OSSTMM – Wprowadzenie cz. 3 - Security Bez Tabu

OSSTMM – Wprowadzenie cz. 3

Idąc dalej na drodze do zrozumienia OSSTMM. Od czego zacząć?

Testowanie to skomplikowana sprawa, a do wszystkiego, co skomplikowane, podchodzi się małymi, zrozumiałymi krokami, aby mieć pewność, że nie popełnisz żadnych błędów w trakcie. Powszechna mądrość mówi, że złożoność jest wrogiem bezpieczeństwa. Podczas testowania zabezpieczeń należy odpowiednio zarządzać złożonością. Odbywa się to poprzez prawidłowe zdefiniowanie testu bezpieczeństwa.

W tym artykule znajdziesz kontynuację zagadnień związanych z metodologią OSSTMM. Warto abyś przed przeczytaniem tego artykułu zapoznał się z OSSTMM – Wprowadzenie cz. 1 oraz OSSTMM – Wprowadzenie cz. 2.

Definiowanie testu bezpieczeństwa

Te 7 kroków doprowadzi Cię do rozpoczęcia właściwie zdefiniowanego testu bezpieczeństwa:

 1. Określ, co chcesz chronić.

Mechanizmy ochrony tych zasobów to Kontrole, które przetestujesz w celu zidentyfikowania Ograniczeń.

2. Zidentyfikuj obszar wokół zasobów.

A dokładniej obszar, który obejmuje mechanizmy ochrony oraz procesy lub usługi zbudowane wokół aktywów. To tutaj będzie miała miejsce interakcja z zasobami. To jest twoja strefa zaangażowania.

3. Zdefiniuj wszystko poza strefą zaangażowania

Zdefiniuj czego potrzebujesz, aby Twoje aktywa działały. Może to obejmować rzeczy, na które możesz nie mieć bezpośredniego wpływu, takie jak elektryczność, żywność, woda, powietrze, stabilne podłoże, informacje, ustawodawstwo, przepisy i rzeczy, z którymi możesz pracować, takie jak suchość, ciepło, chłód, przejrzystość, kontrahenci, współpracownicy, branding, partnerstwa i tak dalej. Policz także to, co zapewnia sprawność infrastruktury, takie jak procesy, protokoły i nieprzerwane zasoby. To jest twój zakres testowy.

4. Zdefiniuj, w jaki sposób Twój zakres oddziałuje wewnątrz siebie i z otoczeniem.

Logicznie posegreguj zasoby w zakresie poprzez kierunki interakcji, takie jak od wewnątrz do zewnątrz, od zewnątrz do wewnątrz, od wewnątrz do wewnątrz, od działu A do działu B itd. To są twoje wektory. Idealnie, aby każdy wektor był oddzielnym testem, aby czas trwania każdego testu był krótki, zanim w środowisku nastąpi zbyt duża zmiana.

5. Określ, jaki sprzęt będzie potrzebny do każdego testu.

Wewnątrz każdego wektora interakcje mogą zachodzić na różnych poziomach. Poziomy te można sklasyfikować na wiele sposobów, jednak tutaj zostały one sklasyfikowane według funkcji jako pięć kanałów. Kanały mogą być ludzkie, fizyczne, bezprzewodowe, telekomunikacyjne i sieci danych. Każdy kanał musi być oddzielnie testowany dla każdego wektora.

6. Określ, czego chcesz się dowiedzieć i nauczyć z testu.

Czy będziesz testować interakcje z zasobami, czy też reakcję na aktywne środki bezpieczeństwa. Typ testu musi być zdefiniowany indywidualnie dla każdego testu, jednak istnieje sześć typowych typów określonych tutaj jako Blind, Double Blind, Gray Box, Double Grey Box, Tandem i Reversal.

Upewnij się, że zdefiniowany przez Ciebie test bezpieczeństwa jest zgodny z Rules of Engagement

Są to wytyczne zapewniające proces prawidłowego testu bezpieczeństwa bez tworzenia nieporozumień, lub fałszywych oczekiwań.

Końcowym wynikiem będzie pomiar Twojej Powierzchni Ataku. Powierzchnia ataku to niezabezpieczony zakres zasobu ze zdefiniowanego wektora.

Zakres

Zakres to całkowite możliwe operacyjne środowisko bezpieczeństwa dla dowolnej interakcji z dowolnym zasobem, które może obejmować również fizyczne elementy środków bezpieczeństwa. Składa się z trzech klas, z których istnieje pięć kanałów:

  • Kanały bezpieczeństwa telekomunikacyjnego i sieci danych klasy COMSEC,
  • Kanały bezpieczeństwa fizycznego i ludzkiego klasy PHYSSEC
  • Wireless Security Channel klasy SPECSEC.

