Аннотация:
Сегодня фаззинг, фаззинг-тестирование является основной техникой тестирования программного обеспечения, систем и функций, в том числе и как часть динамического анализа. Фаззинг позволяет выявлять дефекты информационной безопасности или отказы. Однако такая практика может требовать привлечений больших ресурсов и вычислительных мощностей для проведения работ в крупных организациях, где количество систем может быть большим. Командам разработки и специалистам информационной безопасности требуется одновременно соблюдать сроки, требования различных регуляторов и рекомендации стандартов. Для решения задач по фаззинг-тестированию при одновременном соблюдении сроков, предлагается метод фаззинг-тестирования, который следует применять сразу ко всей информационно-вычислительной сети крупных организаций, которые используют микросервисы. Под полиморфными системами в настоящей статье понимаются такие системы, которые содержат реализацию различных функций, принимающих на вход различные типы данных, не в рамках одного программного обеспечения, а в рамках подсистем с набором нескольких микросервосов. В этом случае могут использоваться различные сетевые протоколы, форматы и типы данных. При таком многообразии особенностей, возникает проблема выявлений дефектов в составе систем, поскольку при разработке не всегда предусматриваются интерфейсы отладки или обратной связи. Для её решения в настоящей статье предлагается использовать метод сбора и анализа статистики временных интервалов обработки мутированных данных миросервисами. Для фаззинг-тестов предлагается использовать мутированные запросы, где начальное состояние данных для мутации – полезная нагрузка известных или типовых дефектов информационной безопасности. C помощью анализа временных интервалов между клиент-серверным запросом и ответом удалось выявить закономерности, которые показали наличие потенциально опасных дефектов. В рамках статьи рассматривается фаззинг прикладных функций по протоколу HTTP. Предлагаемый подход не оказывает отрицательных влияний на эффективность и сроки разработки. Описанный в статье метод и решение рекомендуется применять в крупных организациях, как дополнительное или основное решение по обеспечению информационной безопасности для того, чтобы предотвращать критичные отказы инфраструктуры и финансовые потери.
Полный текст:
PDF файл (911 kB)