Apa itu Pengujian Keamanan? Jenis dengan Contoh

Apa itu Pengujian Keamanan?

PENGUJIAN KEAMANAN adalah jenis Pengujian Perangkat Lunak yang mengungkap kerentanan, ancaman, risiko dalam aplikasi perangkat lunak dan mencegah serangan jahat dari penyusup. Tujuan Tes Keamanan adalah untuk mengidentifikasi semua kemungkinan celah dan kelemahan dari sistem perangkat lunak yang dapat mengakibatkan hilangnya informasi, pendapatan, reputasi di tangan karyawan atau pihak luar Organisasi.

Mengapa Pengujian Keamanan Penting?

Tujuan utama dari Security Testing adalah untuk mengidentifikasi ancaman dalam sistem dan mengukur potensi kerentanannya, sehingga ancaman dapat dihadapi dan sistem tidak berhenti berfungsi atau tidak dapat dieksploitasi. Ini juga membantu dalam mendeteksi semua kemungkinan risiko keamanan dalam sistem dan membantu pengembang untuk memperbaiki masalah melalui pengkodean.

Dalam tutorial ini, Anda akan belajar-

Apa itu Pengujian Keamanan?
Jenis Pengujian Keamanan
Bagaimana melakukan Pengujian Keamanan
Contoh Skenario Uji untuk Pengujian Keamanan
Metodologi / Pendekatan / Teknik untuk Pengujian Keamanan
Peran Pengujian Keamanan
Alat Pengujian Keamanan
Mitos dan Fakta Pengujian Keamanan

Jenis Pengujian Keamanan:

Ada tujuh jenis utama pengujian keamanan sesuai dengan manual metodologi Pengujian Keamanan Sumber Terbuka. Mereka dijelaskan sebagai berikut:

Pemindaian Kerentanan : Ini dilakukan melalui perangkat lunak otomatis untuk memindai sistem terhadap tanda tangan kerentanan yang diketahui.
Pemindaian Keamanan: Ini melibatkan identifikasi kelemahan jaringan dan sistem, dan kemudian memberikan solusi untuk mengurangi risiko ini. Pemindaian ini dapat dilakukan untuk pemindaian Manual dan Otomatis.
Pengujian penetrasi : Pengujian semacam ini mensimulasikan serangan dari peretas jahat. Pengujian ini melibatkan analisis sistem tertentu untuk memeriksa potensi kerentanan terhadap upaya peretasan eksternal.
Penilaian Risiko: Pengujian ini melibatkan analisis risiko keamanan yang diamati dalam organisasi. Risiko diklasifikasikan sebagai Rendah, Menengah dan Tinggi. Pengujian ini merekomendasikan pengendalian dan tindakan untuk mengurangi risiko.
Audit Keamanan: Ini adalah pemeriksaan internal Aplikasi dan sistem Operasi untuk kelemahan keamanan. Audit juga dapat dilakukan melalui pemeriksaan kode baris demi baris
Peretasan etis: Ini meretas sistem Perangkat Lunak Organisasi. Tidak seperti peretas jahat, yang mencuri untuk keuntungan mereka sendiri, tujuannya adalah untuk mengungkap kelemahan keamanan dalam sistem.
Penilaian Postur: Ini menggabungkan pemindaian Keamanan, Peretasan Etis, dan Penilaian Risiko untuk menunjukkan postur keamanan keseluruhan organisasi.

Bagaimana melakukan Pengujian Keamanan

Itu selalu disepakati, bahwa biaya akan lebih banyak jika kita menunda pengujian keamanan setelah fase implementasi perangkat lunak atau setelah penerapan. Jadi, perlu melibatkan pengujian keamanan dalam siklus hidup SDLC pada fase sebelumnya.