Klasy pochodzą z oficjalnych oznaczeń używanych obecnie w branży bezpieczeństwa, rządzie i wojsku. Klasy służą do określenia obszaru studiów, badań lub działalności. Kanały są jednak specyficznym sposobem interakcji z zasobami. Zasobem może być wszystko, co ma wartość dla właściciela.

Zasoby mogą być:

  • własnością fizyczną (złoto, ludzie, plany, laptopy, typowy sygnał telefoniczny o częstotliwości 900 MHz)
  • własnością intelektualną(dane osobowe, relacje, marka, procesy biznesowe, hasła)

Często zakres wykracza daleko poza zasięg właściciela aktywów, ponieważ zależności wykraczają poza zdolność właściciela aktywów do samodzielnego świadczenia. Zakres wymaga, aby wszystkie zagrożenia były uważane za możliwe, nawet jeśli nie są prawdopodobne. Należy jednak jasno powiedzieć, że analiza bezpieczeństwa musi ograniczać się do tego, co mieści się w pewnym rodzaju pewności (nie mylić z ryzykiem, które nie jest pewnością, ale prawdopodobieństwem). Podczas gdy dokładny audyt bezpieczeństwa wymaga przetestowania wszystkich pięciu kanałów, w rzeczywistości testy są przeprowadzane i kategoryzowane według wymaganej wiedzy specjalistycznej analityka i wymaganego sprzętu do audytu.

KlasaKanałOpis
Fizyczne Zabezpieczenie
(PHYSSEC)
LudzkiObejmuje ludzki element komunikacji, w którym interakcja ma charakter fizyczny lub psychologiczny.
j. w.FizycznyTesty bezpieczeństwa fizycznego, w których kanał ma charakter zarówno fizyczny, jak i nieelektroniczny. Zawiera namacalny element bezpieczeństwa, w którym interakcja wymaga wysiłku fizycznego lub manipulacji przekaźnikiem energii.
Bezpieczeństwo widma
(SPECSEC)
BezprzewodowyObejmuje całą komunikację elektroniczną, sygnały i emanacje, które mają miejsce w znanym widmie EM. Obejmuje to ELSEC jako komunikację elektroniczną, SIGSEC jako sygnały i EMSEC, które są emanacjami nie związanymi kablami
Bezpieczeństwo Komunikacyjne
(COMSEC)
TelekomunikacyjneObejmuje wszystkie sieci telekomunikacyjne, cyfrowe lub analogowe, w których interakcja odbywa się za pośrednictwem ustalonych linii telefonicznych lub telefonicznych.
j. w.Sieć danychObejmuje wszystkie systemy elektroniczne i sieci danych, w których interakcja odbywa się za pośrednictwem ustalonych linii kablowych i przewodowych. Sieci danych

Chociaż kanały i ich podziały mogą być przedstawiane w dowolny sposób, w podręczniku OSSTMM są one zorganizowane jako rozpoznawalne środki komunikacji i interakcji. Ta organizacja ma na celu ułatwienie procesu testowania przy jednoczesnym zminimalizowaniu nieefektywnych kosztów ogólnych, które często są związane ze ścisłymi metodologiami.

Rodzaje testów

Sześć typów testów różni się w zależności od ilości informacji, które tester wie na temat celów, tego, co cel wie o testerze lub czego oczekuje od testu, oraz zasadności testu. Niektóre testy sprawdzą bardziej umiejętności testera niż faktyczne testowanie bezpieczeństwa celu.

Zgłaszając audyt, często istnieje wymóg dokładnego określenia rodzaju i zakresu przeprowadzonego testu. Zbyt często porównuje się audyty oparte na różnych typach testów, aby śledzić odchylenia od ustalonego punktu odniesienia. Jeśli dokładny typ testu nie jest dostępny dla zewnętrznego recenzenta lub organu regulacyjnego, sam audyt należy uznać za test ślepy, czyli taki, który ma najmniej wartości w zakresie dokładnego testu bezpieczeństwa.

1. Ślepy (Blind)

Analityk atakuje cel bez wcześniejszej wiedzy o jego obronie, zasobach lub kanałach. Cel jest przygotowany do audytu, znając z wyprzedzeniem wszystkie szczegóły audytu. Audyt w ciemno sprawdza przede wszystkim umiejętności analityka. Zakres i głębokość ślepego audytu może być tylko taki, na jaki pozwala wiedza i skuteczność analityka. W COMSEC i SPECSEC jest to często określane jako Ethical Hacking, a w klasie PHYSSEC jest to ogólnie określane jako War Gaming lub Role Playing.

