Перевод материала подготовлен в рамках курса "QA Engineer".
Приглашаем всех желающих на вебинар «Туры в исследовательском тестировании». На этом открытом уроке рассмотрим основные туры исследовательского тестирования, благодаря чему можно систематизировать подходу к тестированию больших задач.
Несмотря на то, что у нас так много внутренних и внешних угроз для баз данных, в этом учебнике мы рассмотрим лишь некоторые из них.
#1. Неограниченные привилегии базы данных
Обычно это происходит, когда пользователям базы данных предоставляются многочисленные привилегии в системе, что приводит к злоупотреблению привилегиями, которое может быть чрезмерным, законным или неиспользуемым. Это действие может быть совершено как действующими, так и бывшими сотрудниками компании.
Существуют некоторые меры контроля, которые должны быть реализованы, как показано ниже:
Приложите все усилия для внедрения очень строгой политики контроля доступа и контроля привилегий.
Убедитесь, что вы не предоставляете и не утверждаете чрезмерные привилегии всем сотрудникам, и постарайтесь, насколько это возможно, выделить время для немедленной деактивации любых устаревших привилегий.
#2. Внедрение SQL-кода
Этот тип атаки внедрения SQL-кода происходит, когда вредоносный код внедряется через фронт-энд веб-приложения и затем передается в бэк-энд. Этот процесс позволяет злоумышленнику получить абсолютный доступ к информации, хранящейся в базе данных.
Целью этого всего обычно является кража данных или их повреждение. Внедрение SQL-кода нацелено на традиционные базы данных, а Внедрение NoSQL кода - на базы BIG Data
#3. Плохой аудиторский след
Согласно некоторым стандартам безопасности, каждое событие в базе данных должно быть записано для целей аудита. Если вы не можете представить доказательства наличия журнала аудита базы данных, то это может представлять собой очень серьезный риск для безопасности, поскольку в случае вторжения невозможно будет провести расследование.
#4. Открытые резервные копии баз данных
Каждой организации необходим очень хороший план резервного копирования, но когда резервные копии доступны, они становятся открытыми для компрометации и кражи. У нас было много случаев нарушения безопасности, которые были успешными только потому, что резервная копия базы данных была открыта.
Шифрование и аудит производственных баз данных и резервных копий - лучшая форма защиты корпоративных конфиденциальных данных.
#5. Неправильная конфигурация базы данных
Некоторые из угроз, встречающихся в базе данных, являются результатом их неправильной конфигурации. Злоумышленники обычно пользуются базой данных, которая имеет стандартную учетную запись и настройки конфигурации.
Это тревожный сигнал, что при настройке базы данных не должно быть ничего похожего на учетную запись по умолчанию, а параметры должны быть настроены таким образом, чтобы злоумышленнику было сложно что-либо сделать.
#6. Отсутствие опыта в области безопасности
Если не хватает опыта в области безопасности и отсутствуют основные правила безопасности базы данных, то это может привести к утечке данных. Сотрудникам службы безопасности может не хватать знаний, необходимых для внедрения средств контроля безопасности и других политик безопасности.
#7. Отказ в обслуживании (DoS)
Это тип атаки, который влияет на доступность сервиса, он влияет на производительность сервера базы данных и делает сервис базы данных недоступным для пользователей.
Например, если есть запрос на очень важные финансовые данные, а база данных недоступна из-за DoS, то это может привести к потере денег.
#8. Плохое управление данными
Некоторые корпоративные организации не умеют правильно управлять своими конфиденциальными данными, они не ведут их точную инвентаризацию, и таким образом некоторые из этих конфиденциальных данных могут попасть в чужие руки. Если не провести надлежащую инвентаризацию новых данных, добавленных в базу, то они могут стать уязвимыми.
Поэтому очень важно шифровать данные в состоянии покоя и применять необходимые разрешения и средства контроля.
Тестирование безопасности базы данных
Зачем мы проводим тестирование безопасности базы данных? Этот тест проводится для обнаружения любых слабых мест или уязвимостей в конфигурации безопасности базы данных и для смягчения последствий любого нежелательного доступа к базе данных.
Все конфиденциальные данные должны быть защищены от злоумышленников, поэтому регулярные проверки безопасности очень важны и обязательны.
Ниже перечислены основные причины, по которым тестирование безопасности базы данных является обязательным:
Аутентификация
Авторизация
Учет
Конфиденциальность
Целостность
Доступность
Устойчивость
Этот процесс включает в себя тестирование различных уровней на основе бизнес-требований. К тестируемым уровням относятся бизнес-уровень, уровень доступа и уровень пользовательского интерфейса.
Процесс тестирования базы данных
Подготовка (например, среды)
Проведение теста
Оценка результатов
Точная отчетность
Рекомендуемая литература => Полное руководство по тестированию баз данных
Типы тестирования безопасности баз данных
Тест на проникновение: Это процесс имитации кибер-атаки на сеть, компьютерную систему или веб-приложение для обнаружения в них любых уязвимостей.
Сканер уязвимостей: Это использование сканера для сканирования системы на наличие известных уязвимостей с целью их устранения и исправления.
Аудит безопасности: Это процесс оценки реализации и соответствия политик и стандартов безопасности организации.
Оценка рисков: Это общий процесс выявления всех опасностей и рисков, способных нанести серьезный вред системе.
Преимущества использования инструмента для тестирования баз данных
Основная причина, по которой мы используем инструмент, заключается в том, что он быстрее выполняет задачи, что позволяет экономить время. Большинство современных методов тестирования выполняются с помощью некоторых из этих инструментов.
В Интернете есть как платные, так и бесплатные инструменты тестирования, которые можно использовать, и которые очень просты для понимания и эффективного использования. Эти инструменты можно разделить на инструменты тестирования нагрузки и производительности, инструменты генерации тестовых данных и инструменты на основе SQL.
