Open Source Security Testing Methodology Manual
Author
Albert FloresOpen Source Security Testing Methodology Manual (OSSTMM) je doporučující metodika - manuál o bezpečnostních zkouškách a analýzách vytvořená Petem Herzogem. OSSTMM zastřešuje ISECOM (Institute for Security and Open Methodologies), neziskový institut pro bezpečnost a s bezpečností související volně šiřitelné metodiky.
Samotná metodika OSSTMM, pokrývající „co, kdy, kde“, je k použití zdarma a distribuovaná v rámci OML (Open Methodology License).
Nejnovější verze, OSSTMM 3, uvádí, že se jedná o „sbírku ověřených fakt, jež jsou přínosná a progresivní ke zlepšení provozní bezpečnosti“.
Historie
Při vzpomínkách Pete Herzog uvádí, že ho cestou vlakem napadla myšlenka, jakým způsobem lze provádět testování bezpečnosti v souladu s vědeckou metodou. Po vystoupení z vlaku řekl své manželce: „Myslím, že jsem přišel na něco velkého. +more“ První verze OSSTMM byla zveřejněna v lednu 2001 a byla dlouhá 12 stran. Nejnovější verze OSSTMM 3 je více než sto dvacetistranná.
Tvůrce OSSTMM Pete Herzog společně s fotografem a počítačovým odborníkem Martem Barcelónem ve spolupráci s ISECOM manuál začali podporovat a udržovat v nekomerčním duchu, čímž OSSTMM dosáhlo poměrně značné popularity. Původní první OSSTMM byla vydána pod doménou ideahamster. +moreorg (dárek od bratra Petra).
Obsah
1. kapitola
První kapitola OSSTMM 3 se nazývá „Vše, co potřebujete vědět“. Jedná se o úvod do nových osvědčených postupů vytváření bezpečnostních zkoušek podle vědeckých metod. +more Tato kapitola je psána méně formálně, než jsou psány akademické dokumenty - tak, aby byla přístupná širšímu publiku.
2. kapitola
Druhá kapitola se jmenuje „Co je třeba udělat“. Týká se sedmi kroků bezpečnostních zkoušek.
Ostatní kapitoly
Analýza * Bezpečnostní metriky * Důvěra v metriky * Metodika práce * Testování: lidské, materiální a testování bezdrátových, telekomunikačních a digitálních sítí * Dodržování *Certifikace * Testovací šablony
Související projekty
Bad People Project: Tento projekt přináší představu o tom, co si děti představují pod pojmem „špatný člověk“. Cílem projektu je budování bezpečnosti a zvyšování povědomí dětí o bezpečnosti na základě pochopení toho, jak dítě vidí zlo. +more * SCARE (Source Code Analysis and Risk Evaluation): Studie věnující se hodnocení rizik na základě analýzy zdrojového kódu. * Hacker Highschool: Série dvanácti lekcí určených pro výuku bezpečnosti počítačových sítí zajímavým způsobem. Lekce jsou volně k dispozici (přeloženy do pěti jazyků). * Child Safety and Security Methodology: Metodika pro výuku bezpečnosti dětí prostřednictvím her a příběhů. * Home Security Methodology: Domácí bezpečnostní metodika pro zajištění domů se zaměřením na jejich ochranu před různými hrozbami. * National Security Methodology: Národní bezpečnostní metodika. Cílem projektu je zlepšit národní bezpečnost. Oslovuje širší publikum bez bezpečnostního žargonu. Tento materiál však nebyl vypuštěn kvůli možnému zneužití - proto je v současnosti přepisován.
Certifikace
ISECOM svůj nezávislý výzkum platí prostřednictvím profesionálních certifikací, které se zaměřují na aplikování dovedností v odborném testování bezpečnosti, analýze, metodických postupech a profesních standardech. Jednotlivci mohou získat certifikací v následujících OSSTMM rolích: * Profesionální bezpečnostní tester (OPST) * Profesionální bezpečnostní analytik (OPSA) * Profesionální bezpečnostní expert (OPSE) * Expert zabezpečení bezdrátových sítí (OWSE) * Certifikovaný Trust Analytik (CTA)
Jedná se o oficiální certifikace ISECOM, které poukazují na znalosti a dovednosti, které jsou potřebné k výkonu daných rolí v souladu s OSSTMM.