RM新时代网站-首页

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫(xiě)文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

如何使您更好地進(jìn)行應(yīng)用程序安全測(cè)試

星星科技指導(dǎo)員 ? 來(lái)源:synopsys ? 作者:synopsys ? 2023-05-25 14:46 ? 次閱讀

了解如何創(chuàng)建攻擊樹(shù)圖。攻擊樹(shù)可幫助您提高應(yīng)用程序安全性、發(fā)現(xiàn)漏洞、評(píng)估防御成本等。

想象一下,一群小偷計(jì)劃在拉斯維加斯的一家賭場(chǎng)進(jìn)行一次重大搶劫,就像海洋十一人一樣。為了盡量減少當(dāng)場(chǎng)被抓的機(jī)會(huì)并最大限度地提高運(yùn)輸量,他們需要概述計(jì)劃的每一步。

海洋十一攻擊樹(shù)示例

他們的戰(zhàn)略地圖可能看起來(lái)像這樣。攻擊者的目標(biāo)——搶劫賭場(chǎng)——位于頂部,有幾個(gè)潛在的攻擊路徑通向它。

wKgaomRvB4aAB09bAALX3WwpeVE442.png

這是攻擊樹(shù)圖的一個(gè)示例,即從攻擊者的角度對(duì)攻擊進(jìn)行的方法、圖形表示。

像這樣的攻擊樹(shù)已被用于識(shí)別所有類型的復(fù)雜系統(tǒng)中的安全漏洞,例如監(jiān)督控制和數(shù)據(jù)采集(SCADA)網(wǎng)絡(luò),生物識(shí)別系統(tǒng)和GSM無(wú)線接入網(wǎng)絡(luò)。

在應(yīng)用程序測(cè)試策略中,使用攻擊樹(shù)可以幫助您模擬各種攻擊場(chǎng)景,并就如何最好地保護(hù)應(yīng)用程序做出決策。您將能夠查明最容易受到攻擊的系統(tǒng)和控制,并更有效地構(gòu)建特定的對(duì)策。

如何創(chuàng)建攻擊樹(shù)圖

創(chuàng)建攻擊樹(shù)圖時(shí),首先將自己置于潛在黑客的位置。你的首要目標(biāo)是什么?您是否正在嘗試訪問(wèn)客戶數(shù)據(jù)?擾亂業(yè)務(wù)流程?將該目標(biāo)放在樹(shù)的頂部。這就是“根節(jié)點(diǎn)”。

在它下面,將最高級(jí)別的目標(biāo)分解為一系列分支或“葉節(jié)點(diǎn)”,表示增量的、更易于管理的目標(biāo)以及實(shí)現(xiàn)這些目標(biāo)所需的步驟。集思廣益,想出實(shí)現(xiàn)目標(biāo)的方法,并將它們添加到你的樹(shù)上。

使用“或”節(jié)點(diǎn)來(lái)表示實(shí)現(xiàn)目標(biāo)的不同方式。在賭場(chǎng)搶劫案的例子中,您可以通過(guò)在槍口下突襲登記冊(cè)或使用內(nèi)部人員竊取現(xiàn)金和籌碼來(lái)?yè)尳儋€場(chǎng)。

“和”節(jié)點(diǎn)是實(shí)現(xiàn)每個(gè)子目標(biāo)所需的步驟。在我們的海洋十一人場(chǎng)景中,竊賊精心策劃的計(jì)劃包括一系列步驟,所有這些步驟對(duì)于實(shí)現(xiàn)他們的總體目標(biāo)都至關(guān)重要:用炸藥破壞金庫(kù),破壞隱藏金庫(kù)漏洞的力量,以及訪問(wèn)金庫(kù)安全代碼。

繪制每個(gè)攻擊途徑后,確定發(fā)生這些攻擊的可能性。每條攻擊線都需要一定的資源,例如金錢、時(shí)間或技能。要評(píng)估要求,請(qǐng)為每個(gè)節(jié)點(diǎn)分配值,例如是否可行、成本如何以及是否需要特殊技能或設(shè)備。

你能從攻擊樹(shù)中學(xué)到什么?