Поскольку существует большая вероятность того, что в базе данных может быть обнаружена какая-то нестабильность, это обуславливает необходимость проведения БД тестирования (базы данных) перед запуском приложения.
Это тестирование должно проводиться на самом раннем этапе жизненного цикла разработки программного обеспечения, чтобы иметь представление об уязвимостях, существующих в системе баз данных, а использование некоторых из этих инструментов поможет обнаружить их эффективно и действенно.
Если произойдет сбой базы данных, то это сделает все приложение или систему бесполезной, что может привести к более серьезным последствиям. Причина, по которой периодическое тестирование важно, заключается в том, что оно обеспечивает производительность системы.
Список нескольких лучших инструментов для тестирования баз данных:
Фабрика данных
Макет данных
Генератор данных DTM
MS SQL Server
Тест SQL
Oracle SQL Developer
NoSQL Unit
Se Lite
SLOB
Orion
Рекомендуемая литература => Полный список инструментов для тестирования баз данных
Техники тестирования безопасности баз данных
При тестировании безопасности базы данных могут применяться различные техники тестирования. Ниже мы рассмотрим некоторые из этих методов:
#1. Тест на проникновение
Это преднамеренная атака на систему с целью найти уязвимости в системе безопасности, благодаря которым злоумышленник может получить доступ ко всей системе, включая базу данных. Если слабая сторона найдена, то немедленным действием является устранение и ослабление любой угрозы, которую может вызвать такая уязвимость.
#2. Оценка рисков
Это процесс проведения оценки риска для определения уровня риска, связанного с типом внедренной конфигурации безопасности базы данных, и возможности обнаружения уязвимости. Такая оценка обычно проводится экспертами по безопасности, которые могут проанализировать степень риска, связанного с тем или иным процессом.
#3. Валидация SQL-внедрения
Это включает в себя надлежащую санацию значений, которые вставляются в базу данных. Например, ввод специального символа ',' или ключевых слов типа SELECT должен быть запрещен в любом приложении.
Если такая проверка не предусмотрена, то база данных, распознающая язык запросов, будет воспринимать запрос как правильный.
Если на входе появляется ошибка базы данных, это означает, что запрос поступил в базу данных и был выполнен либо с положительным, либо с отрицательным ответом. При таком сценарии база данных очень уязвима для SQL-внедрения.
SQL-внедрение является основным вектором атаки сегодня, поскольку с его помощью злоумышленник получает доступ к базе данных приложения, содержащей очень важные данные.
Интерфейсом, через который обычно осуществляется эта атака, являются формы ввода в приложении, и чтобы решить эту проблему, необходимо сделать соответствующую очистку ввода. Проверка на SQL -внедрение должна проводиться для каждой скобки, запятой и кавычек, используемых в интерфейсе ввода.
#4. Взлом пароля
Во время тестирования всегда очень важно убедиться, что в системе поддерживается строгая политика паролей. Поэтому при проведении тестирования на проникновение очень важно проверить, соблюдается ли эта политика паролей. Мы можем сделать это, ведя себя как хакер, который использует инструмент для взлома паролей или угадывает другое имя пользователя/пароль.
Компании, которые разрабатывают или используют финансовые приложения, должны убедиться в том, что они установили строгую политику паролей для своей системы управления базами данных.
#5. Аудит безопасности
Необходимо регулярно проводить аудит безопасности, чтобы оценить политику безопасности организации и выяснить, соблюдаются ли стандарты или нет.
Существуют различные предприятия со своими особыми стандартами безопасности, и если эти стандарты установлены, то от них уже нельзя отказаться. Если кто-то не соблюдает какой-либо из этих стандартов, то это будет считаться серьезным нарушением. Одним из примеров стандарта безопасности является ISO 27001.
Часто задаваемые вопросы
Вопрос №1) Какие существуют виды тестирования безопасности?
Ответ:
Тест на проникновение
Сканер уязвимостей
Аудит безопасности
Оценка рисков
Вопрос #2) Каковы проблемы безопасности баз данных?
Ответ:
Неограниченные привилегии базы данных
SQL-внедрения
Плохой аудиторский след
Открытые резервные копии баз данных
Отсутствие опыта в области безопасности
Неправильная конфигурация базы данных
Отказ в обслуживании
Вопрос № 3) Что такое инструменты тестирования безопасности?
Ответ: Это такие инструменты тестирования, которые используются для обнаружения уязвимостей, угроз и рисков в приложении, и их немедленное устранение для предотвращения любой вредоносной атаки.
Вопрос № 4) Как проводится тестирование безопасности?
Ответ:
Тестирование точек доступа.
Тестирование вредоносного скрипта.
Тестирование уровня защиты данных.
Тестирование обработки ошибок.
Заключение
Каждая организация должна сделать безопасность базы данных неотъемлемой частью своей повседневной деятельности, поскольку данные - это ключ к успеху. Они не должны думать о стоимости, которая будет потрачена на создание структуры, а должны думать о рентабельности.
Существуют различные инструменты тестирования, которые компания может начать использовать и включить их в свой план тестирования безопасности.
Когда вы убедитесь в том, как плохое обеспечение безопасности баз данных влияет на некоторые организации, вы увидите, какой хаос происходит и как некоторые так и не смогли выжить. Поэтому совет заключается в том, чтобы очень серьезно относиться к безопасности вашей базы данных.
Рекомендуемая литература
ETL Testing Data Warehouse Testing Tutorial (A Complete Guide)
Database Testing Complete Guide (Why, What, and How to Test Data)
Узнать подробнее о курсе "QA Engineer".
Смотреть вебинар «Туры в исследовательском тестировании».
