Open Source Security Testing Methodology Manual
OSSTMM
Atviro kodo saugumo testavimo metodika (AKSTM)
Apibrėžimas
Kas yra AKSTM? Bet koks saugumo testavimas, nesilaikantis griežtos moksliškai pagrįstos metodikos yra beveik bevertis ir beprasmis, kadangi iš jo neišplaukia aiškūs rezultatai ir neįmanoma suformuluoti gerinimo rekomendacijas. Specifinės praktikos pateiktos šitoje metodikoje sukuria pagrindą saugumo auditui atlikti, matus įvertinti saugumą, vykdymo taisykles auditoriams, siekiantiems nešališkos ir logiškos analizės ir standartui, pagal kurį galėtų būti formuojami sertifikuoti saugumo audito ataskaitos.
Paaiškinimai
Kodėl AKSTM? Pasak Peter Herzog, OSTMM kūrėjo, liet. AKSTM [FB06] viena pagrindinių saugumo testavimo problemų – aiškios saugumo testavimo metodikos nebuvimas. Dažniausiai testuotojas tikrina sistema pasitelkdamas tik savo patirtį, žinias, vaizduotę. Toks testavimas yra prastai organizuotas ir todėl nėra efektyvus. AKSTM siekia duoti bazinį paketą nurodymų kas turėtų būti tikrinama ir kaip tas turi būti atliekama. Ji neleidžia nukrypti ir įvertinti visus svarbius aspektus, nedarant jokių prielaidų, kurie yra pateikiami kaip faktai.
Kodėl saugumo testavimas yra svarbu? Poreikis saugumui informacinėse sistemose niekada nebuvo didelis. Vis daugiau kompanijų tampa priklausomos nuo informacinių sistemų ir net mažas saugumo incidentas gali kainuoti labai daug. Tačiau neretai saugumo testavimui teikiamas nepakankamas dėmesys, kadangi tai brangi veikla, o jos nauda sunkiai apčiuopiama. Programinės įrangos saugumo testavimas tikslas – užtikrinti sistemos korektišką veikimą esant piktadariškai atakai. Esminis skirtumas nuo sistemos gedimo yra tas, kad egzistuoja intelektualus priešas siekiantis sąmoningai pakenkti sistemai. Šiais laikais neužtenka testuoti tik programinės įrangos saugumo mechanizmus. Testuotojai turėtų taikyti rizikomis-grįstą požiūrį, kuris yra surištas su sistemos architektūros ypatybėmis ir užpuoliko mąstymo būdų, kad saugumo efektyvumas galėtų būti adekvatus. Nustačius rizikas ir sukūrus testus, patikrinančias šitas rizikas, saugumo testuotojas gali tinkamai numatyti kurioje vietoje ataka gali būti sėkmingai įvykdyta. Be to, galima apskaičiuoti galima žalą, kurią patirs sistemos vartotojai.
Kas yra saugumo testavimas? Saugumo testavimas yra terminas, jungiantis visų formų ir stilių saugumo testus nuo etiško 'įsilaužimo' iki praktinio audito. AKSTM (angl. OSSTMM) išskiria tokius testų tipai:
Aklas Auditorius vykdo patikrinimą be išankstinių žinių apie atakuojamos sistemos kanalus, gynybines priemones arba išteklius. 'Auka' yra pasiruošusi auditui ir žino visas būsimo testavimo detales. Toks auditas yra visų pirmą auditoriaus sugebėjimų patikrinimas.
Dvigubai aklas (Juodoji dėžė) Auditorius vykdo patikrinimą be išankstinių žinių apie atakuojamos sistemos kanalus, gynybines priemones arba išteklius. 'Auka' iš anksto nėra perspėjama apie audito apimtį, naudojamus kanalus arba atakų vektorius. Toks testavimas patikrina auditoriaus sugebėjimus, bei aukos pasiruošimą nežinomoms atakoms. Audito mąstai priklauso tik nuo auditoriaus žinių ir efektyvumo.