創(chuàng)建樹(shù)并為每個(gè)節(jié)點(diǎn)分配值后,您可以更好地準(zhǔn)備做出主動(dòng)的安全決策。以下是四種方法,您可以使用攻擊樹(shù)作為應(yīng)用程序安全測(cè)試的一部分來(lái)識(shí)別、修復(fù)和防止安全漏洞。

發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)和應(yīng)用程序設(shè)計(jì)中的多步驟攻擊漏洞。 大多數(shù)組織使用多層安全性來(lái)保護(hù)其計(jì)算機(jī)網(wǎng)絡(luò),這要求攻擊者完成一系列步驟才能實(shí)現(xiàn)其目標(biāo)。攻擊樹(shù)在單獨(dú)繪制每個(gè)步驟時(shí)非常寶貴。它們可以幫助您識(shí)別攻擊路徑,從而考慮需要哪些安全控制。

表示沿樹(shù)的每條路徑的成本。 攻擊樹(shù)形圖可以幫助您計(jì)算定量和定性指標(biāo),幫助您確定防御措施的優(yōu)先級(jí)。例如:

對(duì)手的觀點(diǎn)

發(fā)起攻擊的成本是多少?

設(shè)置和完成攻擊需要多長(zhǎng)時(shí)間?

哪些攻擊不需要特殊技能和工具,因此更有可能發(fā)生?

攻擊的回報(bào)是多少?對(duì)手從攻擊中獲得什么?他們是在尋仇嗎?他們是否能夠訪問(wèn)和重用您寶貴的 IP 或敏感的客戶數(shù)據(jù)?他們可以通過(guò)破壞您的電子商務(wù)業(yè)務(wù)邏輯來(lái)進(jìn)行購(gòu)買嗎?

后衛(wèi)的觀點(diǎn)

攻擊影響:攻擊是否會(huì)影響您的業(yè)務(wù)連續(xù)性或與客戶的關(guān)系?

安全成本:如果系統(tǒng)遭到破壞,您是否無(wú)法通過(guò)外部安全審計(jì)或需要支付罰款?

檢測(cè):檢測(cè)到攻擊的概率是多少?

Mincut:保護(hù)一組關(guān)鍵資產(chǎn)的成本最低的對(duì)策是什么?

提高測(cè)試策略的有效性。 滲透測(cè)試從各種來(lái)源收集和綜合信息,以搜索安全漏洞。但是,它們并不全面,尤其是在自動(dòng)化時(shí)。它們可能無(wú)法檢測(cè)到新出現(xiàn)的威脅,并且可以將正?;蝾A(yù)期行為識(shí)別為異?;驉阂?,從而留下一長(zhǎng)串誤報(bào)。Synopsys 的應(yīng)用測(cè)試服務(wù)包括一種手動(dòng)方法,該方法結(jié)合了攻擊樹(shù)的戰(zhàn)略使用,以提高準(zhǔn)確性并節(jié)省您的時(shí)間和精力。

評(píng)估潛在防御的成本和有效性。 您可以通過(guò)創(chuàng)建防御樹(shù)(也稱為攻擊對(duì)策樹(shù))來(lái)扭轉(zhuǎn)攻擊樹(shù)的視角。這些節(jié)點(diǎn)包括表示旨在消除或減少攻擊可能性的對(duì)策的節(jié)點(diǎn)。您可以使用這些樹(shù)在優(yōu)化的低成本防御措施選項(xiàng)之間進(jìn)行選擇。

底線

面對(duì)日益復(fù)雜的應(yīng)用程序和潛在黑客的日益成熟,您需要一種既強(qiáng)大又易于構(gòu)建的方法來(lái)預(yù)測(cè)和解決潛在風(fēng)險(xiǎn)。

攻擊樹(shù)圖可幫助您將潛在攻擊分解為多個(gè)步驟,查明漏洞并確定對(duì)策。將它們合并到全面的應(yīng)用程序安全測(cè)試計(jì)劃中,以便您可以主動(dòng)分配資源和預(yù)算。

審核編輯:郭婷

聲明:本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • 計(jì)算機(jī)
    +關(guān)注

    關(guān)注

    19

    文章

    7488

    瀏覽量

    87848
  • Synopsys
    +關(guān)注

    關(guān)注

    2

    文章

    157

    瀏覽量

    90160
  • 應(yīng)用程序
    +關(guān)注

    關(guān)注

    37

    文章

    3265

    瀏覽量

    57677
收藏 人收藏

    評(píng)論

    相關(guān)推薦

    如何對(duì)VI應(yīng)用程序進(jìn)行軟件測(cè)試?

