Book description
Die Autoren geben einen fundierten Einstieg und praxisorientierten Überblick über die technischen, organisatorischen und prozessoralen Aspekte des Sicherheitstestens und vermitteln damit das notwendige Praxiswissen, um für moderne IT-Anwendungen die notwendige Sicherheit zu erhalten, die für eine wirtschaftlich sinnvolle und regulationskonforme Inbetriebnahme von Softwaresystemen notwendig ist. Behandelt werden im Einzelnen:
– Grundlagen des Testens der Sicherheit – Zwecke, Ziele und Strategien von Sicherheitstests – Sicherheitstestprozesse – Sicherheitstests während des gesamten Softwarelebenszyklus– Testen von Sicherheitsmechanismen– Auswertung von Sicherheitstests und Abschlussberichte
Auch auf die menschlichen Faktoren beim Testen der Sicherheit sowie Sicherheitstestwerkzeuge und Standards wird im Detail eingegangen.
Table of contents
- Cover
- Über den Autor
- Titel
- Impressum
- Vorwort
- Danksagung
- Inhaltsübersicht
- Inhaltsverzeichnis
- Einleitung
-
1 Grundlagen des Testens der Sicherheit
- 1.1 Sicherheitsrisiken
- 1.1.1 Die Rolle der Risikobewertung beim Testen der Sicherheit
- 1.1.1.1 ISO 31000
- 1.1.1.2 Das Risiko im Detail
- 1.1.1.3 Grenzen der Risikobewertung
- 1.1.2 Ermittlung der Assets
- 1.1.2.1 Wert eines Assets
- 1.1.2.2 Der Ort eines Assets
- 1.1.2.3 Der Zugriff auf ein Asset
- 1.1.2.4 Der Schutz von einem Asset
- 1.1.3 Analyse von Verfahren der Risikobewertung
- 1.2 Informationssicherheitsrichtlinien und -verfahren
- 1.2.1 Verstehen von Informationssicherheitsrichtlinien und -verfahren
- 1.2.2 Analyse von Sicherheitsrichtlinien und -verfahren
- 1.3 Sicherheitsaudits und ihre Rolle beim Testen der Sicherheit
- 1.3.1 Zweck und Beispiele eines Sicherheitsaudits
- 1.3.2 Risikomodelle für den praktischen Umgang mit Sicherheitsrisiken
- 1.3.3 Mensch, Prozess und Technik
- 1.4 Was Sie in diesem Kapitel gelernt haben
-
2 Zweck, Ziele und Strategien von Sicherheitstests
- 2.1 Einleitung
- 2.1.1 Unbefugtes Kopieren von Anwendungen oder Dateien
- 2.1.2 Fehler in der Zugangskontrolle
- 2.1.3 Cross-Site Scripting (XSS)
- 2.1.4 Pufferüberläufe
- 2.1.5 Dienstblockade (Denial of Service)
- 2.1.6 Man-in-the-Middle-Angriffe und Brechen von Verschlüsselungen
- 2.1.7 Logische Bombe
- 2.1.8 Code Injection (CI)
- 2.2 Der Zweck von Sicherheitstests
- 2.3 Der Unternehmenskontext
- 2.4 Ziele von Sicherheitstests
- 2.4.1 Informationsschutz und Sicherheitstests
- 2.4.2 Ermittlung von Sicherheitstestzielen
- 2.4.2.1 Betrachtung am Beispiel eines mittelständischen Unternehmens
- 2.5 Der Umfang von Sicherheitstests und die Überdeckung von Sicherheitstestzielen
- 2.5.1 Typische Phasen eines Sicherheitstests
- 2.5.2 Umfang von Sicherheitstests
- 2.6 Vorgehensweisen im Sicherheitstest
- 2.6.1 Bestandteile der Vorgehensweise im Sicherheitstest
- 2.6.2 Ursachen mangelhafter Sicherheitstests
- 2.6.2.1 Mangelndes Engagement der Führungsebene und fehlende Bereitstellung von Ressourcen