Mari kita lihat proses Keamanan terkait yang akan diadopsi untuk setiap fase di SDLC

Tahapan SDLC	Proses Keamanan
Persyaratan	Analisis keamanan untuk persyaratan dan periksa kasus penyalahgunaan / penyalahgunaan
Rancangan	Analisis risiko keamanan untuk mendesain. Pengembangan Rencana Uji termasuk uji keamanan
Pengkodean dan Pengujian Unit	Pengujian Statis dan Dinamis dan Pengujian Kotak Putih Keamanan
Tes integrasi	Pengujian Kotak Hitam
Pengujian Sistem	Pengujian Kotak Hitam dan pemindaian Kerentanan
Penerapan	Pengujian Penetrasi, Pemindaian Kerentanan
Dukung	Analisis dampak Patch

Rencana pengujian harus mencakup

Kasus atau skenario pengujian terkait keamanan
Uji Data terkait dengan pengujian keamanan
Alat Uji diperlukan untuk pengujian keamanan
Analisis berbagai keluaran tes dari alat keamanan yang berbeda

Contoh Skenario Uji untuk Pengujian Keamanan:

Contoh skenario Uji untuk memberi Anda gambaran sekilas tentang kasus uji keamanan -

Kata sandi harus dalam format terenkripsi
Aplikasi atau Sistem seharusnya tidak mengizinkan pengguna yang tidak valid
Periksa cookie dan waktu sesi untuk aplikasi
Untuk situs keuangan, tombol kembali Browser seharusnya tidak berfungsi.

Metodologi / Pendekatan / Teknik untuk Pengujian Keamanan

Dalam pengujian keamanan, metodologi yang berbeda diikuti, dan itu adalah sebagai berikut:

Tiger Box : Peretasan ini biasanya dilakukan pada laptop yang memiliki kumpulan OS dan alat peretasan. Pengujian ini membantu penguji penetrasi dan penguji keamanan untuk melakukan penilaian kerentanan dan serangan.
Black Box : Penguji berwenang untuk melakukan pengujian atas segala sesuatu tentang topologi jaringan dan teknologi.
Kotak Abu-abu : Informasi parsial diberikan kepada penguji tentang sistem, dan ini merupakan gabungan dari model kotak putih dan hitam.

Peran Pengujian Keamanan

Peretas - Akses sistem atau jaringan komputer tanpa izin
Cracker - Membobol sistem untuk mencuri atau menghancurkan data
Ethical Hacker - Melakukan sebagian besar aktivitas melanggar tetapi dengan izin dari pemiliknya
Script Kiddies atau packet monkeys - Peretas berpengalaman dengan keterampilan bahasa pemrograman

Alat Pengujian Keamanan

1) Penyusup

Penyusup adalah pemindai kerentanan tingkat perusahaan yang mudah digunakan. Ini menjalankan lebih dari 10.000 pemeriksaan keamanan berkualitas tinggi di seluruh infrastruktur TI Anda, yang mencakup, namun tidak terbatas pada: kelemahan konfigurasi, kelemahan aplikasi (seperti injeksi SQL & skrip lintas situs) dan tambalan yang hilang. Memberikan hasil yang diprioritaskan secara cerdas serta pemindaian proaktif untuk ancaman terbaru, Penyusup membantu menghemat waktu dan menjaga keamanan bisnis dari semua ukuran dari peretas.

Fitur:

Konektor AWS, Azure, dan Google Cloud
Hasil khusus perimeter untuk mengurangi permukaan serangan eksternal Anda
Pelaporan berkualitas tinggi
Integrasi Slack, Microsoft Teams, Jira, Zapier
Integrasi API dengan pipeline CI / CD Anda

2) Owasp

Proyek Keamanan Aplikasi Web Terbuka (OWASP) adalah organisasi nirlaba di seluruh dunia yang berfokus pada peningkatan keamanan perangkat lunak. Proyek ini memiliki banyak alat untuk menguji berbagai lingkungan dan protokol perangkat lunak. Alat andalan proyek ini meliputi

Zed Attack Proxy (ZAP - alat pengujian penetrasi terintegrasi)
OWASP Dependency Check (memindai dependensi proyek dan memeriksa kerentanan yang diketahui)
Proyek Lingkungan Pengujian Web OWASP (kumpulan alat dan dokumentasi keamanan)

3) WireShark

Wireshark adalah alat analisis jaringan yang sebelumnya dikenal sebagai Ethereal. Ini menangkap paket secara real time dan menampilkannya dalam format yang dapat dibaca manusia. Pada dasarnya, ini adalah penganalisis paket jaringan- yang menyediakan detail menit tentang protokol jaringan Anda, dekripsi, informasi paket, dll. Ini adalah sumber terbuka dan dapat digunakan di Linux, Windows, OS X, Solaris, NetBSD, FreeBSD dan banyak lagi. sistem lain. Informasi yang diambil melalui alat ini dapat dilihat melalui GUI atau mode TTY TShark Utility.