    賦值,而不用在待測(cè)VI應(yīng)用程序上進(jìn)行賦值(這里可能涉及到一個(gè)自動(dòng)測(cè)試方面的問(wèn)題)? 希望有經(jīng)驗(yàn)的大神能夠指點(diǎn)下,謝謝!
    發(fā)表于 11-26 16:44

    為什么增加矢量性能能更好進(jìn)行應(yīng)用程序代碼設(shè)計(jì)

    了解為什么增加的矢量性能可以更好地關(guān)注應(yīng)用程序代碼設(shè)計(jì)。
    的頭像 發(fā)表于 11-01 06:28 ?2720次閱讀

    加入移動(dòng)應(yīng)用程序世界的計(jì)劃是什么?

    如果剛開(kāi)始,請(qǐng)確保雇用了著名的軟件開(kāi)發(fā)公司來(lái)進(jìn)行無(wú)錯(cuò)誤的處理。如今競(jìng)爭(zhēng)非常激烈,需要?jiǎng)?chuàng)建一個(gè)能夠很好地吸引客戶的高科技移動(dòng)應(yīng)用程序。
    的頭像 發(fā)表于 07-10 16:05 ?1603次閱讀

    應(yīng)用程序屏蔽和應(yīng)用程序內(nèi)保護(hù)哪個(gè)更安全?

    眾所周知,攻擊者往往會(huì)使用用戶移動(dòng)設(shè)備上運(yùn)行的應(yīng)用程序來(lái)攻擊后端的系統(tǒng),比如攻擊者利用移動(dòng)操作系統(tǒng)和你的應(yīng)用程序中的漏洞來(lái)監(jiān)視你,獲取私人數(shù)據(jù)甚至竊取資金。為了應(yīng)對(duì)這種情況,許多移動(dòng)應(yīng)用程序開(kāi)發(fā)人員
    的頭像 發(fā)表于 08-26 16:02 ?4372次閱讀

    Facebook積極嘗試將Instagram變成更好應(yīng)用程序

    Facebook積極嘗試將Instagram變成更好應(yīng)用程序,并不斷使用新功能更新我們的帳戶。盡管不斷進(jìn)行更新,但仍然存在經(jīng)典的限制,這使該應(yīng)用程序的許多用戶感到困難。
    的頭像 發(fā)表于 09-25 16:31 ?1537次閱讀

    基于組合測(cè)試的Web應(yīng)用程序搜索功能

    為了方便用戶查詢感興趣的資源,許多Web應(yīng)用程序會(huì)提供搜索功能。如果搜索功能存在欯障,將會(huì)導(dǎo)致Web應(yīng)用程序的功能異常,甚至?xí)l(fā)安全問(wèn)題,因而需要對(duì)其進(jìn)行充分的
    發(fā)表于 06-08 11:47 ?11次下載

    通過(guò)基于功能的軟件許可增加應(yīng)用程序收入

      只需許可應(yīng)用程序即可為您提供基本但至關(guān)重要的安全優(yōu)勢(shì)。但是,您可以走得更遠(yuǎn):通過(guò)為的客戶提供更多選擇和更低的啟動(dòng)成本來(lái)增強(qiáng)您在市場(chǎng)上的競(jìng)爭(zhēng)力。他們會(huì)喜歡
    的頭像 發(fā)表于 07-01 09:22 ?675次閱讀
    通過(guò)基于功能的軟件許可增加<b class='flag-5'>應(yīng)用程序</b>收入

    安全應(yīng)用程序指南

    安全應(yīng)用程序指南 產(chǎn)品規(guī)格書(shū)
    發(fā)表于 08-25 10:29 ?0次下載
    <b class='flag-5'>安全</b><b class='flag-5'>應(yīng)用程序</b>指南

    應(yīng)用程序漏洞測(cè)試如何保護(hù)應(yīng)用程序?

