Nori zuzenduta dago?
Bere informazio-sistemen ikuskapena egin nahi duten erakunde txiki edo handi, publiko edo pribatu guztiek erabil dezakete OSSTMM metodologia.
1. irudia: https://www.isecom.org/research.html
Zer da?
Open Source Security Testing Methodology Manual-en akronimoa da OSSTMM, ISECOMek egiazko jarduera-segurtasuna probatzeko, aztertzeko eta neurtzeko garatutako metodologia oso bat. Azken batean, segurtasunaren gaineko ikuskapen teknikoak egiteko metodologia bat.
Metodologia hori sendoa eta errepikagarria izateko diseinatuta dago. Kode irekiko proiektua denez, segurtasun-ikuskapenean aditua den edonork egin ditzake segurtasun-proba zehatzagoak eta eraginkorragoak egiteko ekarpenak. Gainera, dokumentazioa libreki zabal daiteke, jabetza intelektualari erreparatu gabe.
Metodologiak hainbat atal zehatz ditu, ikuskapen baten alderdi garrantzitsuenak aztertzen dituztenak:
- Norbanakoen Segurtasuna
- Segurtasun Fisikoa
- Haririk Gabeko Segurtasuna
- Segurtasuna Komunikazioetan
- Datu Sareen Segurtasuna
Atal horietan, metodologiak proba zehatz jakin batzuk aplikatzen ditu arlo bakoitzean, ohiko analisien barruan segurtasun zehaztasunak egiaztatzeko.
Horrez gain, metodologiak hainbat atal espezifiko ditut, ikuskapenen kudeaketarekin lotutako alderdi hauen inguruan:
- Oinarrizko kontzeptuak (jakin behar duzuna / egin behar duzuna)
- Segurtasunaren analisirako metodologia
- Jarduera-segurtasunaren neurriak
- Fidagarritasuna
- Lan-jarioa
Atal horiek jarduera-mailako segurtasunari neurri zehatza hartzea planteatzen dute, horrek uste eta behin-behineko ebidentziak alboratzea ahalbidetzen baitu. Horregatik, OSSTMM metodologiari lotuta, bi elementu osagarri garatu dira:
- RAV kalkulatzailea: Kalkulu-orri bat proposatzen da rav-ak errazago egiteko. Rav-ak dira OSSTMM metodologiak zehaztutako Eraso Azala neurtzeko erabiltzen den segurtasun-neurri estandarra da.
- STAR orria: Security Test Audit Report (STAR) edo Segurtasun Proben Ikuskapen Txostena (STAR) OSSTMM metodologiaren bitartez egindako segurtasun edo pentesting proben emaitzen laburpen estandarizatu bat da. Eraso Azalaren gaineko kalkulu zehatzak biltzen ditu, zer probatu zen eta nola, eta probetan identifikatutako akatsak konpontzeko ekintzen artikulazioa.
Helburuak
ISECOMek berak ezartzen duenez, OSSTMM metodologiaren helburu nagusia da ahalik eta segurtasun-babesik onena eraikitzea. Dena den, hainbat helburu zehatz ditu:
- Planteamendu sistematiko bat garatzea, informazio-sistemen segurtasun-ikuskapenak modu sendo eta errepikagarri batean burutzeko.
- Ikuskapenen emaitzak modu objektibo batean neurtzeko mekanismo bat izatea.
- Ikuskapenen emaitzak modu egituratu eta konparagarri batean aurkeztu ahal izatea.
Onurak
Ikuskapenak OSSTMM metodologiaren bidez egiteak onura hauek dakarzkie erakundeei:
- Informazio-sistemen egiazko segurtasun-maila zein den eta erakundearen aurkako zibereraso batek nolako kalteak eragin litzakeen argi izatea.
- Erakundearen eraso azalaren gaineko azterketa objektibo bat izatea eta, horren arabera, eraso-aukerak murrizteko ekintzei modu sistematikoan lehentasuna eman.
OSSTMM metodologiaren erabileran kontuan izan beharreko faktoreak
- Ikuskatuko diren informazio-sistemen kopurua
- Ikuskatuko diren informazio-sistemen ezaugarriak
- Ikuskapenaren plangintza
- Erakunde barruko beste alderdi batzuk
OSSTMM metodologiaren bidez ikuskapena egiteko faseak
1. fasea. Proiektua abiatzea
Ikuskapena abiatu aurreko unea da, ziurrenik, proiektuko faserik kritikoena, hura burutzeko ezinbesteko baliabideak bermatzeaz gain, hartan parte hartzen duten guztiek ikuskapenak informazio-sistemetan aurreikusi ezineko ondorio latzak izan ditzakeelako kontzientzia piztea baitakar. Ikuskapenaren arduradunak ondorio okerrak ahalik eta gehien murrizten saiatu arren, erakundeak hori gerta daitekeela jakin eta onartu egin behar du.
2. fasea. Fase induktiboa
Metodologiak berak ezartzen du fase induktiboa ikuskapenaren lehen fasetzat. Fase honetan, analistak ikuskapenaren eskakizunak, irismena eta mugak ulertu behar ditu, egin beharreko proba motak zehazteko.
3. fasea. Fase interaktiboa
Fase honetan hasten da ikuskapenaren plangintza, haren irismena eta ikuskatuak izango diren elementuetako bakoitzari egingo zaizkion proba motak erabaki ondoren.
4. fasea. Ikerketa-fasea
Fase honetan aztertzen dira erakundearen antolakuntza- eta kudeaketa-alderdiak, eta ikuskapenaren helburu diren elementuen hasierako analisi teknikoa egiten da, iturri irekien zeharkako ikerketari dagokiona.
5. fasea. Esku-hartzearen fasea
Fase hau da ikuskapenaren erdigunea, honetan egiten baitira irismen-elementuen gaineko proba teknikoak. Proben ondorioz, elementuak aldatu, gainkargatu edo blokeatu egin daitezke, haiek miatu edo eteteko. Hau izan ohi da segurtasun-probaren azken fasea, ikuskatutako informazio-sistemetan aurreikusi gabeko disfuntzioak eragin ditzakeena.
Fase 6. Txostenak
Ikuskapenaren azken fasean, txostena aurkeztuko da, non emaitza objektiboak jaso eta ikuskapenean egindako aurkikuntzen araberako balorazioa egingo den.
7. fasea. Hutsuneak konpontzea
Erakundeari dagokio ikuskapenean aurkitutako hutsuneak konpontzea, emaitzak eta haien balorazioa aintzat hartuta hutsune horiek zuzentzeko neurriak erabakitzeko.
Non jaso daiteke aholkua edo non kontrata daitezke OSSTMM bidezko ikuskapen-zerbitzuak?
BCSCk enpresen eskura jarri du “Euskadiko Zibersegurtasunaren Liburu Zuria”, gure tokiko ekosistemaren ikuspegi orokorra jasotzen duen dokumentua. Hartan, hainbat berrikuntza-, ikerkuntza- eta ekintzailetza-ikuspegi ageri dira, baita zibersegurtasunaren arloko zerbitzuak eskaintzen dituzten enpresen katalogoa ere, interesatuta egon daitezkeen erakundeek haietara jo eta erabaki egokienak hartzen lagun diezaieten.
Katalogoa Euskadiko zibersegurtasunaren merkatuaren laburpena edo argazkia ere bada. Zerrenda bizia da, aldian behin eguneratzen baita, zerbitzuen digitalizazioa hedatzen eta harekin lotutako aukerak zabaltzen doazen neurrian.
Erreferentziak
OSSTMM metodologia ISECOMen: https://www.isecom.org/research.html