Giới thiệu các thành phần trong chuẩn OSSTMM.

tepriu

W-------
25/12/2014
0
21 bài viết
Giới thiệu các thành phần trong chuẩn OSSTMM.
Sau bài mở đầu Tổng quan về OSSTMM chúng ta đã biết tới chuẩn mở OSSTMM cung cấp các phương pháp kiểm tra an ninh toàn diện cho hệ thống thông tin. Bài viết này mình xin giới thiệu các thành phần trong chuẩn OSSTMM.

OSSTMM.png

1. The Security Map

OSSTMM là một chuẩn mở cung cấp các phương pháp kiểm tra an ninh mạng bao gồm các phần: kiểm tra an ninh thông tin, qui trình kiểm tra an ninh, an ninh hạ tầng vật lý, công nghệ kiểm tra an ninh trên internet, an ninh hệ thống mạng không dây, an ninh mạng truyền thông. Tất cả các thành phần trên được biểu diễn bằng Security Map.

Security Map bao quát tất cả các thành phần chính và thể hiện vị trí, vai trò của từng phần trong chuẩn OSSTMM. Các phần của được trình bày trên Security Map bao hàm lẫn nhau, mỗi phần chứa một bộ phận của phần khác.

1.jpg

1.1 Information Security: an ninh thông tin, dữ liệu, phần mềm nằm ở vị trí trung tâm security map bao gồm nhiều bộ phận của các qui trình khác.

1.2. Process Security: qui trình kiểm tra an ninh thông tin được đặt lên đầu security map thể hiện vị trí của nó. Trước khi tiến hành kiểm tra an ninh thông tin thì qui trình là việc đầu tiên phải làm và nó quyết định kết quả của các quá trình tiếp theo.

1.3. Internet Technology Security: các công nghệ kiểm tra an ninh trên mang internet cụ thể là kiểm tra an ninh các ứng dụng, dữ liệu trực tuyến… Đây là một phần quan trọng trong security map.

1.4. Communications Security: kiểm tra an ninh mạng truyền thông đi liền với việc kiểm tra các giao thức mail, voice ip, chat… nó cũng là một bộ phận của Information Security.

1.5. Wireless Security: An ninh mạng dữ liệu không dây là tăng cường các biện pháp an ninh khi truyền dữ liệu người dùng, kiểm tra các lỗ hổng, sơ hở tin tặc có thể lợi dụng đánh cắp thông tin trên đường truyền.

1.6. Physical Security: đây là phần trung tâm của information security, hạ tầng vật lý là trái tim của an ninh thông tin, việc kiểm tra an ninh cũng quan trọng như kiểm tra tính sẵn sàng của bất kỳ hạ tầng vật lý nào để đảm bảo sự toàn vẹn của dữ liệu thông tin.

2. Danh sách các modules Security Map

2.1. Information Security Testing


Đây là phương pháp kiểm tra an ninh thông tin của hệ thống mạng máy tính bao gồm dữ liệu người dùng, thông tin về phần mềm trong hệ thống. Information Security Testing là phương pháp tấn công giả lập vào hệ thống để tìm ra các lỗ hổng và thông tin thu thập được từ hệt hống.
An ninh hệ thống được đánh giá theo 2 hướng từ bên ngoài (blackbox) và bên trong (whitebox).
Các modul đánh giá an ninh:
  • Competitive Intelligence Review: đây là modul kiểm tra anh ninh nguy cơ hệ thống thông tin bị theo dõi, đánh cắp thông tin.
  • Privacy Review: kiểm tra an ninh của dữ liệu đảm bảo đúng các qui định văn bản về việc sử dụng dữ liệu đó.
  • Document Grinding: kiểm tra tài liệu, qui định liên quan tới các vị trí quan trọng trong hệ thống thông tin.
2.2 Process Security Testing

Quy trình trong an ninh thông tin là một khâu quan trọng trong việc nâng cao an ninh thông tin hệ thống mạng. Process Security Testing là qui trình kiểm tra các tiêu chuẩn về quản lý, tư vấn, xây dựng hệ thống an ninh thông tin. Hướng đánh giá dựa theo các tiêu chuẩn về an ninh như chuẩn ISO/IEC 27000.