    Kiuwan是一個(gè)開(kāi)發(fā)安全平臺(tái),開(kāi)發(fā)人員和安全團(tuán)隊(duì)使用它來(lái)快速開(kāi)發(fā)應(yīng)用程序,同時(shí)保持總體安全性。
    的頭像 發(fā)表于 02-28 10:35 ?612次閱讀

    什么是網(wǎng)頁(yè)應(yīng)用程序測(cè)試?

    網(wǎng)頁(yè)app測(cè)試,或網(wǎng)頁(yè)測(cè)試,是一種軟件測(cè)試實(shí)踐,有助于根據(jù)要求確保應(yīng)用程序的質(zhì)量和功能。網(wǎng)頁(yè)測(cè)試必須在交付之前檢測(cè)所有潛在問(wèn)題,例如功能差異
    的頭像 發(fā)表于 05-11 14:09 ?833次閱讀

    什么是應(yīng)用程序安全性AppSec?應(yīng)用安全 + 應(yīng)用安全工具概述

    應(yīng)用程序安全 (AppSec) 對(duì)于高效和有效的安全措施至關(guān)重要,有助于解決軟件應(yīng)用程序日益嚴(yán)重的安全威脅。在這里,我們將討論
    的頭像 發(fā)表于 06-12 09:37 ?1049次閱讀
    什么是<b class='flag-5'>應(yīng)用程序</b><b class='flag-5'>安全</b>性AppSec?應(yīng)用<b class='flag-5'>安全</b> + 應(yīng)用<b class='flag-5'>安全</b>工具概述

    Preemptive 全面的移動(dòng)應(yīng)用程序保護(hù)

    由于黑客越來(lái)越多地將目標(biāo)對(duì)準(zhǔn)消費(fèi)者和企業(yè)移動(dòng)應(yīng)用程序應(yīng)用程序可能會(huì)給的組織帶來(lái)風(fēng)險(xiǎn)。例如,黑客可以使用反編譯器或反匯編器對(duì)的安卓或
    的頭像 發(fā)表于 07-06 10:41 ?664次閱讀
    Preemptive 全面的移動(dòng)<b class='flag-5'>應(yīng)用程序</b>保護(hù)

    PreEmptiveProtection:全面的移動(dòng)應(yīng)用程序保護(hù)

    的組織經(jīng)不起黑客攻擊 保護(hù)在不受信任的環(huán)境中運(yùn)行的移動(dòng)應(yīng)用程序變得越來(lái)越重要,因?yàn)橐苿?dòng)和物聯(lián)網(wǎng)應(yīng)用程序使客戶端更智能,并經(jīng)常訪問(wèn)敏感或金融信息。 由于黑客越來(lái)越多地將目標(biāo)對(duì)準(zhǔn)消費(fèi)者和
    的頭像 發(fā)表于 07-06 10:42 ?651次閱讀

    .NET應(yīng)用程序的性能測(cè)試

    WebLOAD通過(guò)輕松的測(cè)試腳本創(chuàng)建和基于深度服務(wù)器端分析的性能測(cè)試.NET應(yīng)用程序提供了全面的解決方案。
    的頭像 發(fā)表于 08-29 09:40 ?517次閱讀

    開(kāi)發(fā)java應(yīng)用程序的基本步驟是

    Java應(yīng)用程序。確定希望應(yīng)用程序能夠執(zhí)行的任務(wù)和提供的功能。這將有助于指導(dǎo)您在開(kāi)發(fā)過(guò)程中進(jìn)行決策并確定實(shí)現(xiàn)代碼的方式。 2.設(shè)計(jì)應(yīng)用程序
    的頭像 發(fā)表于 11-28 16:52 ?1586次閱讀
    RM新时代网站-首页