Sigurnosna procjena (security audit) - što je i kako teče
Sigurnosni audit (security audit): što obuhvaća, kako teče kroz pet faza i po čemu se razlikuje od penetracijskog testa.
Pročitaj
OSSTMM (Open Source Security Testing Methodology Manual) je otvorena, znanstveno utemeljena metodologija za testiranje operativne sigurnosti, koja umjesto pukog popisa ranjivosti mjeri stvarno stanje zaštite kroz brojčani pokazatelj zvan RAV. Za razliku od metodologija koje se bave samo web aplikacijama ili tehničkim koracima napada, OSSTMM gleda širu sliku: ljude, procese, fizički pristup, bežične i podatkovne kanale. U ovom tekstu objašnjavamo što OSSTMM zapravo mjeri, kako se odnosi prema OWASP-u i PTES-u, te kojim organizacijama u regiji najbolje odgovara.
Naše rješenje
Penetracijsko testiranje - otkrivamo ranjivosti prije hakera. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.
Što je OSSTMM i odakle dolazi
OSSTMM razvija ISECOM (Institute for Security and Open Methodologies) još od 2001. godine, a danas se koristi u verziji 3. Ideja iza metodologije je jednostavna, ali rijetko ispunjena u praksi: testiranje sigurnosti mora biti ponovljivo, mjerljivo i neovisno o osobi koja ga provodi. Ako dva tima testiraju isti sustav po istoj metodologiji, trebali bi doći do usporedivih rezultata. To zvuči očito, no većina sigurnosnih izvještaja u stvarnosti ovisi o iskustvu i osjećaju pojedinog testera.
OSSTMM uvodi pojam operativne sigurnosti. Ne pita samo postoji li ranjivost, nego koliko je površina napada zapravo izložena u svakodnevnom radu i koliko kontrola tu izloženost smanjuje. Time se fokus pomiče s teoretskih rupa na ono što je stvarno dostupno napadaču u trenutku mjerenja.
Pet kanala koje OSSTMM pokriva
Snaga OSSTMM-a je u tome što sigurnost ne svodi na tehniku. Metodologija definira pet kanala kroz koje se sigurnost može narušiti:
- Ljudski kanal - socijalni inženjering, svjesnost zaposlenika, postupci provjere identiteta.
- Fizički kanal - pristup zgradama, prostorijama, opremi, kontrola ulaza i nadzor.
- Bežični kanal - Wi-Fi, Bluetooth, RFID i drugi radijski signali koji izlaze izvan zidova.
- Telekomunikacijski kanal - telefonija, VoIP, faks i druge govorne veze.
- Podatkovne mreže - klasična mrežna i aplikacijska infrastruktura koju većina ljudi prvo zamisli pod pentestom.
Upravo zbog te širine OSSTMM dobro odgovara organizacijama koje žele cjelovitu procjenu, a ne samo skeniranje web aplikacije.
Što OSSTMM mjeri: operativna sigurnost i RAV
Središnji rezultat OSSTMM testa nije lista ranjivosti, nego RAV (Risk Assessment Values), ponekad zvan i Security Test Audit Report metrika. RAV je brojčani pokazatelj koji izražava stvarno stanje zaštite kao postotak. Vrijednost od 100 znači savršenu ravnotežu, dok niža vrijednost pokazuje da je površina napada veća od kontrola koje je pokrivaju, a vrijednost iznad 100 da postoje suvišne ili pretjerane kontrole koje nepotrebno troše resurse.
RAV se računa kroz tri skupine elemenata:
- Operacije (Operational Security) - koliko je toga uopće vidljivo i dostupno: vidljivost, povjerenje i pristup.
- Kontrole (Controls) - mehanizmi zaštite poput autentikacije, enkripcije, integriteta, otpornosti i nemogućnosti poricanja.
- Ograničenja (Limitations) - stvarne slabosti: ranjivosti, slabosti, izloženosti, anomalije i sigurnosni propusti.
Praktična vrijednost RAV-a je u tome što daje objektivnu, vremenski usporedivu brojku. Organizacija može izmjeriti stanje danas, uvesti popravke i ponoviti mjerenje za šest mjeseci, pa crno na bijelo vidjeti je li se sigurnost stvarno poboljšala. Za upravu i revizore to je mnogo razumljivije od rečenice koja kaže da je pronađeno sedam kritičnih i dvanaest visokih nalaza.
OSSTMM naspram OWASP i PTES
Najčešća zabuna kod naručitelja je mišljenje da se mora birati jedna metodologija. U praksi se OSSTMM, OWASP i PTES nadopunjuju, jer pokrivaju različite razine i opsege. OWASP je usko fokusiran na sigurnost web i mobilnih aplikacija te ima izvrsne, vrlo konkretne vodiče (WSTG, MASTG, Top 10). PTES (Penetration Testing Execution Standard) opisuje tijek samog angažmana od pripreme do izvještaja. OSSTMM je najširi i najmjerljiviji, ali i najmanje preskriptivan oko pojedinačnih tehničkih provjera.
