Co znajdziesz w tym artykule?
OSSTMM – podstawowa terminologia i przeznaczenie
OSSTMM zawiera wskazówki dotyczące testowania bezpieczeństwa operacyjnego na pięciu sekcjach zwanych kanałami. Zostały one zorganizowane tak aby organizacje mogły zrozumieć bezpieczeństwo w pełnym zakresie oraz określić poprawność działania ich procesów bezpieczeństwa. Chodzi o realne działanie wdrażanych procesów, a nie tylko o to, jak teoretycznie mają działać.
O OSSTMM wspominaliśmy w artykule 7 Standardów Wspomagających Bezpieczeństwo IT.
Przypominając – Opracowany przez firmę ISECOM dokument OSSTMM zawiera kompletną metodologie testowania, analizy i pomiaru bezpieczeństwa operacyjnego w celu zbudowania jak najlepszych zabezpieczeń. Opisuje on wiele aspektów bezpieczeństwa. Projekt jest całkowicie darmowy. Metodologia ta jest dobrze rozpoznawalna zwłaszcza w środowisku audytu i testerów bezpieczeństwa. Dokument jest bardzo obszerny i szczegółowy.
Wstęp do OSSTMM
W metodologii OSSTMM (Open Source Testing Methodology Manual) chodzi o precyzyjny pomiar skuteczności zabezpieczeń. O całościowe podejście do procesu bezpieczeństwa. W całej metodologii chodzi o dobranie zestawu najlepszych praktyk. Już we wstępie możemy natknąć się na garść wskazówek:
- nie zakładaj, że rozwiązanie zabezpieczające, produkt lub proces będzie zachowywał się podczas użytkowania operacyjnego tak, jak opisuje to teoria. Inaczej mówiąc ta metodologia powie Ci, czy Twoje zabezpieczenia działają zgodnie z założeniami
OpSec to połączenie separacji i kontroli. W ramach OpSec, aby zagrożenie było skuteczne, musi:
- wchodzić w bezpośrednią lub pośrednią interakcję z zasobem. Aby oddzielić zagrożenie od zasobu, należy unikać możliwej interakcji. Dlatego możliwe jest posiadanie całkowitego (100%) bezpieczeństwa, jeśli zagrożenie i zasób są całkowicie oddzielone od siebie.
Aby zapewnić prawdziwe bezpieczeństwo zasobów, wymagane są różne rodzaje kontroli. Jednak kontrole również mogą zwiększyć liczbę interakcji w ramach zasobu, co oznacza, że niekoniecznie więcej kontroli da lepszy rezultat.
Zaleca się stosowanie różnych rodzajów kontroli operacyjnych. Więcej kontroli tego samego typu nie wpłynie na ogólne bezpieczeństwo. Aby lepiej zrozumieć to jak OpSec działa w środowisku operacyjnym, należy go zredukować do jego elementów. Elementy te pozwalają określić ilościowo powierzchnię ataku (Attack Surface), czyli brak konkretnej separacji i kontroli funkcjonalnej, która istnieje dla tego wektora (Vector) czyli kierunku interakcji.
Dlaczego powinieneś się zainteresować OSSTMM?
OSSTTMM opisuje sposób zapewniania bezpieczeństwa DOWOLNEGO systemu informatycznego. Nie skupia się tylko np. na systemach. Definiuje on 5 sekcji zwanych kanałami (Channels), które będą bezpośrednio wskazywać na charakter testów. Kanały zdefiniowane przez OSSTMM to:
- Ludzki
- Fizyczny
- Bezprzewodowy
- Telekomunikacyjny
- Sieci danych
Dokładniej opiszemy te kanały oraz co znaczą w praktyce w kolejnych artykułach w ramach tej serii.
