الوسوم

, , , ,

مقدمة:

منهجية أو طريقة الاختبار الأمني مفتوح المصدر (Open Source Security Testing Methodology – OSSTM) عبارة عن مقياس معترف به عالميا في الاختبارات و التحاليل الأمنية في مجال أمن المعلومات و الإتصالات, و هو معتمد من قبل العديد من الشركات و المنظمات في مجال عملهم اليومي.

يرتكز على استخدام طريقة علمية في تكميم الأمن العملياتي Operational Security و متطلبات تكلفته في ضوء أغراض العمل. من ناحية تقنية, تقسم هذه المنهجية على أربع مجموعات رئيسية, و هي:

المجال Scope, القناة Channel, الدليل Index, و الموجهVector .

يعرف المجال عملية جمع المعلومات حول كل الأصول و الوحدات التي تعمل في البيئة المستهدفة. و تحدد القناة نوع الاتصالات و التفاعلات بين تلك الوحدات, و التي يمكن أن تكون فيزيائية, طيفية, و من خلال شبكات الاتصال. كل تلك القنوات تصور مجموعة فريدة من المكونات الأمنية التي يجب فحصها و التأكد منها خلال فترة التقييم. و تشمل هذه المكونات الأمن الفيزيائي, سيكلوجية الانسان, شبكات المعلومات, وسائط الاتصال اللاسلكي, و شبكات المواصلات العامة و الخاصة.

بالنسبة للدليل , فهو عبارة عن طريقة تعتبر مفيدة أثناء تصنيف الأصول المستهدفة بالنسبة لمعرفات محددة, مثل, عنوان MAC, و عنوان IP. أما الموجه , فهو يقرر الاتجاه الذي سيقوم المختبر بتدقيقه و تحليله وظيفيا. وهكذا, تهيئ العملية بكاملها الطريق نحو تقييم البيئة المستهدفة بشكل شامل, و تعرف هذه العملية بـ Audit Scope.

يوجد عدة أشكال من الاختبارات الأمنية وقد تم تصنيفها ضمن منهجية OSSTM ضمن ستة أنواع:

  • الأعمى Blind: لا يتطلب الاختبار الأعمى أي معرفة مسبقة من النظام المستهدف, على الرغم من إعلام الهدف حول العملية. نجد أن Ethical Hacking و War Gaming من أفضل الأمثة عن هذا النوع من الاختبارات. و هذا النوع من الاختبارات مرحب به بشكل واسع ضمن عالم الأعمال, بسبب نظرته الاخلاقية من حيث اعلام الهدف بشكل مسبق قبل القيام بالعملية, بما لا يوثر على مسير و أداء أعماله.
  • الأعمى المضاعف Double Blind: في الاختبار الأعمى المضاعف, لا يتطلب المختبر أي معرفة مسبقة حول البيئة المستهدفة, و يختلف عن الاختبار الأعمى بأن الهدف لا يعلم بموعد عملية الاختبار. و أفضل الأمثلة حول هذا النوع من الاختبارات هي Penetration Testing و طريقة Black-Box. و أغلب عمليات الاختبار التي يتم تنفيذها في هذه الأيام تتبع هذه الاستراتيجية, و هذا يخضع المختبرين لتحدي حقيقي في اختيار أفضل أدواتهم وتقاناتهم بغرض الحصول على الهدف المنشود.
  • الصندوق الرمادي Gray Box: في عملية الاختبار من نوع الصندوق الرمادي, يزود المختبر بمعلومات محدودة حول النظام المستهدف, كما يزود النظام الهدف بمعلومات حول عملية الاختبار. يمكننا ملاحظة أن Vulnerability Assessment هي أبسط الأمثلة على هذا النوع من الاختبارات.
  • الصندوق الرمادي المضاعف Double Gray Box: تتشابه عملية الاختبار من هذا النوع مع عمليات الاختبار بطريقة الصندوق الرمادي, باستثناء تحديد طول الفترة الزمنية التي يتم فيها هذا الاختبار و عدم اختبار الأقنية و الموجهات. و مثالا عن هذا النوع من الاختبارات نجد طريقة White-Box.
  • المنسق Tandem: في هذا الاختبار يتم الاتفاق مع النظام المستهدف و تتم مشاركة المعلومات بشكل بسيط مع المختبر و يتم الاختبار بشكل شامل و لكل التفاصيل, و خير الأمثلة عن هذه الطريقة طريقة Crystal Box و الطرق الخاصة.
  • العكسي Reversal: في الاختبار العكسي يمتلك المختبر كافة المعلومات حول النظام المستهدف, كما أنه لا يتم اعلام الهدف كيف و متى ستتم عملية الاختبار, و مثالا عن ذلك نجد Red Team.

بيئة العمل التي يوفرها OSSTM مرنة و قابلة للتوسع و اتباع حالات خاصة محددة تكون مقسمة منطقيا إلى خمس مكونات أمنية من ثلاث قنوات متتالية كما ذكر سابقا. و تختبر هذه الحالات بشكل عام الهدف عن طريق تفحص أمن التحكم بالوصول, أمن العملية, التحكم بالبيانات, المكان الفيزيائي, حماية المحيط, مستوى الوعي الأمني, مستوى الوثوق, الحماية من الاحتيال, و العديد من الاجراءات الأخرى.

تركز اجراءات الاختبار العامة على: ما الذي سيتم اختباره, كيف يجب أن تتم عملية الاختبار, ما هي التكتيكات المتبعة قبل – أثناء – و بعد الاختبار, و كيف سيتم تفسير النتائج النهائية. و قياس حالة الحماية الحالية للنظام الهدف باستخدام مفهوم القياسات الأمنية security metrics يعتبر أمرا بالغ الأهمية, و لذا قدمت منهجية OSSTM هذا المفهوم بالشكل المعرف بـ قيم تحقق الخطر Risk Assessment Values
أو RAV اختصارا. و بأبسط أشكالها تشمل تحليل نتائج الاختبار و حساب القيمة الأمنية الفعلية التي ترتكز على العوامل الثلاثة: الأمن العملياتي, التحكم بالخسائر, و المحدوديات. وتعرف النتيجة النهائية بـ RAV Score. باستخدام RAV Score يمكن للمختبر بسهولة أن يستخلص و يعرف ما هي أفضل الأساليب للحماية و ذلك بالنسبة للانكشاف الأمني. و من ناحية الأعمال, تمكن RAV Score من تحديد مستويات الانفاق على الناحية الأمنية بحيث نحقق أفضل حماية بأقل المصاريف.

الميزات و العائدات الأساسية:

  • يمكن باستخدام منهجية OSSTM و دليل OSSTMM تقليل عدد الأخطاء السلبية و الإيجابية و توفير وسيلة قياس دقيقة في المجال الأمني.
  • بيئة العمل التي توفرها ملائمة لمختلف أنواع الاختبارات الأمنية, مثل اختبارات الاختراق, و التدقيق بحثا عن ثغرات أمنية, و نموذج الصندوق الأبيض, وغيرها.
  • تضمن تنفيذ عملية الاختبار بشكل دقيق بحيث تكون النتائج دقيقة قابلة للتصدير بعدة أشكال مكممة, و موثوقة.
  • تتبع المنهجية ذاتها عملية مكونة من أربع مراحل فردية مستقلة لكنها متصلة, هي: مرحلة التحديد, مرحلة المعلومات, مرحلة التنظيم, و مرحلة اختبار التحكم. و كلاً منها يقوم بتحصيل, تحليل, و اختبار المعلومات المتعلقة بالبيئة الهدف.
  • تقييم مقاييس الأمان يمكن الحصول عليه باستخدام طريقة RAV. يقوم RAV بحساب القيمة الأمنية الفعلية التي ترتكز على الأمن العملياتي, التحكم بالخسارة, و المحدوديات, و الخرج الناتج يدعى بنتيجة RAV, و تحدد الحالة الراهنة للنظام الهدف.
  • تشكيل تقرير الاختبار باستخدام قالب تقرير اختبار التدقيق الأمني أو Security Test Audit Report (STAR)
    يمكن أن يكون مفيدا للأدارة كما للفريق التقني للتحقق من أهداف الاختبار, قيم اختبار الخطر, و خرج كل مرحلة اختبار.
  • يتم تحديث المنهجية بشكل منتظم بإضافة المستجدات في الاختبارات الأمنية, و النظم, و القيم الأخلاقية و القانونية.
  • يمكن دمج OSSTM بسهولة مع أنظمة و سياسات العمل, و قوانين الحكومات. بالإضافة يمكن الحصول على شهادات متوافقة و معتمدة من ISECOM معهد الأمن و المنهجيات المفتوحة.

From the book “BackTrack 4 : Assuring Security By Penetration Testing” by Shakeel Ali and Tedi Heriyanto.

Translated to Arabic by me, Ammar M. Zerouk

Advertisements