0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何使您更好地进行应用程序安全测试

星星科技指导员 来源:synopsys 作者:synopsys 2023-05-25 14:46 次阅读

了解如何创建攻击树图。攻击树可帮助您提高应用程序安全性、发现漏洞、评估防御成本等。

想象一下,一群小偷计划在拉斯维加斯的一家赌场进行一次重大抢劫,就像海洋十一人一样。为了尽量减少当场被抓的机会并最大限度地提高运输量,他们需要概述计划的每一步。

海洋十一攻击树示例

他们的战略地图可能看起来像这样。攻击者的目标——抢劫赌场——位于顶部,有几个潜在的攻击路径通向它。

wKgaomRvB4aAB09bAALX3WwpeVE442.png

这是攻击树图的一个示例,即从攻击者的角度对攻击进行的方法、图形表示。

像这样的攻击树已被用于识别所有类型的复杂系统中的安全漏洞,例如监督控制和数据采集(SCADA)网络,生物识别系统和GSM无线接入网络。

在应用程序测试策略中,使用攻击树可以帮助您模拟各种攻击场景,并就如何最好地保护应用程序做出决策。您将能够查明最容易受到攻击的系统和控制,并更有效地构建特定的对策。

如何创建攻击树图

创建攻击树图时,首先将自己置于潜在黑客的位置。你的首要目标是什么?您是否正在尝试访问客户数据?扰乱业务流程?将该目标放在树的顶部。这就是“根节点”。

在它下面,将最高级别的目标分解为一系列分支或“叶节点”,表示增量的、更易于管理的目标以及实现这些目标所需的步骤。集思广益,想出实现目标的方法,并将它们添加到你的树上。

使用“或”节点来表示实现目标的不同方式。在赌场抢劫案的例子中,您可以通过在枪口下突袭登记册或使用内部人员窃取现金和筹码来抢劫赌场。

“和”节点是实现每个子目标所需的步骤。在我们的海洋十一人场景中,窃贼精心策划的计划包括一系列步骤,所有这些步骤对于实现他们的总体目标都至关重要:用炸药破坏金库,破坏隐藏金库漏洞的力量,以及访问金库安全代码。

绘制每个攻击途径后,确定发生这些攻击的可能性。每条攻击线都需要一定的资源,例如金钱、时间或技能。要评估要求,请为每个节点分配值,例如是否可行、成本如何以及是否需要特殊技能或设备。

你能从攻击树中学到什么?

创建树并为每个节点分配值后,您可以更好地准备做出主动的安全决策。以下是四种方法,您可以使用攻击树作为应用程序安全测试的一部分来识别、修复和防止安全漏洞。

发现计算机网络和应用程序设计中的多步骤攻击漏洞。 大多数组织使用多层安全性来保护其计算机网络,这要求攻击者完成一系列步骤才能实现其目标。攻击树在单独绘制每个步骤时非常宝贵。它们可以帮助您识别攻击路径,从而考虑需要哪些安全控制。

表示沿树的每条路径的成本。 攻击树形图可以帮助您计算定量和定性指标,帮助您确定防御措施的优先级。例如:

对手的观点

发起攻击的成本是多少?

设置和完成攻击需要多长时间?

哪些攻击不需要特殊技能和工具,因此更有可能发生?

攻击的回报是多少?对手从攻击中获得什么?他们是在寻仇吗?他们是否能够访问和重用您宝贵的 IP 或敏感的客户数据?他们可以通过破坏您的电子商务业务逻辑来进行购买吗?

后卫的观点

攻击影响:攻击是否会影响您的业务连续性或与客户的关系?

安全成本:如果系统遭到破坏,您是否无法通过外部安全审计或需要支付罚款?

检测:检测到攻击的概率是多少?

Mincut:保护一组关键资产的成本最低的对策是什么?

提高测试策略的有效性。 渗透测试从各种来源收集和综合信息,以搜索安全漏洞。但是,它们并不全面,尤其是在自动化时。它们可能无法检测到新出现的威胁,并且可以将正常或预期行为识别为异常或恶意,从而留下一长串误报。Synopsys 的应用测试服务包括一种手动方法,该方法结合了攻击树的战略使用,以提高准确性并节省您的时间和精力。

评估潜在防御的成本和有效性。 您可以通过创建防御树(也称为攻击对策树)来扭转攻击树的视角。这些节点包括表示旨在消除或减少攻击可能性的对策的节点。您可以使用这些树在优化的低成本防御措施选项之间进行选择。

