Тестирование безопасности

Тестирование безопасности — оценка уязвимости программного обеспечения к различным атакам.

Компьютерные системы очень часто являются мишенью незаконного проникновения. Под проникновением понимается широкий диапазон действий: попытки хакеров проникнуть в систему из спортивного интереса, месть рассерженных служащих, взлом мошенниками для незаконной наживы.

Тестирование безопасности проверяет фактическую реакцию защитных механизмов, встроенных в систему, на проникновение.

В ходе тестирования безопасности испытатель играет роль взломщика. Ему разрешено все:

попытки узнать пароль с помощью внешних средств;
атака системы с помощью специальных утилит, анализирующих защиты;
подавление, ошеломление системы (в надежде, что она откажется обслуживать других клиентов);
целенаправленное введение ошибок в надежде проникнуть в систему в ходе восстановления;
просмотр несекретных данных в надежде найти ключ для входа в систему.

При неограниченном времени и ресурсах хорошее тестирование безопасности взломает любую систему. Задача проектировщика системы — сделать цену проникновения более высокой, чем цена получаемой в результате информации.

Источник: Википедия

Связанные понятия

Эти́чный ха́кер или бе́лый ха́кер, а также на сетевом сленге бе́лая шля́па (от англ. White hat) — специалист по компьютерной безопасности, который специализируется на тестировании безопасности компьютерных систем. В отличие от чёрных шляп (чёрных хакеров), белые хакеры ищут уязвимости на добровольной основе или за плату с целью помочь разработчикам сделать их продукт более защищённым.

Система предотвращения вторжений (англ. Intrusion Prevention System, IPS) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Безопасное программирование — методика разработки программного обеспечения, предотвращающая случайное внедрение уязвимостей и обеспечивающая устойчивость к воздействию вредоносных программ и несанкционированному доступу. Баги и логические ошибки являются основной причиной появления уязвимостей программного обеспечения.

Тестирование на проникновение (жарг. Пентест) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании. Анализ ведется с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы. Результатом работы является отчет, содержащий...

Интернет вещей (IoT) находится только в начале своего пути, но уже развивается с огромной скоростью, и все вводимые новшества добавляют серьёзные проблемы, связанные с информационной безопасностью. Новостной веб-сайт Business Insider опубликовал в 2013 году исследование, которое показало, что сомнение в безопасности является для опрошенных наибольшей проблемой при внедрении технологий интернета вещей.

Безопасность приложения ( англ. Application Security ) включает в себя меры, принимаемые для повышения безопасности приложения, часто путем обнаружения, исправления и предотвращения уязвимостей в безопасности. Для выявления уязвимостей на разных этапах жизненного цикла приложений, таких как проектирование, разработка, развертывание, обновление, обслуживание, используются различные методы.

Безопасность через неясность (англ. Security through obscurity) — принцип, используемый для обеспечения безопасности в различных сферах деятельности человека. Основная идея заключается в том, чтобы скрыть внутреннее устройство системы или реализацию для обеспечения безопасности.

Предотвращение утечек (англ. Data Leak Prevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.

Система обнаружения вторжений (СОВ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Судя по растущему количеству публикаций и компаний, профессионально занимающихся защитой информации в компьютерных системах, решению этой задачи придаётся большое значение. Одной из наиболее очевидных причин нарушения системы защиты является умышленный несанкционированный доступ (НСД) к конфиденциальной информации со стороны нелегальных пользователей и последующие нежелательные манипуляции с этой информацией.

Подробнее: Защита информации в локальных сетях

Компьютерная безопасность — раздел информационной безопасности, характеризующий невозможность возникновения ущерба компьютера, превышающего величину приемлемого ущерба для него от всех выявленных и изученных источников его отказов в определённых условиях работы и на заданном интервале времени.

Удалённая сетевая атака — информационное разрушающее воздействие на распределённую вычислительную систему (ВС), осуществляемое программно по каналам связи.

