昨天休息了一天,今天我要连更两篇博客,作为补充,以下为正文
本章详细描述了OSSTMM内的RAV得分这一理论概念,对日后从事正规安全工作至关重要
OSSTMM为开源安全测试方法论,对OSSTMM不了解的同学可以看我之前发的渗透测试的理论部分1——渗透测试方法论
OSSTMM推广的技术评估框架十分灵活,即使某个项目在逻辑上可分为三个连续的信道与安全组件,我们照样可以使用OSSTMM的框架评估其安全性
OSSTMM体系的测试方法,通过检查访问控制安全,流程安全,数据控制,周界防护,安全意识水平,信任关系,反欺诈控制等诸多过程,全面评估被测单位的安全性
总而言之,这一理论强调测试目标和测试方法,注重在测试前,测试中,测试后采用的相应策略
OSSTMM引用了RAV(Risk Assessment Value,风险评估值)的概念,RAV的基本功能是分析测试结果,进而基于三个要素(运营安全,损耗控制,局限程度)的标称值来计算安全的标称值,最后求得的这个标称值成为RAV得分,再引入RAV得分概念后,审计人员可以量化评估当前的安全状态,并可为企业安全的下一步目标设定里程碑,从商业角度看,RAV有助于优化安全投资,并可助选择更为有效的解决方案
OSSTMM的主要特征与优势
OSSTMM的方法可以从本质上降低假阳性和假阴性的发生率,它推出的测量方法有普遍的应有价值
该构造适用于多种类型的安全测试,可用于渗透测试,白盒测试审计,漏洞评估等其他测试
他能够确保每次评估应进行的全面彻底,还能保证评估过程的一致性,可测性,可靠性
该方法本身可分为四个相对独立的阶段,既定义阶段,信息阶段,调节阶段和控制测试阶段,每个阶段都会获取,评估和验证目标环境中的相关信息
RAV对的运算方式综合衡量了运营安全,损耗控制,局限程度的情况,他的计算结果既RAV得分,可代表目标系统当前的安全状况
这种方法的评估报告均采用安全测试审计报告(STAR,Security Test Audit Report)模板,以这种格式书写的报告同时适合被测单位的管理层和技术层阅读,有助于他们共同理解被测目标,风险评估管(RAV)和每个阶段的测试结果
该方法定期更新,OSSTMM会符合安全测试,法规和法律问题的变化
OSSTMM与行业法规,企业政策,以及政府法规兼容,此外,官方认可的审计都是直接从ISECOM(安全与开放式方法论研究协会)获得的资格认证