Pilkoji dėžė Auditorius vykdo patikrinimą su ribotomis žiniomis apie atakuojamos sistemos gynybines priemones arba išteklius, tačiau pilnai žino naudojamus kanalus. 'Auka' yra pasiruošusi auditui ir žino visas būsimo testavimo detales. Toks testavimas patikrina auditoriaus sugebėjimus, bei aukos pasiruošimą nežinomoms atakoms. Audito mąstai priklauso tik nuo auditoriaus žinių ir pateiktos informacijos išsamumo.
Dviguba pilkoji dėžė (Baltoji dėžė) Auditorius vykdo patikrinimą su ribotomis žiniomis apie atakuojamos sistemos gynybines priemones arba išteklius, tačiau pilnai žino naudojamus kanalus. 'Auka' yra pasiruošusi auditui ir žino testavimo apimtį ir laiką, bet ne naudojamus kanalus arba atakos vektorius.. Toks testavimas patikrina auditoriaus sugebėjimus, bei aukos pasiruošimą nežinomoms atakoms. Audito mąstai priklauso tik nuo auditoriaus žinių ir pateiktos informacijos išsamumo.
Krištolinė dėžė Ir auditorius ir 'auka' žino visas detales ateinančio testavimo. Toks testavimas patikrina taikinio apsauga, bet negali įvertinti pasiruošimą nežinomoms atakoms. Pagrindinis privalumas – išsamumas, kadangi testuotojas turi pilną testų apžvalga ir gautų rezultatų, įskaitant tuos, į kuriuos nebuvo gautas atsakymas. Audito mąstai priklauso tiek nuo auditoriaus žinių, tiek nuo pateiktos informacijos išsamumo.
Atvirkštinis Auditorius turi pilną informaciją apie atakuojamą sistemą, bet 'auka' neturi jokios informacijos apie planuojamas atakas. Pagrindinis testavimo tikslas – 'aukos' pasiruošimas nežinomoms atakoms. Audito mąstai priklauso tiek nuo auditoriaus žinių ir kūrybiškumo, tiek nuo pateiktos informacijos išsamumo ir tikslumo.
Pagrindiniai naudojami terminai:
Sužeidžiamumų paieška (angl. Vulnerability Scanning) – automatiškas patikrinimas, ieškant žinomų Sužeidžiamųjų sistemoje arba sistemų tinkle.
Saugumo skanavimas - silpnybių paieška, įskaitant tinklo silpnybių atradimą, rankinį privilegijuoto priėjimo gavimą ir profesionalią, adaptuotą analizę.
Prasiskverbimo testavimas (angl. Penetration Testing) – projektas, turintis konkretų tikslą gauti naudą arba trofėjų, įskaitant privilegijuoto priėjimo gavimas nustatytais būdais.
Rizikos įvertinimas – saugumo analizė, vykdoma per interviu ir vidurinės grandies tyrimų, įskaitant verslinį pagrindimą, teisinį pagrindimą ir dalykinės srities pagrindimą.
Saugumo auditas – tradiciškai reiškia praktinį, rankinę, privilegijuotą operacinės sistemos ir taikomųjų programų sistemoje arba sistemų tinkle saugumo inspekciją.
Etiškas įsilaužimas – Prasiskverbimo testavimas, kurios tikslas yra rasti trofėjų per tinklą ir per nustatytą laiką
Saugumo testavimas (karinis analogas – Padėties įvertinimas) – projektiškai-orientuotas sistemos arba sistemų tinklo rizikų įvertinimas analizuojant saugumo skanavimo rezultatus.
Naudota literatūra
1. Interview su Peter Herzog, OSSTMM kūrėju. http://www.securityfocus.com/columnists/395 2. http://isecom.securenetltd.com/osstmm.en.2.2.pdf 3. The Open Source Security Testing Methodology Manual 3.0. http://www.isecom.org/mirror/OSSTMM.3.pdf