isecom.org
oneconsult.com
en.wikipedia.orgOSSTMM
Exploitation / Sécurité / infrastructure de sécuritéLa méthode OSSTMM (Open Source Security Testing Methodology Manual) a pour objectif de mettre en place un ensemble de tests systématiques, cadré dans une démarche automatisable. Attention toutefois car elle ne doit pas s'apparenter à un simple test de vulnérabilités. Elle doit prendre en compte le contexte de l'entreprise et un maximum de biens dans un périmètre de test homogène et cohérent. Elle donnera en résultat une tendance et un indicateur récurrent quant à la dérive éventuelle de la sécurité du périmètre audité. C'est cette approche que promeut l'Institute for Security and Open Methodologies (ISECOM), qui est l'institut développant la méthode OSSTMM (Open Source Security Testing Methodology Manual).
Cette méthode visait à l'origine, (notamment en version 2.2 apparue en 2001) à définir une approche formelle plus scientifique et structurée du test technique de sécurité. Toutefois cette version 2.2 était insuffisamment cadrée. Elle ne permettait pas d'avoir une vision claire de la surface d'attaque, mais proposait déjà des indicateurs de niveau de risques : les RAV (Risk Assessment values). La version 2.2 définit des métriques de sécurité basées sur une quantification du risque. Cela introduit une polémique sur la capacité à appliquer des valeurs empiriques à un risque sans prendre en considération la probabilité de réalisation ni valoriser l'impact sur le bien.
OSSTMM 3 revient sur la définition des RAV ainsi que sur l'exhaustivité des métriques qui doivent pouvoir couvrir tous les biens d'un périmètre et quantifier aussi bien les évènements de faible importance que les évènements les plus connus. Les RAV sont à présent des mesures de la surface d'attaque plutôt que des mesures de risques. L'affectation de poids est considérée comme facteur de biais de l'analyse ; tout comme la quantification arbitraire de vulnérabilités découvertes par des outils automatiques ne tenant pas compte du contexte de la machine ou du système testé. Le RAV ne correspond pas à un une photo instantanée du système audité mais prend son sens par la récurrence avec laquelle les tests sont menés. Afin de limiter le biais introduit par la technicité et l'expertise du testeur, la méthodologie permet de guider le testeur et d'éviter une dérive trop " imaginative " et pouvant donc biaiser la tendance.
Enfin, le rapport est constitué de métriques indiquant une mesure de l'écart avec une sécurité jugée parfaite et mesurée selon les critères OSSTMM. Pour ISECOM, un rapport doit être simple, concis et pertinent afin d'assurer qu'il sera lu. Ce dernier, une fois " anonymisé ", peut être soumis à ISECOM, qui vérifie que la démarche a été respectée et alors apposer sa certification.
Type : Méthodologies de tests de sécurité
Site web : www.isecom.org
Erstellt: 27.01.2014
