TESTE DE SEGURANÇA é um tipo de Teste de Software que descobre vulnerabilidades, ameaças, riscos em um aplicativo de software e evita ataques maliciosos de intrusos. O objetivo dos Testes de Segurança é identificar todas as lacunas e fraquezas possíveis do sistema de software que podem resultar em perda de informações, receita, reputação nas mãos dos funcionários ou estranhos à Empresa.
Por que o teste de segurança é importante?
O principal objetivo do Teste de Segurança é identificar as ameaças no sistema e medir suas vulnerabilidades potenciais, para que as ameaças possam ser encontradas e o sistema não pare de funcionar ou não possa ser explorado. Também ajuda a detectar todos os riscos de segurança possíveis no sistema e ajuda os desenvolvedores a corrigir os problemas por meio de codificação.
Tipos de Teste de Segurança
Existem sete tipos principais de testes de segurança de acordo com o manual de metodologia de teste de segurança de código aberto. Eles são explicados da seguinte forma:
- Varredura de vulnerabilidade: Isso é feito por meio de um software automatizado para varrer um sistema contra assinaturas de vulnerabilidade conhecidas.
- Varredura de segurança: envolve a identificação de pontos fracos da rede e do sistema e, posteriormente, fornece soluções para reduzir esses riscos. Esta varredura pode ser realizada tanto para varredura manual quanto para automatizada.
- Teste de penetração: Este tipo de teste simula um ataque de um hacker malicioso. Este teste envolve a análise de um sistema específico para verificar possíveis vulnerabilidades a uma tentativa de hacking externo.
- Avaliação de risco: Este teste envolve a análise dos riscos de segurança observados na organização. Os riscos são classificados como Baixo, Médio e Alto. Este teste recomenda controles e medidas para reduzir o risco.
- Auditoria de segurança: Esta é uma inspeção interna dos aplicativos e sistemas operacionais em busca de falhas de segurança. Uma auditoria também pode ser feita por meio de inspeção linha a linha do código
- Hacker ético: é hackear sistemas de software de uma organização. Ao contrário de hackers maliciosos, que roubam para seus próprios ganhos, a intenção é expor as falhas de segurança do sistema.
- Avaliação de postura: Combina varredura de segurança, hackeamento ético e avaliações de risco para mostrar uma postura geral de segurança de uma organização.
Como fazer um Teste de Segurança
É sempre acordado que o custo será maior se adiarmos os testes de segurança após a fase de implementação do software ou após a implantação. Portanto, é necessário envolver o teste de segurança no ciclo de vida do SDLC (Ciclo de Vida do Desenvolvimento do Sistema) nas fases anteriores.
Vamos dar uma olhada nos processos de segurança correspondentes a serem adotados para cada fase no SDLC:
|
Fases SDLC |
Processos de Segurança |
| Requerimentos | Análise de segurança para requisitos e verificação de casos de abuso / uso indevido |
| Design | Análise de riscos de segurança para projeto. Desenvolvimento de Plano de Teste incluindo testes de segurança. |
| Codificação e teste de unidade | Teste estático e dinâmico e teste White Box de segurança. |
| Teste de Integração | Teste Black Box |
| Teste de Sistema | Teste de Black Box e Varredura de Vulnerabilidades |
| Implementação | Teste de Penetração e Varredura de Vulnerabilidades |
| Suporte | Análise de impacto de patches |
O plano de teste deve incluir
- Casos de teste ou cenários relacionados à segurança
- Dados de teste relacionados a testes de segurança
- Ferramentas de teste necessárias para testes de segurança
- Análise de vários resultados de testes de diferentes ferramentas de segurança
Exemplo de Cenários de Teste para Testes de Segurança:
Cenários de teste de amostra para dar uma ideia dos casos de teste de segurança:
- A senha deve estar em formato criptografado
- O aplicativo ou sistema não deve permitir usuários inválidos
- Verifique os cookies e o tempo de sessão do aplicativo
- Para sites financeiros, o botão ‘Voltar’ do navegador não deve funcionar.
Metodologias / Abordagem / Técnicas para Testes de Segurança
Nos testes de segurança, diferentes metodologias são seguidas, e são as seguintes:
- Tiger Box: Esse hacking geralmente é feito em um laptop que possui uma coleção de sistemas operacionais e ferramentas de hacking. Este teste ajuda os testadores de penetração e testadores de segurança a conduzir avaliações de vulnerabilidades e ataques.
- Black Box: O testador está autorizado a fazer testes em tudo sobre a topologia e a tecnologia da rede.
- Grey Box: informações parciais são fornecidas ao testador sobre o sistema, e é um híbrido de modelos de White Box e Black Box.
A LGPD
Com a chegada da LGPD é importante ressaltar que um só tipo de teste de segurança, ou simplesmente um teste automatizado, não é o bastante para assegurar que os dados estão seguros. É preciso fazer uma varredura da Superfície de Ataque antes para poder entender quais tipos de teste devem ser performados.
O mercado brasileiro está começando a entender como é importante os testes de segurança. Por tanto, não caia nos argumentos de quem quer vender simplesmente um teste de penetração (pentest) achando que isso é fazer um “teste de segurança” eficaz para garantir que os dados não vazem ou sejam perdidos. Existe todo um processo necessário que é contínuo e precisa ser implementado na vida da empresa que deseja se tornar segura.
