Las pruebas de seguridad son un proceso destinado a revelar fallas en los mecanismos de seguridad de un sistema de información que protegen los datos y mantienen la funcionalidad según lo previsto. [1] Debido a las limitaciones lógicas de las pruebas de seguridad, pasar el proceso de prueba de seguridad no es una indicación de que no existan fallas o de que el sistema satisfaga adecuadamente los requisitos de seguridad.
Los requisitos de seguridad típicos pueden incluir elementos específicos de confidencialidad , integridad , autenticación , disponibilidad, autorización y no repudio . [2] Los requisitos de seguridad reales probados dependen de los requisitos de seguridad implementados por el sistema. Las pruebas de seguridad como término tienen varios significados diferentes y pueden completarse de diferentes formas. Como tal, una taxonomía de seguridad nos ayuda a comprender estos diferentes enfoques y significados al proporcionar un nivel base desde el que trabajar.
Confidencialidad
- Una medida de seguridad que protege contra la divulgación de información a partes distintas del destinatario previsto no es de ninguna manera la única forma de garantizar la seguridad.
Integridad
La integridad de la información se refiere a proteger la información para que no sea modificada por partes no autorizadas.
- Una medida destinada a permitir que el receptor determine que la información proporcionada por un sistema es correcta.
- Los esquemas de integridad a menudo usan algunas de las mismas tecnologías subyacentes que los esquemas de confidencialidad, pero generalmente implican agregar información a una comunicación, para formar la base de una verificación algorítmica, en lugar de codificar toda la comunicación.
- Para comprobar si la información correcta se transfiere de una aplicación a otra.
Autenticación
Esto podría implicar confirmar la identidad de una persona, rastrear los orígenes de un artefacto, asegurarse de que un producto sea lo que dice ser su empaque y etiquetado, o asegurar que un programa de computadora sea confiable.
Autorización
- El proceso de determinar que un solicitante puede recibir un servicio o realizar una operación.
- El control de acceso es un ejemplo de autorización.
Disponibilidad
- Garantizar que los servicios de información y comunicaciones estarán listos para su uso cuando se espere.
- La información debe estar disponible para las personas autorizadas cuando la necesiten.
No repudio
- En referencia a la seguridad digital, no repudio significa asegurar que un mensaje transferido ha sido enviado y recibido por las partes que afirman haber enviado y recibido el mensaje. El no repudio es una forma de garantizar que el remitente de un mensaje no pueda negar posteriormente haber enviado el mensaje y que el destinatario no pueda negar haber recibido el mensaje.
- Una identificación de remitente suele ser un encabezado que se transmite junto con un mensaje que reconoce la fuente del mensaje.
Taxonomía
Términos comunes utilizados para la entrega de pruebas de seguridad:
- Descubrimiento : el propósito de esta etapa es identificar los sistemas dentro del alcance y los servicios en uso. No tiene la intención de descubrir vulnerabilidades, pero la detección de versiones puede resaltar versiones obsoletas de software / firmware y, por lo tanto, indicar vulnerabilidades potenciales.
- Escaneo de vulnerabilidades : después de la etapa de descubrimiento, busca problemas de seguridad conocidos mediante el uso de herramientas automatizadas para hacer coincidir las condiciones con las vulnerabilidades conocidas. La herramienta establece automáticamente el nivel de riesgo informado sin verificación o interpretación manual por parte del proveedor de la prueba. Esto se puede complementar con un escaneo basado en credenciales que busca eliminar algunos falsos positivos comunes mediante el uso de las credenciales proporcionadas para autenticarse con un servicio (como cuentas locales de Windows).
- Evaluación de vulnerabilidades : utiliza el descubrimiento y el escaneo de vulnerabilidades para identificar las vulnerabilidades de seguridad y coloca los hallazgos en el contexto del entorno bajo prueba. Un ejemplo sería eliminar los falsos positivos comunes del informe y decidir los niveles de riesgo que deben aplicarse a cada hallazgo del informe para mejorar la comprensión y el contexto empresarial.
- Evaluación de seguridad : se basa en la evaluación de vulnerabilidades al agregar verificación manual para confirmar la exposición, pero no incluye la explotación de vulnerabilidades para obtener más acceso. La verificación podría realizarse en forma de acceso autorizado a un sistema para confirmar la configuración del sistema e implicar el examen de registros, respuestas del sistema, mensajes de error, códigos, etc. Una evaluación de seguridad busca obtener una amplia cobertura de los sistemas bajo prueba, pero no la profundidad de exposición a la que podría conducir una vulnerabilidad específica.
- Prueba de Penetración - Ensayo de penetración simula un ataque por un usuario malintencionado. Se basa en las etapas anteriores e implica la explotación de las vulnerabilidades encontradas para obtener un mayor acceso. El uso de este enfoque dará como resultado la comprensión de la capacidad de un atacante para obtener acceso a información confidencial, afectar la integridad de los datos o la disponibilidad de un servicio y el impacto respectivo. Cada prueba se aborda utilizando una metodología consistente y completa de una manera que permite al evaluador usar sus habilidades para resolver problemas, el resultado de una variedad de herramientas y su propio conocimiento de redes y sistemas para encontrar vulnerabilidades que podrían / no podrían ser identificadas por herramientas automatizadas. Este enfoque analiza la profundidad del ataque en comparación con el enfoque de evaluación de seguridad que analiza la cobertura más amplia.
- Auditoría de seguridad : impulsada por una función de auditoría / riesgo para analizar un problema específico de control o cumplimiento. Caracterizado por un alcance limitado, este tipo de participación podría hacer uso de cualquiera de los enfoques anteriores discutidos ( evaluación de vulnerabilidad , evaluación de seguridad, prueba de penetración).
- Revisión de seguridad : verificación de que se han aplicado los estándares de seguridad internos o de la industria a los componentes del sistema o al producto. Por lo general, esto se completa a través del análisis de brechas y utiliza revisiones de compilación / código o mediante la revisión de documentos de diseño y diagramas de arquitectura. Esta actividad no utiliza ninguno de los enfoques anteriores (evaluación de vulnerabilidades, evaluación de seguridad, prueba de penetración, auditoría de seguridad)
Herramientas
- CSA - Análisis de seguridad de infraestructura y contenedores
- DAST : pruebas de seguridad de aplicaciones dinámicas
- DLP : prevención de pérdida de datos
- IAST: pruebas de seguridad de aplicaciones interactivas
- IDS / IPS: detección de intrusiones y / o prevención de intrusiones
- OSS - Escaneo de software de código abierto
- RASP - Autoprotección de aplicaciones en tiempo de ejecución
- SAST: pruebas de seguridad de aplicaciones estáticas
- SCA - Análisis de composición de software
- WAF: firewall de aplicaciones web
Ver también
Referencias
- ^ M Martellini y Malizia, A. (2017). Desafíos cibernéticos y químicos, biológicos, radiológicos, nucleares, explosivos: amenazas y contraesfuerzos. Saltador.
- ^ "Introducción a la seguridad de la información" US-CERT https://www.us-cert.gov/security-publications/introduction-information-security