Подробнее: Удалённые сетевые атаки

Антиви́русная програ́мма (антиви́рус, средство антивирусной защиты, средство обнаружения вредоносных программ) — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления заражённых (модифицированных) такими программами файлов и профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Безопа́сный криптопроце́ссор — это система на кристалле или микропроцессор, предназначенный для выполнения криптографических операций и обеспеченный мерами физической защиты, дающими ему некоторую возможность противодействия несанционированному доступу. В отличие от криптографических процессоров, «доверяющих» шине и выводящих незашифрованные данные на неё, как будто она находится в защищенной среде, безопасный криптопроцессор не выводит незашифрованные данные или незашифрованные программные инструкции...

Защита программного обеспечения — комплекс мер, направленных на защиту программного обеспечения от несанкционированного приобретения, использования, распространения, модифицирования, изучения и воссоздания аналогов.

В компьютерной безопасности термин «уязвимость» (англ. vulnerability) используется для обозначения недостатка в системе, используя который, можно намеренно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых и SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные...

Подробнее: Уязвимость (компьютерная безопасность)

Вектор атаки — последовательность действий или средство для получения неавторизованного доступа к защищённой информационной системе.

Мониторинг активности базы данных (DAM), это технология безопасности базы данных для мониторинга и анализа активности, которая работает независимо от системы управления базами данных (СУБД) и не зависит от какой-либо формы внутреннего (СУБД-резидентного) аудита или собственных журналов, таких как трассировка или Журналы транзакций. DAM обычно выполняется непрерывно и в режиме реального времени.

Недокументи́рованные возмо́жности (англ. undocumented features), НДВ — возможности технических устройств и/или программного обеспечения, не отраженные в документации. Чаще всего недокументированные возможности сознательно закладываются разработчиками в целях тестирования, дальнейшего расширения функциональности, обеспечения совместимости или же в целях скрытого контроля за пользователем. Кроме того недокументированные возможности могут стать следствием побочных эффектов (чаще всего в переходных режимах...

0day (англ. zero day), Угроза нулевого дня — термин, обозначающий неустранённые уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы.

Информационная безопасность (англ. Information Security, а также — англ. InfoSec) — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Это универсальное понятие применяется вне зависимости от формы, которую могут принимать данные (электронная, или например, физическая). Основная задача информационной безопасности — сбалансированная защита конфиденциальности, целостности и доступности данных, с учётом...

В компьютерных науках програ́ммный аге́нт — это программа, которая вступает в отношение посредничества с пользователем или другой программой. Слово «агент» происходит от латинского agere (делать) и означает соглашение выполнять действия от имени кого-либо. Такие «действия от имени» подразумевают право решать, какие действия (если они нужны) являются целесообразными. Идея состоит в том, что агенты не запускаются непосредственно для решения задачи, а активизируются самостоятельно.

Токенизация, применяемая в области информационной безопасности, представляет собой процесс замены конфиденциального элемента данных на неконфиденциальный эквивалент, называемый токеном, который не имеет самостоятельного смысла/значения для внешнего или внутреннего использования. Токен — это ссылка (то есть идентификатор), которая сопоставляется с конфиденциальными данными через систему токенизации. Сопоставление исходных данных с токеном использует методы, которые делают невозможным обратное преобразование...

Администратор защиты (Security administrator) — это субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации (по руководящему документу «Защита от несанкционированного доступа к информации: Термины и определения»).

Сетевая разведка — получение и обработка данных об информационной системе клиента, ресурсов информационной системы, используемых устройств и программного обеспечения и их уязвимостях, средств защиты, а также о границе проникновения в информационную систему.

Взлом программного обеспечения (англ. software cracking) — действия, направленные на устранение защиты программного обеспечения (ПО), встроенной разработчиками для ограничения функциональных возможностей. Последнее необходимо для стимуляции покупки такого проприетарного ПО, после которой ограничения снимаются.

Критерии определения безопасности компьютерных систем (англ. Trusted Computer System Evaluation Criteria) — стандарт Министерства обороны США, устанавливающий основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе. Критерии используются для определения, классификации и выбора компьютерных систем, предназначенных для обработки, хранения и поиска важной или секретной информации.

Центр обеспечения безопасности (англ. Windows Security Center) — компонент Microsoft Windows, включенный в Windows XP (SP2 и позднее), Windows Vista и Windows 7. Представляет собой комплекс программного обеспечения по защите компьютера от сетевых атак, организации регулярного обновления Windows и мониторингу состояния установленного антивирусного ПО. В случае обнаружения дыры в безопасности компьютера предупреждает пользователя всплывающим сообщением. В Windows 7 переименован в «Центр поддержки...

Биоме́три́я — система распознавания людей по одной или более физическим или поведенческим чертам. В области информационных технологий биометрические данные используются в качестве формы управления идентификаторами доступа и контроля доступа. Также биометрический анализ используется для выявления людей, которые находятся под наблюдением (широко распространено в США, а также в России — отпечатки пальцев).

Кибероружие – программное обеспечение или оборудование, предназначенные для нанесения ущерба в киберпространстве. Предназначено для применения в кибервойне...

Краудтестинг (англ. crowdtesting, crowd — «толпа» и testing— «тестирование») — привлечение к задачам обеспечения качества продукта широкого круга лиц для использования их творческих способностей, знаний и опыта по типу субподрядной работы на добровольных началах с применением инфокоммуникационных технологий (как правило, специализированные крауд-платформы).

Безопасность в беспроводных самоорганизующихся сетях — это состояние защищённости информационной среды беспроводных самоорганизующихся сетей.

Компьютерная преступность (преступление с использованием компьютера) — представляет собой любое незаконное, неэтичное или неразрешенное поведение, затрагивающее автоматизированную обработку данных или передачу данных. При этом, компьютерная информация является предметом или средством совершения преступления. Структура и динамика компьютерной преступности в разных странах существенно отличается друг от друга. В юридическом понятии, компьютерных преступлений, как преступлений специфических не существует...

Центр национальной компьютерной безопасности США (англ. National Computer Security Center) — является частью Агентства национальной безопасности США. Он отвечает за безопасность компьютеров на федеральном уровне. В конце 80-х и начале 90-х годов, Агентство национальной безопасности и Центр национальной компьютерной безопасности США опубликовали ряд критериев оценки надежности компьютерных систем в радужной серии книг.

Видеоаналитика — технология, использующая методы компьютерного зрения для автоматизированного получения различных данных на основании анализа последовательности изображений, поступающих с видеокамер в режиме реального времени или из архивных записей.

Полное раскрытие — это практика публикации результатов исследования уязвимостей программного обеспечения так быстро, как только это возможно, делая данные доступными для всех без ограничений.

Крипто-войны — это неофициальное название попыток правительства США ограничить общественности и зарубежным государствам доступ к криптографическим методам с сильной защитой от дешифровки национальными разведывательными управлениями, особенно, американским АНБ.Примерно в 2005 году общественность объявила, что отстояла доступ к шифрованию в криптографической войне. Впоследствии, утечка данных 2013 года показала, что АНБ тайно ослабило алгоритмы шифрования и стандарты безопасности, что породило новые...

Подробнее: Криптографические войны

Социáльная инженерия — совокупность приёмов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату, с использованием социологии и психологии.

Антифрóд (от англ. anti-fraud «борьба с мошенничеством»), или фрод-мониторинг — система, предназначенная для оценки финансовых транзакций в Интернете на предмет подозрительности с точки зрения мошенничества и предлагающая рекомендации по их дальнейшей обработке. Как правило, сервис антифрода состоит из стандартных и уникальных правил, фильтров и списков, по которым и проверяется каждая транзакция.

Подробнее: Антифрод

Контроль доступа — функция открытой системы, обеспечивающая технологию безопасности, которая разрешает или запрещает доступ к определённым типам данных, основанную на идентификации субъекта, которому нужен доступ, и объекта данных, являющегося целью доступа.

Модель системы безопасности с полным перекрытием — это наиболее общая модель защиты автоматизированных систем, базирующаяся на том, что система безопасности должна иметь по крайней мере одно средство, обеспечивающее безопасность любого потенциального канала утечки информации.

Кибершпионаж или компьютерный шпионаж (употребляется также термин «киберразведка») — термин, обозначающий, как правило, несанкционированное получение информации с целью получения личного, экономического, политического или военного превосходства, осуществляемый с использованием обхода (взлома) систем компьютерной безопасности, с применением вредоносного программного обеспечения, включая «троянских коней» и шпионских программ. Кибершпионаж может осуществляться как дистанционно, с помощью Интернета...

Ботнет (англ. botnet, МФА: ; произошло от слов robot и network) — компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой...

Деревья атак — это диаграммы, демонстрирующие, как может быть атакована цель. Деревья атак используются во множестве областей. В области информационных технологий они применяются, чтобы описать потенциальные угрозы компьютерной системе и возможные способы атаки, реализующие эти угрозы. Однако их использование не ограничивается анализом обычных информационных систем. Они также широко используются в авиации и обороне для анализа вероятных угроз, связанных со стойкими к искажениям электронными системами...

Система контроля действий пользователя — программный или программно-аппаратный комплекс, позволяющий отслеживать действия пользователя. Данная система осуществляет мониторинг рабочих операций пользователя на предмет их соответствия корпоративным политикам.

Операционные системы используют менеджеры блокировок (англ.) для организации и координации доступа к ресурсам. Распределенный менеджер блокировок (англ. Distributed lock manager, DLM, ) работает на каждой машине в кластере, с идентичной копией базы данных блокировок кластера. Таким образом, DLM является пакетом программного обеспечения, который позволяет компьютерам в кластере координировать доступ к совместно используемым ресурсам .

Подробнее: Распределённый менеджер блокировок

Фа́ззинг (англ. fuzzing) — техника тестирования программного обеспечения, часто автоматическая или полуавтоматическая, заключающая в передаче приложению на вход неправильных, неожиданных или случайных данных. Предметом интереса являются падения и зависания, нарушения внутренней логики и проверок в коде приложения, утечки памяти, вызванные такими данными на входе. Фаззинг является разновидностью выборочного тестирования (англ. random testing), часто используемого для проверки проблем безопасности...

Криптовирология — это дисциплина, которая изучает как использовать криптографию разработки и криптоанализа вредоносного программного обеспечения. Понятие криптовирологии зародилось, когда было обнаружено, что шифрование с открытым ключом может использоваться, для создания вредоносного программного обеспечения.

Модель систем военных сообщений (модель СВС, англ. Military Message System, MMS) — модель контроля и управления доступом, ориентированная на системы приема, передачи и обработки сообщений, реализующие мандатную политику безопасности. Модель СВС была разработана в 1984 году в интересах вооруженных сил США сотрудниками научно-исследовательской лаборатории военно-морских сил США (англ. U.S. Naval Research Laboratory, NRL) Карлом Ландвером, Констансом Хайтмайером и Джоном Маклином с целью устранения...

Маскировка (обфускация) данных — это способ защиты конфиденциальной информации от несанкционированного доступа путём замены исходных данных фиктивными данными или произвольными символами. При этом замаскированная информация выглядит реалистично и непротиворечиво и может использоваться в процессе тестирования программного обеспечения. В большинстве случаев маскировка применяется для защиты персональных данных и конфиденциальных сведений организации.

а б в г д е ё ж з и й к л м н о п р с т у ф х ц ч ш щ э ю я