4) W3af

w3af adalah serangan aplikasi web dan kerangka audit. Ini memiliki tiga jenis plugin; penemuan, audit, dan serangan yang berkomunikasi satu sama lain untuk setiap kerentanan di situs, misalnya plugin penemuan di w3af mencari url yang berbeda untuk menguji kerentanan dan meneruskannya ke plugin audit yang kemudian menggunakan URL ini untuk mencari kerentanan.

Mitos dan Fakta Pengujian Keamanan:

Mari kita bicara tentang topik menarik tentang Mitos dan fakta pengujian keamanan:

Mitos # 1 Kami tidak memerlukan kebijakan keamanan karena kami memiliki bisnis kecil

Fakta: Setiap orang dan setiap perusahaan membutuhkan kebijakan keamanan

Mitos # 2 Tidak ada pengembalian investasi dalam pengujian keamanan

Fakta: Pengujian Keamanan dapat menunjukkan area untuk peningkatan yang dapat meningkatkan efisiensi dan mengurangi waktu henti, memungkinkan hasil maksimum.

Mitos # 3 : Satu-satunya cara untuk mengamankannya adalah dengan mencabutnya.

Fakta: Satu-satunya cara terbaik untuk mengamankan organisasi adalah dengan menemukan "Keamanan Sempurna". Keamanan yang sempurna dapat dicapai dengan melakukan penilaian postur dan membandingkannya dengan pembenaran bisnis, hukum, dan industri.

Mitos # 4 : Internet tidak aman. Saya akan membeli perangkat lunak atau perangkat keras untuk melindungi sistem dan menyelamatkan bisnis.

Fakta: Salah satu masalah terbesar adalah membeli perangkat lunak dan perangkat keras untuk keamanan. Sebaliknya, organisasi harus memahami keamanan terlebih dahulu dan kemudian menerapkannya.

Kesimpulan:

Pengujian keamanan adalah pengujian yang paling penting untuk suatu aplikasi dan memeriksa apakah data rahasia tetap dirahasiakan. Dalam jenis pengujian ini, penguji berperan sebagai penyerang dan bermain di sekitar sistem untuk menemukan bug terkait keamanan. Pengujian Keamanan sangat penting dalam Rekayasa Perangkat Lunak untuk melindungi data dengan segala cara.

Apa itu Pengujian Keamanan? Jenis dengan Contoh

Daftar Isi:

Apa itu Pengujian Keamanan?

Mengapa Pengujian Keamanan Penting?

Jenis Pengujian Keamanan:

Bagaimana melakukan Pengujian Keamanan

Contoh Skenario Uji untuk Pengujian Keamanan:

Metodologi / Pendekatan / Teknik untuk Pengujian Keamanan

Peran Pengujian Keamanan

Alat Pengujian Keamanan

1) Penyusup

2) Owasp

3) WireShark

4) W3af

Mitos dan Fakta Pengujian Keamanan:

20 Alat Analisis Web Terbaik untuk Melacak Kinerja Situs Web Anda

Perbedaan Antara Nama Domain dan Web Hosting

Perbedaan antara Blog dan Situs Web

19 Penyedia Hosting WordPress Terbaik di 2021

20+ CMS (Sistem Manajemen Konten) Terbaik pada tahun 2021

Regresi Linier dengan TensorFlow (Contoh)

Regresi Linear TensorFlow dengan Facet & Istilah Interaksi

Klasifikasi Biner di TensorFlow: Contoh Pengklasifikasi Linear

Kernel Gaussian dalam Pembelajaran Mesin: Contoh Metode Kernel

Klasifikasi Gambar TensorFlow: CNN (Convolutional Neural Network)

Pengujian Mainframe - Tutorial Lengkap

Pengujian Sistem Titik Penjualan Ritel (POS): Contoh Kasus Uji

Pengujian Domain HealthCare dengan Contoh Kasus Uji

Menguji Telecom Domain dengan Contoh kasus Uji OSS / BSS

Pengujian Business Intelligence (BI): Contoh Uji Kasus