Open Source Security Testing Methodology - Открытый фреймворк по тестированию безопасности

ОТКРЫТЫЙ ФРЕЙМВОРК ПО ТЕСТИРОВАНИЮ

БЕЗОПАСНОСТИ - OSSTMСергей Полаженко

Лаборатория тестированияМинск, Беларусь

Тестирование безопасности

оценка уязвимости программного обеспечения к различным атакам (Википедия)

Тестирование на проникновение

Метод оценки защищённости компьютерной системы или сети путём эмулирования атак от имени подозрительного (нелигитимного) субъекта, часто называемого как Black Hat Hacker, or Cracker (Википедия)

Хакер

(от hack — разрубать) — чрезвычайно квалифицированный ИТ-специалист, человек, который понимает самые основы работы компьютерных систем. Это слово также часто употребляется для обозначения компьютерного взломщика, что в общем случае неверно.(Википедия)

Популярные методологии

OSSTM - www.osstmm.org OWASP - www.owasp.org

Популярные стандарты

Cobit ISO/IEC 2700x SANS ISSAF NIST PCI DSS

ISECOM

Pete Herzog 2001 год Испания, Барселона OSSTM(M) Hacker Highschool Accredited trainings

OSSTM

Ожидается 3.0 версия cо дня на день В декабре 2006 года вышла v. 2.2 В 2003 году вышла v. 2.0 Старт 2001 год

OSSTM buzz

Версия 3.0 анонсирована в 2007 году В данный момент предлагается за

деньги золотым и серебрянным подписчикам

Соответствие бесконечному множеству норм и стандартов

Лицензия v. 2.0

Версия 2.0 (выпущена в феврале 2003) ссылается к GPL, но также содержит изречение на первой странице документа:

"Any information contained within this document may not be modified or sold without the express consent of the author."

Лицензия v. 2.2

Версия 2.2 (выпущена в ноябре 2006) изречение на первой странице документа:

"Any information contained within this document may not be modified or sold without the express consent of ISECOM. OSSTMM for free dissemination under the Open Methodology License (OML) and CC Creative Commons 2.5 Attribution-NonCommercial-NoDerivs"

No Open Source!

"Open Methodology License":www.isecom.org/oml.shtml

CC Creative Commons 2.5 with NoDerivs and NonCommercial

Никто не может: выпускать новые версии OSSTMM (кроме ISECOM) использовать OSSTMM для коммерческих нужд

(продажа в качестве книги) Создавать коммерческое ПО, основанное на

OSSTM

OSSTM

Цель

Обеспечить научную методологию для достаточной точной характеристики безопасности при помощи экзаменации и корреляции согласованным и надёжным способом

Стандартизация подхода к тестированию безопасности

To make security have sense

Задачи

Обеспечить руководства, следуя которым позволит аудитору выполнить сертифицированный OSSTMM аудит

Тест совершён полностью Тест охватил все необходимые каналы Тест не нарушает законных прав

задействованных лиц Результаты тесты измеримы Результаты теста последовательны и повторяемы Результаты теста содержат только факты,

полученные непосредственно из теста

Виды тестирования

Scope

безопасность информации (Information Security)

безопасность процесса (Process Security) безопасность Интернет технологий (Internet

Technology Security) безопасность коммуникаций (Communications

Security) безопасность беспроводных сетей (Wireless

Security) физическая безопасность (Physical Security)

Security Map

Perfect Security

Содержание

Терминология Описание методологии тестирования

(модули, секции) Описание примеров тестов по каждой

секции Пример документов для сбора

информации и выдачи результатов

Выводы

Интересный пример открытого фреймворка по организации процесса тестирования безопасности информационных систем

Позволяет взглянуть на безопасность приложения значительно более широко

Дает готовые примеры тестов и артефакты тестирования

Не «готове решение»

Вопросы?

[email protected]

www.securitywiki.ru