- 2.6.2.2 Mangelhafte Implementierung der Sicherheitstestvorgehensweise, fehlende Kompetenzen oder Werkzeuge
- 2.6.2.3 Fehlende Unterstützung seitens des Unternehmens oder der Stakeholder
- 2.6.2.4 Fehlendes Verständnis für Sicherheitsrisiken
- 2.6.2.5 Testvorgehensweise, Teststrategie und übergeordnete Richtlinien passen nicht zusammen
- 2.6.2.6 Fehlendes Verständnis für den Zweck des Systems und fehlende technische Informationen
- 2.6.3 Der Sicherheitstest als Business Case aus Sicht der Stakeholder
- 2.6.3.1 Sicherheitstest als Business Case
- 2.6.3.2 Stakeholder
- 2.7 Optimierung der Sicherheitstestpraktiken
- 2.7.1 Überdeckungsgrade für Sicherheitsrisiken
- 2.7.2 Überdeckungsgrade von Sicherheitsrichtlinien und Strategien für den Test
- 2.7.3 Überdeckungsgrade von Sicherheitsanforderungen für den Test
- 2.7.4 KPIs für die Wirksamkeit von Sicherheitstests
- 2.8 Was Sie in diesem Kapitel gelernt haben
-
3 Sicherheitstestprozesse
- 3.1 Einleitung
- 3.1.1 Der Sicherheitstestprozess basierend auf dem Testprozess nach ISTQB®
- 3.1.2 Ausrichtung des Sicherheitstestprozesses an einem bestimmten Entwicklungslebenszyklusmodell
- 3.2 Planung von Sicherheitstests
- 3.2.1 Ziele der Sicherheitstestplanung
- 3.2.2 Das Sicherheitstestkonzept
- 3.3 Entwurf von Sicherheitstests
- 3.3.1 Entwurf von Sicherheitstests für Anwendungen
- 3.3.1.1 Sicherheitsmechanismen, -risiken und Schwachstellen
- 3.3.1.2 Dokumentation von Sicherheitstests
- 3.3.2 Entwurf von Sicherheitstests gestützt auf Richtlinien und Verfahren
- 3.4 Ausführung von Sicherheitstests
- 3.4.1 Schlüsselelemente und Merkmale einer effektiven Sicherheitstestumgebung
- 3.4.2 Bedeutung von Planung und Genehmigungen für Sicherheitstests
- 3.5 Bewertung von Sicherheitstests
- 3.6 Wartung von Sicherheitstests
- 3.7 Was Sie in diesem Kapitel gelernt haben
-
4 Sicherheitstesten im Softwarelebenszyklus
- 4.1 Die Rolle der Sicherheit im Softwarelebenszyklus
- 4.1.1 Der Softwarelebenszyklus und Lebenszyklusmodelle
- 4.1.2 Sicherheit in den Phasen des Softwarelebenszyklus
- 4.1.3 Die Ermittlung von Sicherheitsanforderungen
- 4.1.4 Der Entwurf sicherer Software
- 4.1.5 Die Implementierung sicherer Software
- 4.1.6 Die Integration und Verifikation sicherer Software
- 4.1.7 Die Transition sicherer Software
- 4.1.8 Die Aufrechterhaltung der Sicherheit während des Betriebs
- 4.1.9 Sicherheitstesten im Softwarelebenszyklus
- 4.2 Die Rolle des Sicherheitstestens in der Anforderungsermittlung
- 4.3 Die Rolle des Sicherheitstestens beim Entwurf
- 4.4 Die Rolle des Sicherheitstestens während der Implementierung
- 4.4.1 Der statische Test von Softwarekomponenten
- 4.4.2 Der dynamische Test von Softwarekomponenten
- 4.4.2.1 Whitebox- und Glassbox-Sicherheitstests
- 4.4.2.2 Anforderungsbasierte und risikobasierte Sicherheitstests
- 4.4.2.3 Abdeckungsmaße zur Bewertung von Sicherheitstests
- 4.5 Die Rolle des Sicherheitstestens während der Integration & Verifikation
- 4.5.1 Sicherheitstests während der Komponentenintegration
- 4.5.2 Sicherheitstesten während des Systemtests
- 4.6 Die Rolle des Sicherheitstestens in der Transitionsphase
- 4.6.1 Sicherheitstesten im Abnahmetest
- 4.6.2 Definition und Pflege sicherheitsbezogener Abnahmekriterien
- 4.6.3 Zusätzliche Umfänge betrieblicher Abnahmetests
- 4.7 Die Rolle des Sicherheitstestens während Betrieb & Wartung
- 4.7.1 Sicherheitstesten als Regressions- und Fehlernachtest
- 4.7.2 Penetrationstest
- 4.8 Was Sie in diesem Kapitel gelernt haben
-
5 Testen von Sicherheitsmechanismen
- 5.1 Systemhärtung
- 5.1.1 Das Konzept der Systemhärtung
- 5.1.2 Testen der Wirksamkeit der Mechanismen der Systemhärtung
- 5.2 Authentifizierung und Autorisierung
- 5.2.1 Authentizität und Authentisierung
- 5.2.2 Der Zusammenhang zwischen Authentifizierung und Autorisierung
- 5.2.3 Testen der Wirksamkeit von Authentifizierungs- und Autorisierungsmechanismen
- 5.3 Verschlüsselung
- 5.3.1 Das Konzept der Verschlüsselung
- 5.3.1.1 Kryptografische Grundprinzipien
- 5.3.1.2 Symmetrische Verschlüsselungen
- 5.3.1.3 Asymmetrische Verschlüsselungen
- 5.3.1.4 Hashverfahren
- 5.3.1.5 Transport Layer Security (TLS)
- 5.3.2 Testen der Wirksamkeit gängiger Verschlüsselungsmechanismen
- 5.3.2.1 Tests auf Designschwächen der Verschlüsselung
- 5.3.2.2 Tests auf Schwachstellen in der Implementierung
- 5.3.2.3 Prüfung auf Schwachstellen in der Konfiguration von Verschlüsselungssystemen
- 5.4 Firewalls und Netzwerkzonen
- 5.4.1 Konzepte von Firewalls
- 5.4.1.1 Paketfilterung
- 5.4.1.2 Proxy-Firewall (Vermittler)
- 5.4.1.3 Applikationsfilter
- 5.4.1.4 Dual-Homed Bastion
- 5.4.2 Testen der Wirksamkeit von Firewalls
- 5.4.2.1 Testen der Konfiguration einer Firewall
- 5.4.2.2 Portscans
- 5.4.2.3 Fehlerhafte Netzwerkpakete und Netzwerk-Fuzzing
- 5.4.2.4 Fragmentierungsangriffe
- 5.4.2.5 IT-Grundschutz einer Firewall
- 5.5 Angriffserkennung
- 5.5.1 Verstehen des Konzepts von Werkzeugen zur Angriffserkennung
- 5.5.2 Testen der Wirksamkeit von Werkzeugen der Angriffserkennung
- 5.5.3 Verfahren für die Anomalieerkennung zur Identifikation von Angriffen
- 5.6 Schadprogrammscans
- 5.6.1 Konzepte der Schadprogrammscanner
- 5.6.2 Testen der Wirksamkeit von Schadprogrammscannern
- 5.7 Datenmaskierung
- 5.7.1 Konzept der Datenmaskierung
- 5.7.1.1 Techniken der Datenmaskierung
- 5.7.1.2 Diskussion ausgewählter Techniken der Datenmaskierung
- 5.7.2 Testen der Wirksamkeit von Datenmaskierungsverfahren sowie maskierter Daten
- 5.8 Schulungen
- 5.8.1 Bedeutung von Sicherheitsschulungen
- 5.8.2 Testen der Wirksamkeit von Sicherheitsschulungen
- 5.8.2.1 Der Schulungsprozess
- 5.8.2.2 Szenarien während der Schulung
- 5.8.2.3 Wirksamkeit von Übungen und Prüfungen im Sicherheitstesten
- 5.9 Was Sie in diesem Kapitel gelernt haben
-
6 Menschliche Faktoren beim Test der IT-Sicherheit
- 6.1 Motivation
- 6.2 Kommunikationsmodelle für Social Engineers
