Mallipohjainen tietoturvatestaus

Mallipohjaisen testauksen periaate

Mallipohjainen tietoturvatestaus (model-based security testing) kayttaa jarjestelman formaaleja malleja -- tilakoneita, hyokkayspuita ja uhkamalleja -- testitapausten automaattiseen generointiin. Toisin kuin satunnainen fuzzaus, mallipohjainen lahestymistapa takaa systemaattisen kattavuuden: jokainen mallin kuvaama tila ja siirtyma testataan. Tama tekee testauksesta toistettavaa ja mitattavaa, ja mahdollistaa kattavuuden todentamisen suhteessa uhkamalliin.

Hyokkayspuut ja uhkamallinnus

Hyokkayspuut kuvaavat hierarkkisesti eri tavat, joilla hyokkaaja voi saavuttaa tavoitteensa jarjestelmassa. Kun hyokkayspuu yhdistetaan STRIDE- tai DREAD-uhkamallinnukseen, syntyy priorisointikehys, joka ohjaa testauksen kriittisimpiin polkuihin. Me Softagramilla rakennamme uhkamallit ohjelmiston todellisen arkkitehtuurin pohjalta, hyodyntaen Softagram Analyzerin tuottamaa riippuvuuskarttaa. Nain uhkamalli ei ole abstrakti dokumentti vaan heijastaa jarjestelman todellista rakennetta.

Ohjelmistoarkkitehtuuri testauksen perustana

Softagramin ainutlaatuinen etu mallipohaisessa testauksessa on kyky johtaa testattavat mallit suoraan ohjelmiston arkkitehtuurianalyysista. Riippuvuuskartta paljastaa, mitka komponentit ovat alttiimpia haavoittuvuuksien leviamiselle ja missa rajapinnoissa luottamusrajat ylittyvat. Tama tietopohja mahdollistaa kohdennettumman testauksen kuin geneerinen lahestymistapa. Lopputuloksena asiakas saa paitsi testitulokset myos paremman ymmarryksen jarjestelmansa tietoturva-arkkitehtuurista.