Security Testing là gì, các loại Security Testing

1. Kiểm tra bảo mật là gì?

- KIỂM TRA BẢO MẬT là một loại Kiểm thử phần mềm nhằm khám phá các lỗ hổng, mối đe dọa, rủi ro trong một ứng dụng phần mềm và ngăn chặn các cuộc tấn công độc hại từ những kẻ xâm nhập. Mục đích của Kiểm tra bảo mật là xác định tất cả các lỗ hổng và điểm yếu có thể có của hệ thống phần mềm có thể dẫn đến việc mất thông tin, doanh thu, danh tiếng trong tay nhân viên hoặc người ngoài của Tổ chức.

- Mục tiêu của kiểm tra bảo mật là xác định các mối đe dọa trong hệ thống và đo lường các lỗ hổng tiềm ẩn của nó, để hệ thống không ngừng hoạt động hoặc bị khai thác. Nó cũng giúp phát hiện tất cả các rủi ro bảo mật có thể có trong hệ thống và giúp các nhà phát triển khắc phục các sự cố này thông qua mã hóa.

2. Các loại kiểm tra bảo mật:

- Có bảy loại thử nghiệm bảo mật chính theo hướng dẫn phương pháp Thử nghiệm bảo mật nguồn mở. Chúng được giải thích như sau:

+ Quét lỗ hổng (Vulnerability Scanning) : Điều này được thực hiện thông qua phần mềm tự động để quét một hệ thống chống lại các chữ ký dễ bị tổn thương đã biết.
+ Quét bảo mật (Security Scanning): Nó liên quan đến việc xác định các điểm yếu của mạng và hệ thống, và sau đó cung cấp các giải pháp để giảm các rủi ro này. Quá trình quét này có thể được thực hiện cho cả Quét thủ công và Tự động.
+ Kiểm tra thâm nhập(Penetration testing) : Loại thử nghiệm này mô phỏng một cuộc tấn công từ một tin tặc độc hại. Thử nghiệm này bao gồm phân tích một hệ thống cụ thể để kiểm tra các lỗ hổng tiềm ẩn đối với nỗ lực hack bên ngoài.
+ Đánh giá rủi ro (Risk Assessment): Thử nghiệm này bao gồm phân tích các rủi ro bảo mật được quan sát trong tổ chức. Rủi ro được phân loại là Thấp, Trung bình và Cao. Thử nghiệm này khuyến nghị kiểm soát và các biện pháp để giảm thiểu rủi ro.
+ Kiểm toán bảo mật (Security Auditing): Đây là một kiểm tra nội bộ của Ứng dụng và Hệ điều hành cho các lỗi bảo mật. Việc kiểm toán cũng có thể được thực hiện thông qua kiểm tra từng dòng mã
+ Hack đạo đức (Ethical hacking): Đó là hack một hệ thống phần mềm tổ chức. Không giống như các tin tặc độc hại, những kẻ đánh cắp lợi ích của chúng, mục đích là để lộ các lỗ hổng bảo mật trong hệ thống.
+ Posture Assessment(Đánh giá Cử chỉ): Điều này kết hợp quét Bảo mật, Đánh cắp đạo đức và Đánh giá rủi ro để hiển thị một tư thế bảo mật tổng thể của một tổ chức.

Nguồn: https://www.guru99.com/what-is-security-testing.html

Cám ơn.