Dobrze mieć świadomość zalet i wad tego standardu. Poniżej znajdziesz najważniejsze naszym zdaniem:
Zalety
- Dokładny opis sposobu testowania różnego rodzaju infrastruktury
- Spojrzenie metodyczne oraz pentesterskie
- Dobrze zdefiniowany, kompleksowy i otwarty standard
- Pozwala szczegółowo poznać stan bezpieczeństwa badanego systemu/aplikacji
- Duża rozpoznawalność w branży
Wady
- Nie nadaje się do jednorazowych i szybkich testów bezpieczeństwa
- BARDZO OBSZERNY dokument, który nie powinien być poznawany i używany wybiórczo
- Skomplikowany sposób liczenia wyników
- Mało kontekstu pentesterskiego
Pomimo istotnych wad i dość dużej bariery wejścia OSSTMM jest wartym poznania i stosowania standardem testów bezpieczeństwa.
Treminologia – czy mówimy o tym samym?
Nowe spojrzenie na bezpieczeństwo wymaga nowej terminologii.
Termin | Definicja |
Powierzchnia Ataku (Attack Surface) | Luka w separacji lub procesie kontroli, dla której istnieje wektor ataku. |
Wektor ataku (Attack Vector) | Podatny kierunek interakcji |
Kontrola (Controlls) | Kontrola wpływów i redukcji strat po ewentualnym ataku |
Ograniczenia ( Limitations) | Wszystkie luki i słabości w zabezpieczeniach. Mogą być zaobserwowane i zweryfikowane. |
Operacyjność (Operations) | Brak zabezpieczeń spowodowany koniecznością ich zniesienia, np otwarcie konkretnego portu związanego z usługą |
Idealne bezpieczeństwo (Perfect Security) | Złoty środek pomiędzy bezpieczeństwem i kontrolingiem a ograniczeniami i operacyjnością. |
Porowatość (Porosity) | Właściwość zabezpieczenia polegająca na dobieraniu zasad zabezpieczeń. |
Bezpieczeństwo (Safety) | Forma ochrony, w której zagrożenie lub jego skutki są kontrolowane. |
Bezpieczeństwo (Security) | Forma ochrony, w której tworzona jest separacja między aktywami i zagrożeniami. Obejmuje to m.in. eliminację jednego z zasobów lub zagrożenie. Aby być bezpiecznym, zasób jest usuwany ze strefy zagrożenia lub zagrożenie jest usunięte z zasobu. |
Rav | Rav jest miarą skali powierzchni ataku, ilości niekontrolowanych interakcji z celem, które są obliczane za pomocą równowagi ilościowej między porowatością, ograniczeniami i kontrolami. |
Cel (Target) | Kierunek, który atakujesz. Składa się z aktywów i wszelkich zabezpieczeń, jakie może posiadać zasób. |
Wektor (Vector) | Kierunek interakcji. |
Słaby punkt (Vulnerability) | Luka lub błąd gdy autoryzowana strona nie może nawiązać interakcji z zasobem lub nieautoryzowana strona może nawiązać interakcje, która wymaga autoryzacji lub gdy nieautoryzowana strona może ukryć zasób lub swoje działania. |
Jeśli chcesz przeprowadzić analizę bezpieczeństwa zgodną z metodologią OSSTMM jako tester to powinieneś znać powyższe definicje nie tylko od strony teoretycznej, ale umieć to zidentyfikować i odpowiednio zinterpretować. Wiedza praktyczna jest podkreślana na każdym kroku.
Podsumowanie
Przewodnik po metodologii OSSTMM nie nauczy Was jak sprawdzić, czy podatność istnieje, czy nie. OSSTMM uczy, jak ocenić fakt istnienia lub nieistnienia podatności. Ze względu na holistyczne i kompleksowe podejście powinien być, w moim odczuciu, znacznie bardziej popularny. Prawdopodobnie dzieje się tak dlatego, że jest to bardzo obszerny dokument dość niepraktyczny w szybkich testach bezpieczeństwa. Dominuje w nim podejście audytowo procesowe, które również nie jest najpopularniejsze.
W tym wpisie dowiedziałeś się czym jest OSSTMM, jakie są jego zalety, wady oraz jakim “językiem” musisz nauczyć się posługiwać chcąc być z nim zgodny. W kolejnych artykułach przejdziemy przez kolejne zagadnienia aż do porad jak wykonywać testy w praktyce – a to wszystko na SecurityBezTabu.pl.