HUMAN INTERNET CONSULT AG Security-Test nach OSSTMM 3.0

Transkript

1 HUMAN INTERNET CONSULT AG Security-Test nach OSSTMM 3.0

2 SECURITY-TEST NACH OSSTMM 3.0 OSSTMM wurde vom ISECOM, dem Institute for Security and Open Methodologies mit Sitz in Genf (Schweiz) entwickelt. Es steht für Open Source Security Testing Methodology Manual und erfreut sich aufgrund seiner Praxisorientierung und Standardkonformität international einer rasch wachsender Beliebtheit. Das Testhandbuch liegt mittlerweile in der Version 3.0 vor. OSSTMM beschreibt eine Methode für die Planung, Durchführung und Dokumentation technischer Security Audits. Alle zugehörigen Testtools sind Open Source und frei verfügbar. Als Ergebnis wird bewertet, ob den zu schützenden Geschäftsprozessen die entsprechende IT-Sicherheit zur Verfügung steht. Zudem kann bei Anwendung eines OSSTMM-Security Audits auf faktischer Grundlage das Investitionsvolumen für IT-Sicherheit gründlich bestimmt und gesteuert werden. Dies erfolgt durch die Priorisierung der Maßnahmen und die transparente Darstellung des RAV (Risk Assessment Value). Ein weiterer Vorteil der RAV-Bemessung innerhalb eines OSSTMM-Audits ist, dass in Sicherheitskategorien gedacht wird. Dies bedeutet eine Abkehr vom klassischen Ansatz in Lösungen und Produkten, hin zu rationaleren Entscheidungen und der Optimierung von Sicherheit hinsichtlich Kosten und Nutzen. Kompatibel zu Standards Das OSSTMM 3.0 ist bezüglich technischer Security Audits kompatibel zu gängigen Standards wie ISO/IEC 27001/27002, IT Grundschutzhandbuch, SOX und Basel II. Insbesondere im BSI-Durchführungskonzept für Penetrationstests Kap. 6.1 & Anlage A1 und A5 wird auf die Methodik bezüglich Security-Test nach OSSTMM 3.0 verwiesen. Test von Operationellen Risiken Bei einer Messung der realisierten IT-Sicherheit müssen technische und organisatorische Gegebenheiten einbezogen werden. Dies stellt die Methode von OSSTMM sicher: es findet eine objektive Analyse der operativen und strategischen Ebene statt. Durchgängig vom Geschäftsprozess bis zur Konfiguration von IT-Systemen wird sowohl die notwendige Sicherheit, als auch das vorhandene Sicherheitsniveau zuverlässig gemessen und präzise bestimmt.

3 Definiertes Kennzahlensystem (RAV) Langzeitige Vergleichbarkeit durch definiertes Kennzahlensystem (RAV) Durch die ständige Veränderung der Systeme und Prozesse, sowie der Veränderung der Angriffsszenarien und -methoden spricht man von einer Risk Assessment Value Degradation. Kenntnis über die Veränderung des Sicherheitsniveaus über die Zeit ist ein wesentlicher Faktor zur Steuerung geeigneter Maßnahmen. Periodisch durchgeführte Audits nach OSSTMM 3.0 ergeben vergleichbare Ergebnisse der Wirksamkeit der eingeleiteten Sicherheitsanstrengungen und ihrer Verbesserungen. Dies funktioniert, da die Messkriterien sowie die Formel für die Berechnung des RAV-Werts standardisiert sind. Durch die Reproduzierbarkeit und Vergleichbarkeit des OSSTMM Audits ist es nicht von einem bestimmten Lieferanten abhängig, sondern erzielt auch nach dem Wechsel des Audit Partners weiterhin vergleichbare Werte. Dies steht im Gegensatz zu einem Security-Audit nach einer Dienstleister-eigenen Methodik.

4 OSSTMM Security Test and Audit Report (STAR) Quelle: ISECOM cc-by-nd & OML

5 VORGEHENSWEISE 2. INQUEST Investigate emanations target 3. INTERACTION trigger responses tester 4. INTERVENTION changing resource interactions 1. INDUCTION establish facts about the environment Quelle: ISECOM cc-by-nd & OML Standardisierte methodische Vorgehensweise Die Fragestellungen sind nach folgendem Grundsatz aufgestellt: Wie Wer Was? Bei OSSTMM - konformen technischen Security Audits werden drei Dimensionen gemessen: Operative Sicherheit (Operational Security) Sicherheitsmaßnahmen (Loss Controls) Sicherheitslücken (Security Limitations) Dabei wird für die Feststellung der operativen Sicherheit die gegebene Durchlässigkeit, aufgegliedert in Sichtbarkeiten (Visibilities), Zugängen (Accesses) und Vertrauensstellungen (Trusts). Die implementierten Sicherheitsmaßnahmen, die dem Sicherheitsverlust entgegenwirken sollen (Loss Controls) werden ebenso gemessen, wie die Sicherheitsbeschränkungen, die im Audit manuell verifiziert werden müssen. In einer Formelfunktion kombiniert, ergibt dies den aktuellen Sicherheitswert zwischen Null und Hundert. OSSTMM 3.0 verfügt über 17 Module, welche im standardisierten Vorgehensmodell angewendet und durchgeführt werden. Category Input Operational Security Visibility Access Trust Loss Controls Class A Authentication Indemnification Resistance Subjugation Continuity Class B Non-Repudiation Confidentiality Privacy Integrity Alarm Security Limitations Vulnerability Weakness Concern Exposure Anomaly Quelle: ISECOM cc-by-nd & OML