- 6.2.1 Kanalmodell nach Berlo
- 6.2.2 Kommunikationsquadrat nach Friedemann Schulz von Thun
- 6.2.3 Feedback nach den logischen Ebenen nach Dilts
- 6.2.4 Wertemodell nach Graves/Falter/Mottok
- 6.3 Verstehen der Angreifer
- 6.3.1 Der Einfluss des menschlichen Verhaltens auf Sicherheitsrisiken
- 6.3.2 Verstehen der Mentalität von Angreifern
- 6.3.3 Allgemeine Motive und Quellen für Angriffe auf Computersysteme
- 6.3.4 Angriffsszenarien und -motive
- 6.3.4.1 Erfassung und Authentifizierung
- 6.3.4.2 Reaktion bei Sicherheitsstörfällen
- 6.3.4.3 Analyse und Beweissicherung
- 6.4 Social Engineering
- 6.5 Sicherheitsbewusstsein
- 6.5.1 Die Bedeutung des Sicherheitsbewusstseins
- 6.5.2 Schärfung des Sicherheitsbewusstseins
- 6.6 Zwei Fallbeispiele
- 6.7 Reverse Social Engineering
- 6.8 Social Engineering Pentests
- 6.9 Was Sie in diesem Kapitel gelernt haben
-
7 Auswertung von Sicherheitstests und Abschlussberichte
- 7.1 Auswertung von Sicherheitstests
- 7.2 Berichterstattung für Sicherheitstests
- 7.2.1 Abschlussbericht für Sicherheitstests
- 7.2.2 Sicherheitstestzwischenberichte
- 7.3 Wirksamkeit von Sicherheitstestberichten
- 7.4 Vertraulichkeit von Sicherheitstestergebnissen
- 7.5 Was Sie in diesem Kapitel gelernt haben
-
8 Sicherheitstestwerkzeuge
- 8.1 Typen und Funktionen von Sicherheitstestwerkzeugen
- 8.1.1 Werkzeuge für dynamische Sicherheitstests
- 8.1.2 Statische und dynamische Sicherheitstestwerkzeuge
- 8.2 Werkzeugauswahl
- 8.2.1 Analysieren und Dokumentieren von Sicherheitstesterfordernissen
- 8.2.2 Open-Source-Werkzeuge und kommerzielle Produkte
- 8.3 Was Sie in diesem Kapitel gelernt haben
-
9 Standards und Branchentrends
- 9.1 Sicherheitsteststandards und Sicherheitsnormen
- 9.1.1 Die Vor- und Nachteile der Verwendung von Standards und Normen
- 9.1.2 Anwendungsszenarien von Standards und Normen
- 9.1.2.1 BSI-Gesetz
- 9.1.2.2 DSGVO
- 9.1.2.3 BAIT/VAIT
- 9.1.3 Auswahl von Sicherheitsstandards und -normen
- 9.2 Anwenden von Sicherheitsstandards
- 9.3 Branchen- und andere Trends
- 9.4 Was Sie in diesem Kapitel gelernt haben
- Anhang
- Fußnoten
- Index
Product information
- Title: Basiswissen Sicherheitstests
- Author(s):
- Release date: June 2019
- Publisher(s): dpunkt
- ISBN: 9783864906183
You might also like
book
Basiswissen Testdatenmanagement
Ohne Daten ist Testen nicht möglich. Benötigt werden Ein- und Ausgabedaten, Zustandsdaten und ein Testorakel.Die Autoren …
book
Basiswissen Testautomatisierung
Testautomatisierung ist ein mächtiges Werkzeug, um Tests wiederholbar zu machen und effizienter zu gestalten. Dieses Buch …
book
Mathematik
Haben Sie kürzlich eine Wasserstoffbombe oder ein Nuklearunterseeboot verloren und fragen sich, wie eine vernünftige Suchstrategie …
book
Basiswissen Software-Projektmanagement, 3rd Edition
einziges Lehrbuch zum Certified Professional for Project Manager (iSQI) knapp und bündige Darstellung der Inhalte, sehr …