底线

面对日益复杂的应用程序和潜在黑客的日益成熟,您需要一种既强大又易于构建的方法来预测和解决潜在风险。

攻击树图可帮助您将潜在攻击分解为多个步骤,查明漏洞并确定对策。将它们合并到全面的应用程序安全测试计划中,以便您可以主动分配资源和预算。

审核编辑:郭婷

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 计算机
    +关注

    关注

    19

    文章

    7492

    浏览量

    87899
  • Synopsys
    +关注

    关注

    2

    文章

    158

    浏览量

    90166
  • 应用程序
    +关注

    关注

    37

    文章

    3268

    浏览量

    57694
收藏 人收藏

    评论

    相关推荐

    如何对VI应用程序进行软件测试

    赋值,而不用在待测VI应用程序上进行赋值(这里可能涉及到一个自动测试方面的问题)? 希望有经验的大神能够指点下,谢谢!
    发表于 11-26 16:44

    为什么增加矢量性能能更好进行应用程序代码设计

    了解为什么增加的矢量性能可以更好地关注应用程序代码设计。
    的头像 发表于 11-01 06:28 2727次阅读

    加入移动应用程序世界的计划是什么?

    如果刚开始,请确保雇用了著名的软件开发公司来进行无错误的处理。如今竞争非常激烈,需要创建一个能够很好地吸引客户的高科技移动应用程序
    的头像 发表于 07-10 16:05 1605次阅读

    应用程序屏蔽和应用程序内保护哪个更安全

    众所周知,攻击者往往会使用用户移动设备上运行的应用程序来攻击后端的系统,比如攻击者利用移动操作系统和你的应用程序中的漏洞来监视你,获取私人数据甚至窃取资金。为了应对这种情况,许多移动应用程序开发人员
    的头像 发表于 08-26 16:02 4378次阅读

    Facebook积极尝试将Instagram变成更好应用程序

    Facebook积极尝试将Instagram变成更好应用程序,并不断使用新功能更新我们的帐户。尽管不断进行更新,但仍然存在经典的限制,这使该应用程序的许多用户感到困难。
    的头像 发表于 09-25 16:31 1539次阅读

    基于组合测试的Web应用程序搜索功能

    为了方便用户查询感兴趣的资源,许多Web应用程序会提供搜索功能。如果搜索功能存在欯障,将会导致Web应用程序的功能异常,甚至会引发安全问题,因而需要对其进行充分的
    发表于 06-08 11:47 11次下载

    通过基于功能的软件许可增加应用程序收入

      只需许可应用程序即可为您提供基本但至关重要的安全优势。但是,您可以走得更远:通过为的客户提供更多选择和更低的启动成本来增强您在市场上的竞争力。他们会喜欢
    的头像 发表于 07-01 09:22 676次阅读
    通过基于功能的软件许可增加<b class='flag-5'>应用程序</b>收入

    安全应用程序指南

    安全应用程序指南 产品规格书
    发表于 08-25 10:29 0次下载
    <b class='flag-5'>安全</b><b class='flag-5'>应用程序</b>指南

    应用程序漏洞测试如何保护应用程序

    Kiuwan是一个开发安全平台,开发人员和安全团队使用它来快速开发应用程序,同时保持总体安全性。
    的头像 发表于 02-28 10:35 615次阅读

    什么是网页应用程序测试

    网页app测试,或网页测试,是一种软件测试实践,有助于根据要求确保应用程序的质量和功能。网页测试必须在交付之前检测所有潜在问题,例如功能差异
    的头像 发表于 05-11 14:09 838次阅读

    什么是应用程序安全性AppSec?应用安全 + 应用安全工具概述

    应用程序安全 (AppSec) 对于高效和有效的安全措施至关重要,有助于解决软件应用程序日益严重的安全威胁。在这里,我们将讨论
    的头像 发表于 06-12 09:37 1058次阅读
    什么是<b class='flag-5'>应用程序</b><b class='flag-5'>安全</b>性AppSec?应用<b class='flag-5'>安全</b> + 应用<b class='flag-5'>安全</b>工具概述

    Preemptive 全面的移动应用程序保护

    由于黑客越来越多地将目标对准消费者和企业移动应用程序应用程序可能会给的组织带来风险。例如,黑客可以使用反编译器或反汇编器对的安卓或
    的头像 发表于 07-06 10:41 665次阅读
    Preemptive 全面的移动<b class='flag-5'>应用程序</b>保护

    PreEmptiveProtection:全面的移动应用程序保护

    的组织经不起黑客攻击 保护在不受信任的环境中运行的移动应用程序变得越来越重要,因为移动和物联网应用程序使客户端更智能,并经常访问敏感或金融信息。 由于黑客越来越多地将目标对准消费者和
    的头像 发表于 07-06 10:42 653次阅读

    .NET应用程序的性能测试

    WebLOAD通过轻松的测试脚本创建和基于深度服务器端分析的性能测试.NET应用程序提供了全面的解决方案。
    的头像 发表于 08-29 09:40 525次阅读

    开发java应用程序的基本步骤是

    Java应用程序。确定希望应用程序能够执行的任务和提供的功能。这将有助于指导您在开发过程中进行决策并确定实现代码的方式。 2.设计应用程序
    的头像 发表于 11-28 16:52 1602次阅读