Pruebas de seguridad

Las pruebas de seguridad son un proceso destinado a detectar fallas en los mecanismos de seguridad de un sistema de información y, como tal, ayudar a proteger los datos y mantener la funcionalidad según lo previsto. ^[1] Debido a las limitaciones lógicas de las pruebas de seguridad, pasar el proceso de pruebas de seguridad no es una indicación de que no existan fallas o de que el sistema satisfaga adecuadamente los requisitos de seguridad.

Los requisitos de seguridad típicos pueden incluir elementos específicos de confidencialidad , integridad , autenticación , disponibilidad, autorización y no repudio . ^[2] Los requisitos de seguridad reales probados dependen de los requisitos de seguridad implementados por el sistema. Las pruebas de seguridad como término tienen varios significados diferentes y se pueden completar de diferentes maneras. Como tal, una Taxonomía de Seguridad nos ayuda a comprender estos diferentes enfoques y significados al proporcionar un nivel base desde el cual trabajar.

Confidencialidad

Una medida de seguridad que proteja contra la divulgación de información a partes distintas del destinatario previsto no es de ninguna manera la única forma de garantizar la seguridad.

Integridad

La integridad de la información se refiere a proteger la información para que no sea modificada por partes no autorizadas.

Medida destinada a permitir al receptor determinar que la información proporcionada por un sistema es correcta.
Los esquemas de integridad a menudo utilizan algunas de las mismas tecnologías subyacentes que los esquemas de confidencialidad, pero generalmente implican agregar información a una comunicación, para formar la base de una verificación algorítmica, en lugar de codificar toda la comunicación.
Para comprobar si se transfiere la información correcta de una aplicación a otra.

Autenticación

Esto podría implicar confirmar la identidad de una persona, rastrear los orígenes de un artefacto, garantizar que un producto es lo que su empaque y etiquetado dice ser, o asegurar que un programa de computadora sea confiable.

Autorización

El proceso de determinar que un solicitante puede recibir un servicio o realizar una operación.
El control de acceso es un ejemplo de autorización.

Disponibilidad

Garantizar que los servicios de información y comunicaciones estarán listos para su uso cuando se espera.
La información debe mantenerse a disposición de las personas autorizadas cuando la necesiten.

No repudio

En referencia a la seguridad digital, el no repudio significa garantizar que un mensaje transferido haya sido enviado y recibido por las partes que afirman haber enviado y recibido el mensaje. El no repudio es una forma de garantizar que el remitente de un mensaje no pueda negar posteriormente haber enviado el mensaje y que el destinatario no pueda negar haber recibido el mensaje.
Un ID de remitente suele ser un encabezado transmitido junto con el mensaje que reconoce el origen del mensaje.

Taxonomía

Términos comunes utilizados para la realización de pruebas de seguridad:

Descubrimiento : el propósito de esta etapa es identificar los sistemas dentro del alcance y los servicios en uso. No pretende descubrir vulnerabilidades, pero la detección de versiones puede resaltar versiones obsoletas de software /firmware y, por lo tanto, indicar vulnerabilidades potenciales.
Análisis de vulnerabilidades : después de la etapa de descubrimiento, se buscan problemas de seguridad conocidos mediante el uso de herramientas automatizadas para hacer coincidir las condiciones con las vulnerabilidades conocidas. La herramienta establece automáticamente el nivel de riesgo informado sin verificación ni interpretación manual por parte del proveedor de la prueba. Esto se puede complementar con un escaneo basado en credenciales que busca eliminar algunos falsos positivos comunes mediante el uso de las credenciales proporcionadas para autenticarse con un servicio (como cuentas locales de Windows).
Evaluación de vulnerabilidades : utiliza el descubrimiento y el escaneo de vulnerabilidades para identificar vulnerabilidades de seguridad y coloca los hallazgos en el contexto del entorno bajo prueba. Un ejemplo sería eliminar los falsos positivos comunes del informe y decidir los niveles de riesgo que deben aplicarse a cada hallazgo del informe para mejorar la comprensión y el contexto empresarial.
Evaluación de seguridad : se basa en la evaluación de vulnerabilidades al agregar verificación manual para confirmar la exposición, pero no incluye la explotación de vulnerabilidades para obtener mayor acceso. La verificación podría realizarse en forma de acceso autorizado a un sistema para confirmar la configuración del sistema e implicar el examen de registros, respuestas del sistema, mensajes de error, códigos, etc. Una evaluación de seguridad busca obtener una cobertura amplia de los sistemas bajo prueba, pero no la profundidad. de exposición a la que podría conducir una vulnerabilidad específica.
Prueba de penetración : la prueba de penetración simula un ataque de una parte malintencionada. Se basa en las etapas anteriores e implica la explotación de las vulnerabilidades encontradas para obtener un mayor acceso. El uso de este enfoque dará como resultado una comprensión de la capacidad de un atacante para obtener acceso a información confidencial, afectar la integridad de los datos o la disponibilidad de un servicio y el impacto respectivo. Cada prueba se aborda utilizando una metodología consistente y completa de una manera que permite al evaluador utilizar sus habilidades de resolución de problemas, el resultado de una variedad de herramientas y su propio conocimiento de redes y sistemas para encontrar vulnerabilidades que podrían o no ser identificadas por herramientas automatizadas. Este enfoque analiza la profundidad del ataque en comparación con el enfoque de Evaluación de seguridad que analiza la cobertura más amplia.
Auditoría de seguridad : impulsada por una función de Auditoría y Riesgo para analizar un problema específico de control o cumplimiento. Caracterizado por un alcance limitado, este tipo de participación podría hacer uso de cualquiera de los enfoques discutidos anteriormente ( evaluación de vulnerabilidad , evaluación de seguridad, prueba de penetración).
Revisión de seguridad : verificación de que se hayan aplicado estándares de seguridad internos o de la industria a los componentes o productos del sistema. Esto generalmente se completa mediante un análisis de brechas y utiliza revisiones de compilación y código o revisando documentos de diseño y diagramas de arquitectura. Esta actividad no utiliza ninguno de los enfoques anteriores (Evaluación de vulnerabilidad, Evaluación de seguridad, Prueba de penetración, Auditoría de seguridad)

Herramientas

Análisis de seguridad de infraestructura y contenedores ^[3]^[4]
SAST: pruebas de seguridad de aplicaciones estáticas
DAST: pruebas dinámicas de seguridad de aplicaciones
IAST: pruebas de seguridad de aplicaciones interactivas ^[5]
DLP: prevención de pérdida de datos
IDS, IPS - Sistema de detección de intrusiones, Sistema de prevención de intrusiones
Escaneo de OSS: escaneo de software de código abierto (consulte Seguridad del software de código abierto )
RASP: autoprotección de aplicaciones en tiempo de ejecución
SCA - Análisis de composición de software ^[6]
WAF: cortafuegos de aplicaciones web

Ver también

Glosario Nacional de Garantía de la Información

Referencias

^ M Martellini y Malizia, A. (2017). Desafíos cibernéticos y químicos, biológicos, radiológicos, nucleares y explosivos: amenazas y contraesfuerzos. Saltador.
^ "Introducción a la seguridad de la información" US-CERT https://www.us-cert.gov/security-publications/introduction-information-security
^ "Estándar de verificación de seguridad de contenedores". GitHub . 20 de julio de 2022.
^ "Infraestructura como código de seguridad: serie de hojas de referencia de OWASP".
^ "Directriz OWASP DevSecOps - v-0.2 | Fundación OWASP".
^ "Análisis de componentes | Fundación OWASP".