2. Podwójnie ślepy(Double Blind)

Analityk atakuje cel bez wcześniejszej wiedzy o jego obronie, zasobach lub kanałach. Cel nie jest powiadomiony z wyprzedzeniem o zakresie audytu, testowanych kanałach lub wektorach testowych. Audyt z podwójnie ślepą próbą sprawdza umiejętności analityka i przygotowanie celu na nieznane zmienne wzburzenia. Zakres i głębokość każdego ślepego audytu może być tylko tak szeroki, jak pozwala na to wiedza i skuteczność analityka. Jest to również znane jako test czarnej skrzynki(Black Box Testing) lub test penetracyjny.

3. Szary (Gray Box)

Analityk angażuje cel mając ograniczoną wiedzę o jego obronie i aktywach oraz pełną wiedzę o kanałach. Cel jest przygotowany do audytu, znając z wyprzedzeniem wszystkie szczegóły audytu. Audyt szary sprawdza umiejętności analityka. Istotą testu jest wydajność. Szerokość i głębokość zależy od jakości informacji dostarczonych analitykowi przed testem oraz od odpowiedniej wiedzy analityka. Ten rodzaj testu jest często określany jako test podatności i jest najczęściej inicjowany przez odbiorcę jako samoocena.

4. Podwójnie szary (Double Gray Box)

Analityk angażuje cel mając ograniczoną wiedzę na temat jego obrony i zasobów oraz pełną wiedzę o kanałach. Cel jest powiadomiony z wyprzedzeniem o zakresie i ramach czasowych audytu, ale nie o testowanych kanałach lub wektorach testowych. Audyt podwójnie szary sprawdza umiejętności analityka i gotowość celu do nieznanych zmiennych agitacji. Szerokość i głębokość zależy od jakości informacji dostarczonych analitykowi i celowi przed testem, a także od odpowiedniej wiedzy analityka. Nazywa się to również testem White Box.

5. Tandem

 Analityk i sprawdzany cel są przygotowani do audytu, znając z wyprzedzeniem wszystkie szczegóły audytu. Audyt tandemowy sprawdza ochronę i kontrolę celu. Jednak nie może przetestować gotowości celu na nieznane zmienne pobudzenia. Prawdziwą naturą testu jest dokładność, ponieważ analityk ma pełny wgląd we wszystkie testy i ich odpowiedzi. Szerokość i głębokość zależy od jakości informacji dostarczonych analitykowi przed audytem (przejrzystość) oraz od odpowiedniej wiedzy analityka. Jest to często nazywane audytem wewnętrznym lub testem Crystal Box, a analityk jest często częścią procesu bezpieczeństwa.

6. Odwrotność (Reversal)

Analityk angażuje odbiorcę z pełną wiedzą o jego procesach i bezpieczeństwie operacyjnym, ale odbiorca nie wie, co, jak i kiedy będzie testował. Prawdziwą naturą tego testu jest kontrola przygotowania celu na nieznane zmienne i wektory pobudzenia. Szerokość i głębia zależy od jakości informacji dostarczanych Analitykowi oraz odpowiedniej wiedzy i kreatywności Analityka. Jest to również często nazywane ćwiczeniem Red Team.

Zasady podejmowania działań

Metodologia OSSTMM posiada zbiór 42 reguł. Reguły te określają wytyczne operacyjne akceptowanych praktyk w marketingu i sprzedaży testów, wykonywaniu prac testowych i postępowaniu z wynikami zadań testowych.

Można je podzielić na:

  1. Sprzedaż i marketing
  2. Ocena i oszacowanie dostawy
  3. Kontrakty i negocjacje
  4. Zakres testu
  5. Plan testu
  6. Wygląd testu i sam test
  7. Raportowanie

Podsumowanie

Możemy po raz kolejny utwierdzić się w tym, że metodologia OSSTMM ma dosyć specyficzne definicje pewnych słów i terminów. Zrozumienie ogromu materiału jest niezbędne w celu poprawnego wykonywania testów w tej metodologii, a także ograniczenie błędów i zwiększenie wiarygodności wykonywanych testów, po raz pierwszy pojawił się również zbiór zasad dotyczących sposobu wykonywania testów i kwestii finansowo-marketingowych.

W kolejnym artykule przejdziemy między innymi do opisu metodologii testowania bezpieczeństwa zgodnej z OSSTMM oraz obsługi błędów – a to wszystko na SecurityBezTabu.pl.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *