilitimit për t’u siguruar që ato të jenë sa më të forta.
Duke pasur një qasje të fortë ndaj sigurisë kibernetike gjatë procesit Agile – duke përfshirë penetration testing të paktën një herë në vit do të perforconte efikasitetin dhe sigurinë e aplikacionit.
Testimi i softuerit konsiston në të gjitha aktivitetet e ciklit të jetës të zhvillimit të softuerit, si statik ashtu edhe dinamik, që kanë të bëjnë me vlerësimin e produkteve të softuerit për të përcaktuar që ato të plotësojnë kërkesat e specifikuara, për të demonstruar se ato janë të përshtatshme me qëllim për të zbuluar defektet. Testimi mund të klasifikohet në tre dimensionet e objektivit, fushëveprimin dhe arritshmërinë e treguar në:
Testet objektive janë arsyeja ose qëllimi për hartimin dhe ekzekutimin e një testi. Arsyeja është ose për të kontrolluar sjelljen funksionale të sistemit ose vetitë e tij jofunksionale. Testimi funksional ka të bëjë me vlerësimin e sjelljes funksionale të një SUT (Sistemi nën Testim), ndërsa testimi jofunksional synon vlerësimin e kërkesave jofunksionale në lidhje me karakteristikat e cilësisë si siguria ose performanca.
Fusheveprimi përshkruan Sistemi nën Testim (SUT) dhe mund të klasifikohet në komponente, integrim dhe testimin e sistemit.
Për sa i përket arritshmërinë e treguar, ne mund të klasifikojmë metodat e testimit në White Box dhe Black Box. Në testimin e White Box testing, rastet e provës nxirren bazuar në informacionin se si është dizajnuar ose koduar softueri. Në testimin e Black Box, rastet e provës mbështeten vetëm në sjelljen hyrëse / dalëse të softuerit. Ky klasifikim është veçanërisht i rëndësishëm për testimin e sigurisë, pasi testimi i Black Box, ku nuk ofrohet asnjë ose vetëm informacion bazë për sistemin nën provë, mundëson që të imitoj sulmet e jashtme nga hakerat.
Abstrakte nga teknikat konkrete të testimit të sigurisë të përmendura më parë, dhe i klasifikon ato sipas bazës së tyre të provës brenda ciklit të sigurt të zhvillimit të softuerit, i cili merr parasysh aspektet e sigurisë në secilën fazë të zhvillimit të softuerit, dmth., Analiza, dizajni, implementimi, vendosja, mirëmbajtja dhe përveç kësaj testimi.
Testimi i sigurisë është testimi i kërkesave të sigurisë në lidhje me vetitë e sigurisë si konfidencialiteti, integriteti, disponueshmëria, vërtetimi, autorizimi dhe mos-mohimi shtesë për të testuar rezistencën e sistemit kundër sulmit.
Në testimin e sigurisë, ekzistojnë dy qasje kryesore që mund të dallohen, d.m.th., testimi funksional i sigurisë dhe testimi i cenueshmërisë së sigurisë. Testimi funksional i sigurisë vërteton nëse kërkesat e specifikuara të sigurisë janë zbatuar në mënyrë korrekte, për sa i përket vetive të sigurisë dhe mekanizmave të sigurisë.
Testimi i cenueshmërisë së sigurisë adreson identifikimin e dobësive të padëshiruara të sistemit. Ai përdor simulimin e sulmeve dhe llojet e tjera të testimit të depërtimit duke u përpjekur të kompromentojnë sigurinë e një sistemi duke luajtur rolin e një hakeri që përpiqet të sulmojë sistemin dhe të shfrytëzojë dobësitë e tij. Për më tepër, testimi i cenueshmërisë së sigurisë kërkon ekspertizë specifike, gjë që e bën të vështirë automatizimin.
Duke identifikuar rreziqet në sistem dhe duke krijuar teste të nxitura nga ato rreziqe, testimi i cenueshmërisë së sigurisë mund të përqendrohet në pjesë specifike të zbatimit të sistemit ku një sulm ka të ngjarë të ketë sukses.
Abstrakte nga teknikat konkrete të testimit të sigurisë të përmendura më parë, dhe i klasifikon ato në bazë të testit të tyre brenda ciklit të sigurt të zhvillimit të softuerit, i cili merr parasysh aspektet e sigurisë në secilën fazë të zhvillimit të softuerit, dmth., Analiza, dizajni, implementimi, vendosja, mirëmbajtja , dhe përveç kësaj testimi.Figura 2
Figura 2: Procesi për zhvillimin e strategjisë së testit të bazuar në rrezik
Penetration Testing dhe analiza dinamike bazohen në sistemet funksionale, ose në një mjedis testues ose publike. Referohet si një metodë e testimit të Black Box sepse testuesi nuk ka qasje në kodin burimor të sistemit nën testim. Testimi i depërtimit kërkon të depërtojë në softuer që funksionon, por nga pikëpamja etike. Si rezultat, rregulli per testim duhet të përcaktohet gjithmonë përpara se të kryhet një provë e tillë.
© 2019, FindBUG.io supported by MIN