Open Source Security Testing Methodology Manual
Open Source Security Testing Methodology Manual (OSSTMM) je doporučující metodika – manuál o bezpečnostních zkouškách a analýzách vytvořená Petem Herzogem. OSSTMM zastřešuje ISECOM (Institute for Security and Open Methodologies), neziskový institut pro bezpečnost a s bezpečností související volně šiřitelné metodiky.
Samotná metodika OSSTMM, pokrývající „co, kdy, kde“, je k použití zdarma a distribuovaná v rámci OML (Open Methodology License).
Nejnovější[kdy?] verze, OSSTMM 3, uvádí, že se jedná o „sbírku ověřených fakt, jež jsou přínosná a progresivní ke zlepšení provozní bezpečnosti“.
Historie editovat
Při vzpomínkách Pete Herzog[kdo?] uvádí, že ho cestou vlakem napadla myšlenka, jakým způsobem lze provádět testování bezpečnosti v souladu s vědeckou metodou. Po vystoupení z vlaku řekl své manželce: „Myslím, že jsem přišel na něco velkého.“ První verze OSSTMM byla zveřejněna v lednu 2001 a byla dlouhá 12 stran. Nejnovější verze OSSTMM 3 je více než sto dvacetistranná.
Tvůrce OSSTMM Pete Herzog společně s fotografem a počítačovým odborníkem Martem Barcelónem ve spolupráci s ISECOM manuál začali podporovat a udržovat v nekomerčním duchu, čímž OSSTMM dosáhlo poměrně značné popularity. Původní první OSSTMM byla vydána pod doménou ideahamster.org (dárek od bratra Petra).
Obsah editovat
1. kapitola editovat
První kapitola OSSTMM 3 se nazývá „Vše, co potřebujete vědět“. Jedná se o úvod do nových osvědčených postupů vytváření bezpečnostních zkoušek podle vědeckých metod. Tato kapitola je psána méně formálně, než jsou psány akademické dokumenty – tak, aby byla přístupná širšímu publiku.
2. kapitola editovat
Druhá kapitola se jmenuje „Co je třeba udělat“. Týká se sedmi kroků bezpečnostních zkoušek.
Ostatní kapitoly editovat
- Analýza
- Bezpečnostní metriky
- Důvěra v metriky
- Metodika práce
- Testování: lidské, materiální a testování bezdrátových, telekomunikačních a digitálních sítí
- Dodržování
- Certifikace
- Testovací šablony
Související projekty editovat
- Bad People Project: Tento projekt přináší představu o tom, co si děti představují pod pojmem „špatný člověk“. Cílem projektu je budování bezpečnosti a zvyšování povědomí dětí o bezpečnosti na základě pochopení toho, jak dítě vidí zlo.
- SCARE (Source Code Analysis and Risk Evaluation): Studie věnující se hodnocení rizik na základě analýzy zdrojového kódu.
- Hacker Highschool: Série dvanácti lekcí určených pro výuku bezpečnosti počítačových sítí zajímavým způsobem. Lekce jsou volně k dispozici (přeloženy do pěti jazyků).
- Child Safety and Security Methodology: Metodika pro výuku bezpečnosti dětí prostřednictvím her a příběhů.
- Home Security Methodology: Domácí bezpečnostní metodika pro zajištění domů se zaměřením na jejich ochranu před různými hrozbami.
- National Security Methodology: Národní bezpečnostní metodika. Cílem projektu je zlepšit národní bezpečnost. Oslovuje širší publikum bez bezpečnostního žargonu. Tento materiál však nebyl vypuštěn kvůli možnému zneužití – proto je v současnosti[kdy?] přepisován.
Certifikace editovat
ISECOM svůj nezávislý výzkum platí prostřednictvím profesionálních certifikací, které se zaměřují na aplikování dovedností v odborném testování bezpečnosti, analýze, metodických postupech a profesních standardech. Jednotlivci mohou získat certifikací v následujících OSSTMM rolích:
- Profesionální bezpečnostní tester (OPST)
- Profesionální bezpečnostní analytik (OPSA)
- Profesionální bezpečnostní expert (OPSE)
- Expert zabezpečení bezdrátových sítí (OWSE)
- Certifikovaný Trust Analytik (CTA)
Jedná se o oficiální certifikace ISECOM, které poukazují na znalosti a dovednosti, které jsou potřebné k výkonu daných rolí v souladu s OSSTMM.