Các modul đánh giá an ninh
  • Request Testing: kiểm tra phương thức truy cập vào hệ thống thông tin.
  • Guided Suggestion Testing: kiểm tra đặc quyền truy cập vào hệ thống thông tin.
  • Trusted persons Testing: kiểm tra tính tin cậy của các nhân vật chủ chốt trong hạ tầng thông tin.
2.3. Internet Technology Security Testing

Ứng dụng trên internet ngày càng phát triển nhanh chóng mang lại nhiều tiện ích cho xã hội nhưng đồng thời cũng tiềm ẩn nhiều rủi ro về an ninh thông tin như mất mát dữ liệu, tài khoản ngân hàng, sự riêng tư cá nhân bị xâm phạm…

Internet Technology Security Testing đưa ra các giải pháp kiểm tra và đánh giá an ninh thông tin của tất cả các ứng dụng chạy trên internet như kiểm tra mã nguồn, thành phần xác thực của ứng dụng, lỗ hổng ứng dụng….

Các modul đánh giá an ninh
  • Access Control Testing: Kiểm tra an ninh hệ thống Firewall.
  • Logistics and Controls: kiểm tra các vấn đề liên quan đến hiệu năng của hệ thống mạng.
  • Network Surveying: kiểm tra thông tin hệ thống mạng như danh sách thiết bị, domain, ip, sơ đồ mạng.
  • System Services Identification: sử dụng phương phướng tấn công từ bên ngoài như port scanning kiểm tra thông tin các dịch vụ chạy trên hệ thống.
2.4. Communications Security Testing

Sự phát triển của thông tin liên lạc đã thay đổi đời sống con người thay vì dùng thư tín con người có thể trao đổi thông tin trực tiếp với nhau qua void, mail, chat. Nhưng tính an toàn thông tin lại bị đe dọa khi các giao thức truyền thông trên không đảm bảo tính riêng tư không bị xâm phạm cho người sử dụng. Để đảm bảo an ninh cho hệ thống truyền thông chúng ta có thể tăng cường mức độ an ninh bằng cách kiểm thử các lỗ hổng qua đó phát hiện các lỗi nguy hiểm và có giải pháp khắc phục.

Các modul đánh giá an ninh
  • PBX Review: kiểm tra an ninh tổng đài điên thoại.
  • Voicemail Testing: kiểm tra an ninh hệ thống nhắn tin âm thanh.
  • FAX Testing: kiểm tra an ninh hệ thống FAX.
  • Modem Survey: kiểm tra an ninh thông tin các thiết bị Modem.
  • Remote Access Control Testing: kiểm tra an ninh các giao thức (ssh, remote desktop, telnet) truy cập điều khiển các thiết bị.
2.5. Wireless Security Testing

Mạng không dây ngày càng được sử dụng phổ biến trong các doanh nghiệp, gia đình, nơi công cộng. Nguy cơ tiềm ẩn là hệ thống mạng không dây có thể bị xâm nhập, tấn công Dos/DDOS, nghe lén…Việc kiểm tra an ninh và đưa ra các phương pháp khắc phục những lỗ hổng tìm được sẽ đảm bảo an ninh thông tin cho người sử dụng. Wireless Security Testing là việc kiểm tra an ninh hệ thống mạng không dây thường dựa trên các chuẩn mã hóa, xác thực.

Các modul đánh giá an ninh:
  • 802.11 Wireless Networks Testing: kiểm tra an ninh chuẩn WEP 802.11.
  • Bluetooth Networks Testing: kiểm tra an ninh các thiết bị sử dụng Bluetooth.
  • Wireless Input Device Testing: kiểm tra an ninh các thiết bị
2.6. Physical Security Testing

Bất cứ hệ thống thông tin nào cũng chạy trên một hạ tầng vật lý nhất định để đảm bảo tính sẵn sàng về dữ liệu thông tin. Vì vậy việc đánh giá an ninh cho hạ tầng vật lý là rất cần thiết để đảm bảo không có rủi ro về mặt hạ tầng.

Physical Security Testing là những phương pháp kiểm tra mức độ an ninh của hạ tầng mạng thông tin như: cơ sở hạ tầng, kiến trúc hạ tầng vật lý, công cụ giám sát hệ thống, an ninh khu vực máy chủ…

Các module đánh giá an ninh
  • Access Controls Testing: kiểm tra an ninh xung quanh khu vực đặt hạ tầng thông tin.
  • Monitoring Review: kiểm tra an ninh hệt thống theo dõi giám sát.
Bài viết này mình xin giới thiệu khái quát về các phần và danh sách các module trong chuẩn OSSTMM để các bạn có cái nhìn khái quát khi đi sâu vào phân tích các module.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
osstmm tiêu chuẩn osstmm
Bên trên