| Obilježje | OSSTMM | OWASP | PTES |
|---|---|---|---|
| Glavni fokus | Operativna sigurnost, svi kanali | Web i mobilne aplikacije | Tijek pentest angažmana |
| Mjerljivost | Visoka (RAV metrika) | Niska, opisni nalazi | Niska, procesno orijentirano |
| Pokriva ljude i fizički pristup | Da | Ne | Djelomično |
| Konkretni tehnički testovi | Djelomično | Vrlo detaljno | Smjernice po fazama |
| Najbolje za | Cjelovitu procjenu i benchmark | Aplikacijski pentest | Strukturu angažmana |
U stvarnom projektu razuman pristup je kombinacija. OSSTMM postavlja okvir i daje mjerljiv rezultat, PTES strukturira faze rada, a OWASP daje detaljne provjere kad se testira aplikacijski sloj. NeoBit u svojim angažmanima upravo tako i radi: koristi OSSTMM logiku za opseg i mjerenje, a OWASP i druge tehničke standarde za dubinu pojedinih provjera.
Kome OSSTMM najbolje odgovara
OSSTMM nije za svakoga i pošteno je to reći. Ako vam treba samo provjera jedne web aplikacije prije izlaska u produkciju, OWASP pristup je brži i jeftiniji. OSSTMM dolazi do izražaja kada je riječ o cjelovitoj sigurnosti organizacije.
- Financijske institucije i osiguranja kojima trebaju ponovljive, revizijski branljive metrike za regulatora.
- Proizvodne i logističke firme gdje fizički pristup pogonu i bežične mreže nose stvarni rizik, a ne samo serveri.
- Javni sektor i zdravstvo koji moraju dokazati napredak sigurnosti kroz vrijeme, a ne jednokratni snimak.
- Veće tvrtke s više lokacija kojima je potreban usporediv rezultat između podružnica i godina.
Manjim firmama i startupima u regiji često je pametnije početi s ciljanim aplikacijskim pentestom po OWASP-u, pa s vremenom prijeći na širu OSSTMM procjenu kad organizacija naraste. Tu vrijedi pravilo: metodologija mora služiti riziku, a ne obrnuto.
Kako izgleda OSSTMM angažman u praksi
Kvalitetan OSSTMM angažman kreće od preciznog definiranja opsega, odnosno koji se kanali i koji dijelovi infrastrukture mjere. Slijedi prikupljanje informacija, mapiranje izloženosti i povjerenja, pa zatim provjera kontrola i identifikacija ograničenja. Na kraju se računa RAV i izrađuje izvještaj koji upravi daje brojku i jasan plan poboljšanja. Bez tog zadnjeg koraka metodologija ostaje akademska vježba, a smisao je upravo donijeti odluku gdje uložiti sljedeću marku ili kunu.
Zaključak i sljedeći korak
OSSTMM je vrijedan jer sigurnost pretvara u mjerljivu veličinu i gleda dalje od koda, prema ljudima, prostoru i procesima. Nije zamjena za OWASP ni PTES, nego okvir koji ih povezuje u cjelinu i daje upravi razumljiv pokazatelj. Ako razmišljate o objektivnoj procjeni sigurnosti svoje organizacije, NeoBit iz Mostara provodi penetracijska testiranja i sigurnosne procjene oslonjene na OSSTMM logiku i prepoznate tehničke standarde. Javite nam se za besplatnu uvodnu procjenu opsega i dogovor o tome koja kombinacija metodologija ima najviše smisla za vaš slučaj.
Često postavljana pitanja
Što je OSSTMM jednostavnim riječnikom?
OSSTMM je otvorena metodologija za testiranje sigurnosti koja mjeri stvarno operativno stanje zaštite organizacije i izražava ga brojčano kroz RAV. Za razliku od običnog popisa ranjivosti, gleda ljude, fizički pristup, bežične i podatkovne kanale te koliko ih kontrole stvarno pokrivaju.
Po čemu se OSSTMM razlikuje od OWASP-a?
OWASP je fokusiran na sigurnost web i mobilnih aplikacija i daje vrlo konkretne tehničke provjere, dok je OSSTMM širi i mjeri operativnu sigurnost kroz više kanala, uključujući ljude i fizički pristup. U praksi se ne biraju jedno ili drugo, nego se kombiniraju: OSSTMM za okvir i mjerenje, OWASP za dubinu aplikacijskih testova.
Što je RAV u OSSTMM-u?
RAV (Risk Assessment Values) je brojčani pokazatelj koji izražava ravnotežu između izloženosti i kontrola. Vrijednost oko 100 znači uravnoteženu zaštitu, niža vrijednost da je površina napada veća od kontrola, a viša da postoje suvišne kontrole. RAV omogućuje usporedbu sigurnosti kroz vrijeme i između lokacija.
Odgovara li OSSTMM manjim firmama u regiji?
Manjim firmama često je isplativije početi s ciljanim aplikacijskim pentestom po OWASP-u, a na širu OSSTMM procjenu prijeći kako organizacija raste i kako fizički te ljudski rizici postaju značajniji. NeoBit pomaže odrediti koji opseg i koja kombinacija metodologija ima smisla za vaš proračun i razinu rizika.
Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Sigurnosna procjena (security audit) - što je i kako teče · Red team, blue team i purple team - razlike
