OSSTMM (www.isecom.org/osstmm) là một tiêu chuẩn quốc tế được công nhận để kiểm tra và phân tích bảo mật và đang được sử dụng bởi nhiều tổ chức. Có những cách thức khác nhau để thực hiện kiểm tra bảo mật theo phương pháp OSSTMM như sau:
- Blind: Kiểm thử mù không yêu cầu phải biết các thông tin về hệ thống mục tiêu trước đó. Tuy nhiên, mục tiêu này đã được thông báo trước khi bắt đầu tiến hành kiểm thử. Tấn công có đạo đức hoặc kiểm thử game là những ví dụ về
kiểm thử mù. Loại kiểm thử này cũng được chấp nhận rộng rãi bởi mục đích đạo đức của nó trong việc thông báo trước mục tiêu.
- Double blind: Trong kiểm thử Double blind, người kiểm tra không cần biết bất kỳ thông tin nào về hệ thống mục tiêu và mục tiêu cũng không được thông báo trước khi tiến hành kiểm tra. Kiểm thử hộp đen và kiểm thử thâm nhập là những ví dụ của kiểm thử cặp mù. Với loại kiểm thử này, người kiểm tra gặp một thách thức lớn trong việc lựa chọn loại công cụ và kỹ thuật tốt nhất để giải quyết được yêu cầu kiểm tra.
- Gray box (hộp xám): Trong kiểm thử hộp xám, người kiểm tra đã biết trước một vài thông tin về hệ thống mục tiêu và mục tiêu được thông báo trước khi kiểm tra được thực hiện. Đánh giá lỗ hổng (vulneralbility) là một trong những ví dụ cơ bản của kiểm thử hộp xám.
- Tandem (song song): Trong kiểm thử song song, người kiểm tra đã có các kiến thức tối thiểu để đánh giá về hệ thống mục tiêu và mục tiêu cũng được thông báo trước khi kiểm tra được thực hiện. Kiểm toán là ví dụ của kiểm thử song song.
- Reversal (đảo ngược): Trong kiểm thử đảo ngược, người kiểm tra biết trước đầy đủ kiến thức về hệ thống mục tiêu và mục tiêu không được biết khi nào kiểm thử được tiến hành.
Ưu điểm của phương pháp OSSTMM:
- OSSTMM làm giảm đáng kể sự xuất hiện của cảnh báo nhầm, bỏ qua nhầm và cung cấp phép đo chính xác đối với bảo mật.
- Phương pháp này thích nghi với nhiều loại kiểm tra bảo mật như kiểm thử thâm nhập, kiểm thử hộp trắng, đánh giá lỗ hổng,…
- Đảm bảo rằng đánh giá được thực hiện triệt để và kết quả được tổng hợp một cách phù hợp, có định lượng và đáng tin cậy.
- Các phương pháp này tuân theo một quá trình bốn bước gồm: bước định nghĩa, bước thông tin, bước pháp lý, và bước tiến hành kiểm thử. Mỗi bước gồm thu thập, đánh giá và xác minh các thông tin liên quan đến môi trường mục tiêu.
- Số liệu của độ đo bảo mật có được bằng cách sử dụng phương pháp RAV (Risk Assessment Values – Giá trị đánh giá rủi ro). RAV tính toán giá trị bảo mật thực tế dựa trên hoạt động an ninh, kiểm soát sự mất mát và những giới hạn. Số điểm RAV thể hiện trạng thái an ninh hiện tại của mục tiêu.
- Các báo cáo được thể hiện dưới định dạng STAR (Security Test Audit Report – Báo cáo kiểm tra bảo mật) để thuận lợi cho việc quản lý cũng như xem xét của đội ngũ kỹ thuật, các giá trị đánh giá rủi ro (RAV) và đầu ra từ mỗi giai đoạn kiểm tra.
- Phương pháp này thường xuyên được cập nhật với các xu hướng mới của kiểm tra bảo mật, quy định và mối quan tâm về đạo đức.
- Các bước của OSSTMM có thể dễ dàng phối hợp với các quy định của ngành công nghiệp, chính sách kinh doanh và pháp luật của chính phủ. Ngoài ra, một chứng nhận kiểm thử cũng có thể hội đủ điều kiện để được công nhận trực tiếp từ ISECOM (Institute for Security and Open Methodologies – Viện An ninh và các phương pháp mở).