top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

OSSTMM 4: la metodologia si arricchisce di nuove prospettive.


Perché una nuova major release di OSSTMM

La metodologia OSSTMM introdotta da ISECOM nel 2001 rappresenta ad oggi un punto di riferimento per la valutazione ed il miglioramento della sicurezza, in ambito nazionale ed internazionale. Grazie alla distribuzione open ed ai programmi di formazione e certificazione delle competenze raggiunte dai professionisti, ad oggi si possono contare oltre 4000 esperti certificati, di cui circa 300 in Italia.

Oltre ad offrire un supporto concreto a chi si occupa di verifiche tecnologiche, OSSTMM ha contribuito a creare e consolidare un approccio interdisciplinare, permettendo ai professionisti del penetration testing di poter operare in sinergia con chi si occupa degli aspetti organizzativi e logici della sicurezza. Tutto ciò ha portato  ad una maggiore maturità della professione, dei servizi ad essa associati e conseguentemente del mercato a cui i professionisti si rivolgono.

La nuova versione della metodologia OSSTMM, giunta ora alla versione 4.0, anche se ufficialmente ancora in draft (http://isecom.org/research/osstmm.html) è stata rilasciata con un intervallo più ravvicinato, rispetto a quanto accaduto per il passaggio dalla metodologia 2.x alla versione 3.0.
I motivi di questa tempestività di rilascio sono da ricercarsi nelle esigenze sempre più puntuali che i professionisti che operano in accordo a tale metodologia riportavano avere nei confronti di alcune architetture tecnologiche. In particolare assistiamo all’arricchimento della metodologia per quanto concerne l’applicazione del  modello rispetto alle componenti applicative e di conseguenza al mondo delle applicazioni Web.
 

OSSTMM 4

Le nuove caratteristiche dell’OSSTMM

La prima e principale innovazione contenuta nella nuova versione della metodologia consiste nell’introduzione della procedura operativa e delle chiavi di lettura analitiche legate alle architetture applicative, creando un canale apposito che includa tutti i passaggi metodologici necessari a completare la valutazione della sicurezza di un’applicazione Web, ricavandone inoltre i valori legati alla metrica di sicurezza (per maggiori approfondimenti si veda l’articolo “La Metrica di Sicurezza di OSSTMM” https://www.mediaservice.net/news/496/la-metrica-di-sicurezza-di-osstmm ).

Altra novità introdotta dalla versione 4 della metodologia consiste nell’adozione di Case Study per meglio esemplificare l’applicazione delle tematiche meno immediate, come ad esempio la valutazione delle relazioni di fiducia (Trust Analysis) tra entità legate alla sicurezza delle informazioni. Argomento quest’ultimo di notevole interesse nell’ambito della prevenzione delle frodi in termini di opportunità e rischio.

La modifica della struttura dei test puntuali introdotta nella metodologia OSSTMM 4.0 la rende ancora  più efficace, pur mantenendone inalterate le modalità di esecuzione, le interazioni e la chiave analitica. L’obiettivo di questa riorganizzazione è quello di permettere ai moduli di test di assumere la forma di una checklist, raggruppandoli nelle dimensioni di Sicurezza Operativa e Controlli. Questo approccio rende più fruibile la metodologia nel suo insieme sia per chi esegue le valutazioni di sicurezza, avendo a disposizione una lista dettagliata di operazioni da eseguire, sia per chi ne controlla l’operato .

Nuovo canale Application Security Testing

 

 

La formazione e gli aggiornamenti delle certificazioni

Fino alla versione 3.0 della metodologia OSSTMM, la tematica della verifica delle applicazioni Web era delegata ad altri progetti di sicurezza proattiva, i cui risultati venivano successivamente normalizzati rispetto alla metrica OSSTMM, al fine di garantire l’uniformità dell’analisi. Questa “delega di competenza” non prevedeva di conseguenza un approccio metodologico rispetto alle verifiche web, limitandosi a dare gli strumenti per poi acquisire i risultati prodotti in accordo alla propria metrica.

Grazie alle novità introdotte dalla metodologia OSSTMM 4.0 le tematiche tecniche inerenti la verifica delle applicazioni web divengono parte integrante del percorso di certificazione OPST (OSSTMM Professional Security Tester), in modo da poter mantenere l’omogeneità nel metodo di valutazione. La scelta di non creare una certificazione specifica per il solo contenuto Web è derivata dal fatto che ad oggi risulta sempre più difficile mantenere distinti i due aspetti della verifica di sicurezza.

 

Le certificazioni saranno allineate con la nuova metodologia

 

 

Le iniziative formative in Italia

@ Mediaservice.net S.r.l., in qualità di Training Partner autorizzato per l’Italia sin dal 2001, ha reso disponibili sin dal Gennaio 2015 i corsi sulla metodologia nella sua versione 4.0. Il calendario corsi è disponibile  attraverso il  sito formazione (https://formazione.mediaservice.net/calendario/), attraverso il quale potrà essere effettuata l’iscrizione alle edizioni e sedi più convenienti.

Per quanto concerne invece i professionisti già in possesso della certificazione OPST o OPSA, essi potranno accedere ad uno specifico corso di aggiornamento fortemente consigliato, attraverso il quale  potranno aggiornare le proprie competenze  necessarie a completare una verifica di sicurezza Web secondo i nuovi dettami introdotti dalla recente versione della metodologia OSSTMM.

Giova segnalare che, come fortemente voluto da ISECOM, le certificazioni rilasciate rispetto alle precedenti versioni della metodologia OSSTMM, non perderanno di validità (anche non frequentando il corso di aggiornamento). Il rialscio dell’attestato di partecipazione al corso di aggiornamento costituirà prova del livello di competenza del professionista rispetto allo stato dell’arte della metodologia.

 

20/02/2015 - Fabrizio Sensibile, Security Advisory Team @ Mediaservice.net