Как мы это делаем?
В рамках тестирования безопасности проводится ряд мероприятий, направленных на обеспечение качественной защиты системы и её данных от различных видов внешних атак и попыток несанкционированного доступа.
В различных случаях проводится либо базовое тестирование на безопасность, учитывающая популярные уязвимости, либо проводится тщательное тестирование на проникновение.
При проверки безопасности проводится тестирование на наличие способов несанкционированного доступа в систему, соответствие системы принятым стандартам безопасности, обнаружение рисков для бизнес-процессов при несанкционированном доступе к системе или данным, симуляция атак на систему для проникновения или вывода её из строя и устойчивость к различным видам инъекций
Зачем проводить тестирование безопасности?
Например, после выпуска продукта в релиз, выяснилось, что часть конфиденциальной информации передавалось по сети в незашифрованном виде, и любой сотрудник в сети, который бы слушал внутренний трафик получил бы доступ к данным, к которым у него не должно быть доступа.
Данную уязвимость для безопасности удалось обнаружить во время приемочных испытаний и достаточно оперативно исправить в виде патча, и утечек информации не произошло.
Иногда необходима хотя бы базовая проверка на основные распространенные ошибки
После выпуска продукта, выяснилось что модуль аутентификации пользователей содержит в себе уязвимости в виде SQL инъекций. Это удалось выяснить благодаря базовой проверке по имитации попыток взлома.
Если бы данная проблема не была обнаружена, то злоумышленник мог бы получить доступ ко всей внутренней информации, которая хранится в базах данных.
Какая польза от проведения тестирования безопасности?
Благодаря включению тестирования безопасности в состав процесса обеспечения качества для любого программного продукта, получают следующие результаты: