OSSTMM – Wprowadzenie cz. 4 - Security Bez Tabu

OSSTMM – Wprowadzenie cz. 4

Dalej w stronę OSSTMM, czyli o metodologii procesu

Definiowanie zakresu oraz procesu wykonywania testów bezpieczeństwa to jedno. Zupełnie inną sprawą jest zdefiniowanie jak powinny zostać testy przeprowadzone oraz jak powinniśmy obsłużyć pojawiające się błędy.

W tym artykule znajdziesz kontynuację zagadnień związanych z metodologią OSSTMM. Warto abyś przed przeczytaniem tego artykułu zapoznał się z poprzednimi częściami:
OSSTMM – Wprowadzenie cz. 1 
OSSTMM – Wprowadzenie cz. 2
OSSTMM – Wprowadzenie cz. 3.

Proces czteropunktowy

The Four Point Process (4PP) – proces czteropunktowy definiuje test od początku do końca. Jest to procedura, którą wykonuje doświadczona grupa testerów. 4PP to konkretne kierunki, a środki i raportowanie są w rzeczywistości relatywistyczne.

Interakcje w ramach 4PP
  1. Indukcja: (Z) ustalanie zasadniczych prawd o celu z faktów środowiskowych. Analityk ustala fakty dotyczące celu ze środowiska, w którym znajduje się cel. Cel jest pod wpływem otoczenia, jego zachowanie będzie możliwe do określenia w ramach tego wpływu. Tam, gdzie na cel nie ma wpływu otoczenie, istnieje anomalia, którą należy zrozumieć.
  1. Dochodzenie: (C) badanie emanacji docelowych. Analityk bada emanacje z celu oraz wszelkie ślady lub wskaźniki tych emanacji. System lub proces zazwyczaj pozostawia ślad swojego istnienia poprzez interakcje z otoczeniem.
  1. Interakcja: (A/B) jak testy echa, standardowe i niestandardowe interakcje z celem w celu wywołania odpowiedzi. Analityk wyśle zapytanie lub wpłynie na  obiekt, aby wywołać odpowiedzi do analizy.
  1. Interwencja: (X/Y/Z) zmiana interakcji zasobów z celem lub między celami. Analityk będzie interweniował za pomocą zasobów, których cel wymaga od swojego środowiska lub interakcji z innymi celami, aby zrozumieć, w jakich ekstremalnych warunkach może on działać prawidłowo.

Trifecta

Metodologia testowania bezpieczeństwa Trifecta  ma solidną podstawę, która może wydawać się dość skomplikowana, ale w praktyce jest prosta. Została zaprojektowana jako schemat blokowy, ale w przeciwieństwie do standardowego schematu blokowego, przepływ, reprezentowany przez strzałki, może przebiegać zarówno do tyłu, jak i do przodu. W ten sposób jest bardziej zintegrowany i choć początek i koniec są jasne, audyt ma większą elastyczność. Analityk tworzy unikalną ścieżkę przez metodologię w oparciu o cel, rodzaj testu, czas przeznaczony na audyt oraz zasoby zastosowane w teście. Jednym z fundamentów OSSTMM jest dokładne rejestrowanie tego, co nie było testowane.

Porównując to, co zostało przetestowane i głębokość testowania z innymi testami, możliwe jest zmierzenie bezpieczeństwa operacyjnego (OpSec) na podstawie wyników testów. Zastosowanie tej metodologii spełni zatem cel analityka, jakim jest udzielenie odpowiedzi na następujące trzy pytania, które składają się na Trifectę:

1. Jak działają bieżące operacje?

Wyprowadzone metryki można zastosować do określenia obszarów w zakresie  problemów, które należy rozwiązać. Miary w tej metodologii mają na celu mapowanie problemów na różne sposoby, aby pokazać, czy problem jest ogólny, czy bardziej szczegółowy.

2. Czy działają w sposób inny niż założony?

Dostęp do polityk lub oceny zaufania (lub nawet ryzyka) będzie mapowany z powrotem do różnych kategorii metryk. Kategorie dostarczają aktualnych wartości stanu, przy których można dokonać porównania ze stanem optymalnym zgodnie z polityką i stanem ocenianym.

3. Jak muszą pracować?

Tam, gdzie metryki nie wykazują luki między optymalnymi wartościami polityki lub zaufania (lub ryzyka), a test bezpieczeństwa pokazuje, że rzeczywiście istnieje problem z ochroną niezależnie od mechanizmów kontrolnych zaimplementowanych w polityce, możliwe jest wyraźne określenie problemu.

Często, nawet bez przypisania do polityki, rozbieżność między wdrożonymi kontrolami a utratą ochrony jest po prostu ewidentna.

Połączenie Trifecty i Procesu Czteropunktowego

Trifecta w połączeniu z Procesem Czteropunktowym zapewnia zasadniczo dokładne zastosowanie tej metodologii. Kroki w tej aplikacji można podsumować w następujący sposób:

  1. Pasywnie zbieraj dane dotyczące normalnych operacji, aby zrozumieć cel.
  2. Aktywnie testuj operacje, mieszając operacje wykraczające poza normalną linię bazową.
  3. Analizuj dane otrzymane bezpośrednio z testowanych operacji.
  4. Analizuj dane pośrednie z zasobów i operatorów (tj. pracowników, programów).
  5. Korelacja i uzgodnienia danych z bezpośrednich (krok 3) i pośrednich (krok 4) wyników testów danych w celu określenia procesów bezpieczeństwa operacyjnego.
  6. Określ i uzgodnij błędy.
  7. Wyprowadź metryki zarówno z normalnych, jak i zmienionych operacji.
  8. Skoreluj i pogódź informację między normalnymi i odbiegającymi od normy operacjami (kroki 1 i 2) w celu określenia optymalnego poziomu ochrony i kontroli, który byłby najlepszy do wdrożenia.
  9. Odwzoruj optymalny stan operacji (krok 8) na procesy (krok 5).
  10. Utwórz analizę luk, aby określić, jakie ulepszenia są potrzebne dla procesów regulujących niezbędną ochronę i kontrolę (krok 5), aby osiągnąć optymalny stan operacyjny (krok 8) od obecnego.

Obsługa błędów

Wiarygodność testu bezpieczeństwa nie polega na sumie jego błędów, ale raczej na wyjaśnieniu błędów. Błędy mogą nie być winą analityka, zrozumienie, w jaki sposób i gdzie mogą występować błędy w teście, jest o wiele bardziej uzasadnione niż oczekiwanie, że analityk przeprowadzi testy bez błędów. Co więcej, to właśnie analityk podejmuje próby tego, co nie powinno być możliwe, co najprawdopodobniej napotka błędy. 

Typ błęduOpis
Fałszywie pozytywneCoś, co zostało uznane za prawdziwe, w rzeczywistości okazuje się fałszywe. Odpowiedź docelowa wskazuje określony stan jako prawdziwy, chociaż w rzeczywistości stan ten nie jest prawdziwy. Fałszywy wynik pozytywny często pojawia się, gdy oczekiwania lub założenia analityka dotyczące tego, co wskazuje na dany stan, nie są zgodne z rzeczywistymi warunkami, które rzadko są czarno-białe.
Fałszywie negatywneCoś uznanego za fałszywe jest w rzeczywistości ujawniane jako prawdziwe. Odpowiedź docelowa wskazuje określony stan jako nieprawdziwy, chociaż w rzeczywistości stan ten jest prawdziwy. Fałszywy negatyw może być niebezpieczny, ponieważ jest błędną diagnozą bezpiecznego stanu, gdy nie istnieje.
Szary pozytywnyCoś odpowiada na wszystko, nawet jeśli jest fałszywe. Reakcja docelowa wskazuje, że dany stan jest prawdziwy, jednak cel jest zaprojektowany tak, aby odpowiadał na dowolną przyczynę w tym stanie, niezależnie od tego, czy jest prawdziwy, czy nie. Ten rodzaj zabezpieczenia poprzez ukrywanie może być niebezpieczny, ponieważ nie można zagwarantować, że iluzja będzie działać tak samo dla wszystkich bodźców.
Szary negatywnyCoś odpowiada fałszywemu na wszystko, nawet jeśli jest prawdziwe. Odpowiedź docelowa wskazuje określony stan jako nieprawdziwy, jednak cel jest zaprojektowany tak, aby odpowiadał na dowolną przyczynę w tym stanie, niezależnie od tego, czy jest prawdziwy, czy nie. Ten rodzaj zabezpieczenia poprzez ukrywanie może być niebezpieczny, ponieważ nie można zagwarantować, że iluzja będzie działać tak samo dla wszystkich bodźców.
WidmoCoś odpowiada albo prawda lub fałsz, ale stan rzeczywisty jest ujawniany jako nieznany. Odpowiedź docelowa wskazuje określony stan jako prawdziwy lub fałszywy, chociaż w rzeczywistości stan ten nie może być poznany.
NiedyskrecjaCoś odpowiada albo prawda, albo fałsz, w zależności od tego, kiedy zostanie o to poproszone. Odpowiedź docelowa wskazuje określony stan jako prawdziwy lub fałszywy, ale tylko w określonym czasie, który może, ale nie musi, być zgodny z wzorcem. Jeśli odpowiedź nie może zostać zweryfikowana w momencie zmiany stanu, może to uniemożliwić analitykowi zrozumienie innego stanu. Niedyskrecja może być niebezpieczna, ponieważ może prowadzić do fałszywego informowania o stanie bezpieczeństwa.
Błąd entropiiOdpowiedź jest zagubiona lub pomylona w szumie sygnału. Odpowiedź docelowa nie może dokładnie wskazać konkretnego stanu jako prawdy lub fałszu ze względu na wysoki stosunek szumu do sygnału. Ten rodzaj błędu rzadko występuje w warunkach laboratorium, jednak jest to normalne zjawisko w niekontrolowanym środowisku. Entropia może być niebezpieczna, jeśli nie można przeciwdziałać jej efektom.
FałszowanieOdpowiedź zmienia się w zależności od tego, jak i gdzie zadano pytanie. Odpowiedź docelowa wskazuje konkretny stan jako prawdziwy lub fałszywy, chociaż w rzeczywistości stan jest zależny od w dużej mierze nieznanych zmiennych ze względu na błąd celu. Ten rodzaj zabezpieczenia poprzez ukrywanie może być niebezpieczny, ponieważ błąd będzie się zmieniał, gdy testy pochodzą z różnych wektorów lub zastosują różne techniki. Jest również prawdopodobne, że cel nie jest świadomy tego uprzedzenia.
Błąd próbkowaniaOdpowiedź nie może reprezentować całości, ponieważ zakres został zmieniony. Celem jest tendencyjna próbka większego systemu lub większej liczby możliwych stanów. Ten błąd zwykle występuje, gdy organ ma wpływ na stan operacyjny celu w czasie trwania testu.
Może to wynikać z określonych ograniczeń czasowych w teście lub stronniczości testowania tylko komponentów oznaczonych jako „ważne” w systemie. Ten rodzaj błędu spowoduje błędne przedstawienie ogólnego bezpieczeństwa operacyjnego.
OgraniczenieOdpowiedź zmienia się w zależności od ograniczeń używanych narzędzi. Ograniczenia ludzkich zmysłów lub możliwości sprzętu wskazują, że dany stan jest prawdziwy lub fałszywy, chociaż stan faktyczny jest nieznany. Ten błąd nie jest spowodowany złym osądem lub niewłaściwym wyborem sprzętu, a raczej nierozpoznaniem narzuconych ograniczeń lub ograniczeń.
PropagacjaZakłada się, że odpowiedź dotyczy jednego lub drugiego stanu, chociaż nie przeprowadzono żadnego testu.Jak sama nazwa wskazuje, proces, który nie otrzymuje informacji zwrotnej, w przypadku gdy błędy pozostają nieznane lub ignorowane, będą propagować kolejne błędy w miarę kontynuowania testów. Błędy propagacji mogą być niebezpieczne, ponieważ błędy propagowane na początku testowania mogą nie być widoczne podczas analizy wniosków. Ponadto w celu wykrycia błędów propagacji wymagane jest przestudiowanie całego procesu testowego.
Błąd ludzkiOdpowiedź zmienia się w zależności od umiejętności analityka. Błąd spowodowany brakiem umiejętności, doświadczenia lub zrozumienia nie jest wynikiem uprzedzeń i zawsze jest czynnikiem, który jest obecny, niezależnie od metodologii lub techniki. Podczas gdy doświadczony analityk może popełniać błędy propagacyjne, osoba bez doświadczenia jest bardziej skłonna nie rozpoznać błędu ludzkiego, czego doświadczenie uczy rozpoznawać i kompensować. Statystycznie istnieje pośredni związek między doświadczeniem a ludzkim błędem. Im mniej doświadczenia ma analityk, tym więcej błędów ludzkich może zawierać audyt.

Podsumowanie

Możemy po raz kolejny utwierdzić się w tym, że metodologia OSSTMM ma dosyć specyficzne definicje pewnych słów i terminów. W kolejnym artykule przejdziemy między innymi do formularza wyników testów.

Wynikom testów często towarzyszą rekomendowane rozwiązania lub oferty konsultingowe, z których żadna nie jest wymagana w audycie OSSTMM. Zalecane rozwiązania mogą stanowić wartość dodaną do testu bezpieczeństwa, ale nie są uważane za obowiązkowe. Aby zmierzyć zarówno dokładność testu,
 jak i bezpieczeństwo celu, zastosowanie tej metodologii powinno zakończyć się raportem z audytu testu bezpieczeństwa (Security Test Audit Report STAR), dostępnym w podręczniku lub na stronie internetowej ISECOM.

STAR wymaga następujących informacji:

  1. Data i godzina testu
  2. Czas trwania testu
  3. Nazwiska odpowiedzialnych analityków
  4. Typ testu
  5. Zakres testu
  6. Indeks (metoda wyliczenia celu)
  7. Testowany kanał
  8. Wektor testu
  9. Miernik powierzchni ataku
  10. Które testy zostały zakończone, nieukończone lub częściowo zakończone i w jakim zakresie
  11. Wszelkie kwestie dotyczące testu i ważności wyników
  12. Jakiekolwiek procesy wpływające na ograniczenia bezpieczeństwa
  13. Wszelkie niewiadome lub anomalie