Sicherheitstests – Wikipedia

Posted on by
before-content-x4

Sicherheitstests ist ein Prozess, der Mängel in den Sicherheitsmechanismen eines Informationssystems aufdecken soll, die Daten schützen und die Funktionalität wie beabsichtigt aufrechterhalten.[1] Aufgrund der logischen Einschränkungen von Sicherheitstests ist das Bestehen des Sicherheitstestprozesses kein Hinweis darauf, dass keine Fehler vorliegen oder dass das System die Sicherheitsanforderungen angemessen erfüllt.

Typische Sicherheitsanforderungen können bestimmte Elemente der Vertraulichkeit, Integrität, Authentifizierung, Verfügbarkeit, Autorisierung und Nicht-Zurückweisung umfassen.[2] Die tatsächlich getesteten Sicherheitsanforderungen hängen von den vom System implementierten Sicherheitsanforderungen ab. Sicherheitstests als Begriff haben verschiedene Bedeutungen und können auf verschiedene Arten durchgeführt werden. Eine Sicherheitstaxonomie hilft uns daher, diese unterschiedlichen Ansätze und Bedeutungen zu verstehen, indem sie eine Basisebene bereitstellt, auf der wir arbeiten können.

Vertraulichkeit[edit]

  • Eine Sicherheitsmaßnahme, die vor der Weitergabe von Informationen an andere Parteien als den beabsichtigten Empfänger schützt, ist keineswegs die einzige Möglichkeit, die Sicherheit zu gewährleisten.

Integrität[edit]

Die Integrität von Informationen bezieht sich auf den Schutz von Informationen vor Änderungen durch Unbefugte

  • Eine Maßnahme, mit der der Empfänger feststellen kann, ob die von einem System bereitgestellten Informationen korrekt sind.
  • Integritätsschemata verwenden häufig dieselben zugrunde liegenden Technologien wie Vertraulichkeitsschemata, umfassen jedoch normalerweise das Hinzufügen von Informationen zu einer Kommunikation, um die Grundlage für eine algorithmische Prüfung zu bilden, anstatt die gesamte Kommunikation zu codieren.
  • Um zu überprüfen, ob die richtigen Informationen von einer Anwendung zur anderen übertragen werden.

Authentifizierung[edit]

Dies kann die Bestätigung der Identität einer Person, die Verfolgung der Herkunft eines Artefakts, die Sicherstellung, dass ein Produkt den Angaben in seiner Verpackung und Kennzeichnung entspricht, oder die Sicherstellung, dass ein Computerprogramm vertrauenswürdig ist, umfassen.

Genehmigung[edit]

  • Der Prozess zum Bestimmen, dass ein Anforderer einen Dienst empfangen oder eine Operation ausführen darf.
  • Die Zugriffskontrolle ist ein Beispiel für eine Autorisierung.

Verfügbarkeit[edit]

  • Sicherstellen, dass Informations- und Kommunikationsdienste erwartungsgemäß einsatzbereit sind.
  • Informationen müssen autorisierten Personen zur Verfügung gestellt werden, wenn sie diese benötigen.

Nicht-Zurückweisung[edit]

  • In Bezug auf die digitale Sicherheit bedeutet Nicht-Zurückweisung, sicherzustellen, dass eine übertragene Nachricht von den Parteien gesendet und empfangen wurde, die behaupten, die Nachricht gesendet und empfangen zu haben. Die Nicht-Zurückweisung ist eine Möglichkeit, um sicherzustellen, dass der Absender einer Nachricht später nicht leugnen kann, die Nachricht gesendet zu haben, und dass der Empfänger nicht leugnen kann, die Nachricht empfangen zu haben.

