PT methodologiesБЛОГ

OSSTMM

OSSTMM (Open Source Security Testing Methodology Manual) е признат международен стандарт, създаден от Пийт Херцог (Pete Herzog) и разработен от ISECOM за тестване и анализиране на сигурността. Използва се ежедневно от множество организации. Разделя се на четири основни групи – обхват (scope), канал (channel), индекс (index) и вектор (vector). Обхвата дефинира процеса по събиране на информация за всички активи на средата-цел. Каналите определят типа комуникация при взаимодействие с активите. Всеки канал определя уникална група от компоненти, които трябва да бъдат тествани. Например физическа сигурност, човешкия фактор, безжични мрежи и т.н. Индексирането е метод, който се използва за класификация на активите. Векторите обобщават посоката, в която одитора трябва да работи за да анализира всеки функционален актив. Цялостният просес инициира техническа карта за оценка на средата и е известен под името одитен обхват (audit scope).

Според OSSTMM съществуват шест типа тестване на сигурността:

  • Blind – не изисква предварително знание за обекта на атака. Въпреки това, тестът има етична страна, тъй като преди да започне организацията, обект на теста, бива уведомена.
  • Double blind – не изисква предварителни знания или уведомяване. Голяма част от тестовете използват този подход.
  • Gray box – одиторът притежава ограничени знания за целта, както и целта бива уведомена за предстоящият тест.
  • Double gray box – подобно на gray box, с изключение на това, че бива дефиниран времеви обхват за одита и не се тестват канали и вектори.
  • Tandem – одитора притецава минимално знание как да достъпи целта и тя бивауведомена. Този тип тест е задълбочен и цялостен.
  • Reversal – одитора притежава пълно знание за целта, а тя няма информация как и кога ще бъде проведен теста.

Рамката на техническа оценка, предоставена от OSSTMM е гъвкава и има способността да подчертае конкретни случаи за тестване, които логически се разделят на пет компонента за сигурност в три последователни канала. Тези тестови сценарии обикновенно изследват целта като оценяват сигурността ѝ при конрола на достъпа, мерките за защита на данни, защитата на периметъра, физическото местоположение и т.н. Основните процедури за проверка се фокусират върху какво и как да бъде тествано, каква стратегия да бъде приложена преди, по време и след края на теста и как да се интерпретират финалните резултати. Улавянето на текущото състояние на защитеността е доста полезно и ценно. Поради този факт, OSSTMM методиката въвежда тази функция под формата на RNN (Risk Assessment Values). Базовото предназначение на RAV е да анализира резултатите от теста. Крайнато стойност от RAV е известна под името RAV резултат (score). Тя се използва за изграждане на по-добра защита, оптимизиране на инвестициите и увеличаване на ефективността при избора на контрамерки за ограничаване на риска.

osstmm
Фигура 1. OSSTMM (Open Source Security Testing Methodology Manual)

Ключови свойства и предимства на OSSTMM

В следващите редове са обобщени някои от ключовите свойства и предимства на OSSTMM:

  • Намалява възможността за възникване на грешки (false positives/false negatives) и осигурява възпроизводими измервания на сигурността;
  • OSSTMM е адаптируем към различни типове тестове на сигурността;
  • Дава гаранции, че резултатите са получени чрез последователен и надежден метод на изследване;
  • Следва точно определен процес от четири отделни, свързани помежду си фази, респективно, дефиниционна (definition phase), информационн (informational phase), регулаторна (regulatory phase) и контролна (control test phase). Всяка от тях добива, оценява и валидира информацията за целта;
  • Позволява количествено оценяване на текущото състояние на сигурността чрез RAV параметъра.
  • Притежава начин за формализиране на доклада от теста, използвайки т.нар. STAR (Security Test Audit Report) темлейт;
  • Включва периодични обновления с новите тенденции в сигурността, регулаторни промени, етични концепции и т.н.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *