Model Based Security Testing

In lijn met de brede ontwikkeling naar een hogere mate van automatisering in software development en software-onderhoud, maakt het software testing vakgebied een ontwikkeling door naar model based testing. Model Based Testing (MBT) komt voort uit model-based design en biedt nieuwe benaderingen voor het uitvoeren van software testing.

Het idee achter MBT is dat het mogelijk is om, op basis van modellen van het systeem dat wordt getest, automatisch testgevallen te genereren en resultaten van testen te valideren. Een randvoorwaarde is dat de modellen wel het gedrag van het systeem op formele wijze definiëren.

In het vakgebied van security testen wordt voor dynamische testen vaak gewerkt met generieke scanners, die zelf geen kennis hebben van het systeem. Bij nSEC/Resilience wordt onderzoek gedaan naar het toepassen van technieken uit Model Based Testing binnen security testing.

Het vakgebied dat daar specifiek betrekking op heeft wordt Model Based Security Testing (MBST) genoemd. In de wetenschappelijke literatuur wordt dat gedefinieerd als het gestructureerd en formeel vastleggen van security requirements en security test cases, en daarnaast het geautomatiseerd genereren en uitvoeren van security test cases.

Het onderzoek van nSEC/Resilience heeft zich voornamelijk gericht op het kunnen verbeteren van MBST op basis van technieken die reeds bestaan in de generieke benadering die wordt gebruikt voor functionele testen (MBT). Op basis hiervan heeft nSEC/Resilience kennis en ervaring opgebouwd met het formeel definiëren van systeemgedrag, als basis voor geautomatiseerde security testen die veel verder gaan dan een reguliere dynamische security test met gangbare commerciële of open source scanning tools. nSEC/Resilience consultants maken hierbij gebruik van bijvoorbeeld GraphWalker voor het opstellen van de formele specificaties.

De voordelen die MBST kan brengen ten opzichte van meer traditionele dynamische scans zijn tweeledig; enerzijds kan MBST meer bevindingen doen doordat er wordt getest op basis van harde gedetailleerde kennis van het systeem; daarnaast kan de investering in MBST voldoende grond geven om specifieke onderdelen uit geautomatiseerde security testen (en penetratietesten door derde partijen) te laten vervallen; op deze manier kan er ook een kostenreductie worden behaald.

Ook benieuwd naar de mogelijkheden van Model Based Security Testing? We komen met plezier langs om er vrijblijvend meer over te vertellen. Neem contact met ons op voor meer informatie!