Taxonomie[edit]

Allgemeine Begriffe für die Durchführung von Sicherheitstests:

  • Entdeckung – Der Zweck dieser Phase besteht darin, Systeme innerhalb des Geltungsbereichs und die verwendeten Dienste zu identifizieren. Es ist nicht beabsichtigt, Schwachstellen zu erkennen, aber die Versionserkennung kann veraltete Versionen von Software / Firmware hervorheben und somit potenzielle Schwachstellen anzeigen.
  • Schwachstellenüberprüfungen – Nach der Erkennungsphase wird nach bekannten Sicherheitsproblemen gesucht, indem automatisierte Tools verwendet werden, um Bedingungen mit bekannten Schwachstellen abzugleichen. Die gemeldete Risikostufe wird vom Tool automatisch ohne manuelle Überprüfung oder Interpretation durch den Testanbieter festgelegt. Dies kann durch ein auf Anmeldeinformationen basierendes Scannen ergänzt werden, bei dem versucht wird, einige häufig auftretende Fehlalarme zu entfernen, indem die angegebenen Anmeldeinformationen zur Authentifizierung bei einem Dienst (z. B. lokalen Windows-Konten) verwendet werden.
  • Schwachstellenanalyse – Hierbei werden mithilfe von Erkennungs- und Schwachstellenüberprüfungen Sicherheitslücken identifiziert und die Ergebnisse in den Kontext der zu testenden Umgebung gestellt. Ein Beispiel wäre das Entfernen häufiger falsch positiver Ergebnisse aus dem Bericht und das Entscheiden von Risikostufen, die auf jede Berichtsfeststellung angewendet werden sollten, um das Geschäftsverständnis und den Geschäftskontext zu verbessern.
  • Sicherheitsbewertung – Baut auf der Schwachstellenbewertung auf, indem eine manuelle Überprüfung hinzugefügt wird, um die Gefährdung zu bestätigen, schließt jedoch die Ausnutzung von Schwachstellen nicht ein, um weiteren Zugriff zu erhalten. Die Überprüfung kann in Form eines autorisierten Zugriffs auf ein System erfolgen, um die Systemeinstellungen zu bestätigen und Protokolle, Systemantworten, Fehlermeldungen, Codes usw. zu überprüfen. Bei einer Sicherheitsbewertung wird versucht, eine breite Abdeckung der getesteten Systeme zu erhalten, jedoch nicht die Tiefe der Exposition, zu der eine bestimmte Sicherheitsanfälligkeit führen könnte.
  • Penetrationstest – Der Penetrationstest simuliert einen Angriff einer böswilligen Partei. Aufbauend auf den vorherigen Phasen und Ausnutzung gefundener Schwachstellen, um weiteren Zugriff zu erhalten. Die Verwendung dieses Ansatzes führt zu einem Verständnis der Fähigkeit eines Angreifers, Zugriff auf vertrauliche Informationen zu erhalten, die Datenintegrität oder Verfügbarkeit eines Dienstes und die jeweiligen Auswirkungen zu beeinträchtigen. Jeder Test wird mit einer konsistenten und vollständigen Methodik angegangen, die es dem Tester ermöglicht, seine Fähigkeiten zur Problemlösung, die Ergebnisse einer Reihe von Tools und sein eigenes Wissen über Netzwerke und Systeme zu nutzen, um Schwachstellen zu finden, die identifiziert werden könnten / könnten automatisierte Werkzeuge. Bei diesem Ansatz wird die Angriffstiefe im Vergleich zum Sicherheitsbewertungsansatz untersucht, bei dem die breitere Abdeckung berücksichtigt wird.
  • Sicherheitsaudit – Angetrieben von einer Audit- / Risikofunktion, um ein bestimmtes Kontroll- oder Compliance-Problem zu untersuchen. Diese Art des Engagements zeichnet sich durch einen engen Umfang aus und könnte einen der zuvor diskutierten Ansätze (Schwachstellenbewertung, Sicherheitsbewertung, Penetrationstest) verwenden.
  • Sicherheitsüberprüfung – Überprüfung, ob branchen- oder interne Sicherheitsstandards auf Systemkomponenten oder Produkte angewendet wurden. Dies wird in der Regel durch Lückenanalyse und Verwendung von Build- / Code-Überprüfungen oder durch Überprüfung von Entwurfsdokumenten und Architekturdiagrammen abgeschlossen. Diese Aktivität verwendet keinen der früheren Ansätze (Schwachstellenbewertung, Sicherheitsbewertung, Penetrationstest, Sicherheitsüberprüfung).

Siehe auch[edit]

Verweise[edit]


after-content-x4