6 VORGEHENSWEISE Posture Review Logistics Activa Detection Visibility Audit Controls Trust Access personel physical Process Confi guration physical property information property Property Validation Segregation Review Exposure Verfi fi cation telecommunications wireless communication data networks Competitive Intelligence Scouting Containment Measures Testing Survivability Validation Privileges Audit Alert and Log Review Quelle: ISECOM cc-by-nd & OML Nachvollziehbare Testleitlinie Die OSSTMM Methodik ist klar aufgegliedert in Channels Module Tasks Als Channel gelten überlappende Sektionen, welche sämtliche Sichten der Informations-, System-, Kommunikations-, Prozesssicherheit und der physischen Sicherheit abdecken d.h. mögliche Zugangswege, wie hier in der Grafik angedeutet Jeder Channel hat bis zu 17 Module, jedes Modul bestehen aus Tasks, welche durchlaufen werden müssen. Der Test des jeweiligen Channels erfolgt innerhalb eines Angriffs- Vectors und eines begrenzten Test-Scope, die im Vorfeld in einem Testplan gemeinsam mit weiteren qualitätssichernden Rahmenbedingungen festgelegt werden.

7 Quelle: ISECOM cc-by-nd & OML Nachvollziehbares Kennzahlensystem OSSTMM liefert mit dem RAV eine Kennzahl als Grad der Zielereichung für Informationssicherheit. Es wird exakt gemessen, wie gut ein System geschützt ist. Die Messkriterien sowie die Formel für die Berechnung der Resultate, dem so genannten RAV-Wert (Risk Assessment Value), sind offen zugänglich und nachvollziehbar. Der RAV wird anhand dreier Variablen ermittelt: Operative Sicherheit (OpSec): bewertet Sichtbarkeit, Vertrauensstellungen und Zugriffspunkte (Interaktionsmöglichkeiten) Kontrollausgleich (Loss Control (LC)): berücksichtigt implementierte Sicherheitsmechanismen und hat positiven Einfluss auf RAV Aktuelle Sicherheit (ActSec): detektierte Risiken werden hinsichtlich ihres Bedrohungspotentials Gewichtet OSSTMM unterstützt Ihren kompletten Information Security Managementprozess! Risikomanagement RAV - Key Performance Index IT-Strukturanalyse OPSEC Maßnahmenkatalog RAV Delta Implementierung RAV Delta Security Policy Richtlinien Framework Komzepte OSSTMM Modules Rahmenbedingungen Geschäftsprozesse Rules of Engagement Review / Audit Prozess Sicht PHYSSEC Review / Audit Asset Sicht COMSEC + SPECSEC DREAD Kontrolle / Überwachung cycled RAV

8 SECURITY IT-/ TK-/ VOICE Infrastruktur PROZESSE Analyse Compliance Zertifizierung IP-Voice-Data Server/Clients ITIL BSM Management Storage CObIT Konzeption KWG, GoBS, Architektur Servicedefinition Roll-Out KontraG, Basel II, Solvency II, Migration Optimierung Service-Management IT-Governance Betrieb SOX, etc. HIC als kompetenter Partner Als qualitätsbewusstes Beratungshaus sind wir im Bereich Security sehr breit aufgestellt. Wir stützen unser Wissen auf eine umfangreiche Zahl von sehr erfahrenen Senior Consultants, die für die professionelle und qualitativ hochwertige Projektarbeit verantwortlich sind. Unser Kern Team ist im Durchschnitt seit mehr als acht Jahren als Senior Security Consultant tätig. Unsere in vielen Kundenprojekten nachgewiesenen Fähigkeiten stützen sich inhaltlich auf eine Reihe an Zertifizierungen und an ein umfangreiches Leistungsportfolio. IT-Audits Informationssicherheitsmanagement Notfallplanung, Notfallvorsorge, Notfallübung Externer IT-Sicherheitsbeauftragter Externer Datenschutzbeauftragter Security Test Plagiatschutz / Wirtschaftsspionageschutz Coaching / Projektleitung IT-Risikoanalysen Technische und organisatorische Sicherheitskonzepte sowie deren Implementierung Awareness nach Grundschutz (BSI) ISO27001:2005 Lead Auditor (ehem. BS7799) IT-Grundschutzauditor (BSI) CISA / CISM Datenschutzbeauftragter IT-Sicherheitsbeauftragter (Bay. VerbandSicherheitWirtschaft) ITIL Foundation Service Manager Projektmanager TÜV-zertifiziert CCNA Cisco certifiziert Network Associate IEC Auditor ISA 99 Certified Automation Professional RedHat-Endorsements: RedHat EX423 Directory Services und Authentification RedHat EX436 Red Hat Enterprise Storage Management RedHat Certified Engineer OSSTMM Professional Security Tester MCSE ISO25999 BCM

9 Kontakt HUMAN INTERNET CONSULT Aktiengesellschaft Kirchschlager Weg Murr Besucher- und Lieferadresse: Schlossdomäne Monrepos Ludwigsburg Telefon +49 (0) Telefax +49 (0) info@hic.de Web Weitere Standorte: Büro Hamburg Papenreye 53 (Workport Unit 2, 2. Etage) Hamburg Telefon +49 (0) Telefax +49 (0) Büro Berlin Lindenthaler Allee Berlin Telefon +49 (0) Telefax +49 (0) Büro Sulzbach Karlsbader Straße Sulzbach Telefon +49 (0) Telefax +49 (0) Büro München Leopoldstr München Telefon +49 (0) Telefax +49 (0)