Download - Open Source Security Testing Methodology - Открытый фреймворк по тестированию безопасности
ОТКРЫТЫЙ ФРЕЙМВОРК ПО ТЕСТИРОВАНИЮ
БЕЗОПАСНОСТИ - OSSTMСергей Полаженко
Лаборатория тестированияМинск, Беларусь
Тестирование безопасности
оценка уязвимости программного обеспечения к различным атакам (Википедия)
Тестирование на проникновение
Метод оценки защищённости компьютерной системы или сети путём эмулирования атак от имени подозрительного (нелигитимного) субъекта, часто называемого как Black Hat Hacker, or Cracker (Википедия)
Хакер
(от hack — разрубать) — чрезвычайно квалифицированный ИТ-специалист, человек, который понимает самые основы работы компьютерных систем. Это слово также часто употребляется для обозначения компьютерного взломщика, что в общем случае неверно.(Википедия)
Популярные методологии
OSSTM - www.osstmm.org OWASP - www.owasp.org
Популярные стандарты
Cobit ISO/IEC 2700x SANS ISSAF NIST PCI DSS
ISECOM
Pete Herzog 2001 год Испания, Барселона OSSTM(M) Hacker Highschool Accredited trainings
OSSTM
Ожидается 3.0 версия cо дня на день В декабре 2006 года вышла v. 2.2 В 2003 году вышла v. 2.0 Старт 2001 год
OSSTM buzz
Версия 3.0 анонсирована в 2007 году В данный момент предлагается за
деньги золотым и серебрянным подписчикам
Соответствие бесконечному множеству норм и стандартов
Лицензия v. 2.0
Версия 2.0 (выпущена в феврале 2003) ссылается к GPL, но также содержит изречение на первой странице документа:
"Any information contained within this document may not be modified or sold without the express consent of the author."
Лицензия v. 2.2
Версия 2.2 (выпущена в ноябре 2006) изречение на первой странице документа:
"Any information contained within this document may not be modified or sold without the express consent of ISECOM. OSSTMM for free dissemination under the Open Methodology License (OML) and CC Creative Commons 2.5 Attribution-NonCommercial-NoDerivs"
No Open Source!
"Open Methodology License":www.isecom.org/oml.shtml
CC Creative Commons 2.5 with NoDerivs and NonCommercial
Никто не может: выпускать новые версии OSSTMM (кроме ISECOM) использовать OSSTMM для коммерческих нужд
(продажа в качестве книги) Создавать коммерческое ПО, основанное на
OSSTM
OSSTM
Цель
Обеспечить научную методологию для достаточной точной характеристики безопасности при помощи экзаменации и корреляции согласованным и надёжным способом
Стандартизация подхода к тестированию безопасности
To make security have sense
Задачи
Обеспечить руководства, следуя которым позволит аудитору выполнить сертифицированный OSSTMM аудит
Тест совершён полностью Тест охватил все необходимые каналы Тест не нарушает законных прав
задействованных лиц Результаты тесты измеримы Результаты теста последовательны и повторяемы Результаты теста содержат только факты,
полученные непосредственно из теста
Виды тестирования
Scope
безопасность информации (Information Security)
безопасность процесса (Process Security) безопасность Интернет технологий (Internet
Technology Security) безопасность коммуникаций (Communications
Security) безопасность беспроводных сетей (Wireless
Security) физическая безопасность (Physical Security)
Security Map
Perfect Security
Содержание
Терминология Описание методологии тестирования
(модули, секции) Описание примеров тестов по каждой
секции Пример документов для сбора
информации и выдачи результатов
Выводы
Интересный пример открытого фреймворка по организации процесса тестирования безопасности информационных систем
Позволяет взглянуть на безопасность приложения значительно более широко
Дает готовые примеры тестов и артефакты тестирования
Не «готове решение»