Wie läuft ein OSSTMM Security Audit ab?
Die OSSTMM-Methodik ermöglicht es, die Sicherheit von Webseiten, Webapplikationen oder IT-Infrastrukturen nach wissenschaftlichen Standards zu überprüfen. Trainer Yves Kraft zeigt am Beispiel des Security Audits einer Website, wie man dabei vorgeht.
Open Source Security Testing Methodology Manual – kurz OSSTMM – ist eine wissenschaftliche Methodik, um die Sicherheit von Websites, Webapplikationen, Datenbanken, IT-Infrastrukturen und vielem mehr zu klassifizieren. Die Methodologie gibt vor, wie ein Security Audit geplant, durchgeführt und korrekt dokumentiert werden sollte.
Entwickelt wurde OSSTMM vom Institute for Security and Open Methodologies (ISECOM). OSSTMM ist frei verfügbar und inzwischen ein De-facto-Standard für Sicherheitsprüfungen.
Die 10 Operational Controls als Schutzmechanismen
Beim Security Audit nach OSSTMM betrachten Security Tester die Angriffsfläche (Attack Surface) eines Assets (Vermögenswert).
Die Angriffsfläche ist die Basis für jede Risikobeurteilung, denn sie zeigt, wie verwundbar ein Asset ist und wie es angegriffen werden kann.
Die operative Sicherheit dient der Prävention von Angriffen. Sie setzt nicht-interaktive Grenzen, um Interaktionen und unberechtigte Zugriffe zu verhindern. Dabei klassifiziert sie Interaktionen in:
- Visibilities (Sichtbarkeiten)
- Accesses (Interaktionen von ausserhalb des Scopes)
- und Trust (Interaktionen zwischen Entitäten innerhalb des Scopes).
Die OSSTMM-Methodik kennt für das Setzen der nicht-interaktiven Grenzen zehn Operational Controls, die als Schutzmechanismen für ein System dienen. Diese zehn Operational Controls sind:
- Authentication = Abfrage von Anmeldeinformationen
- Indemnification = Sichtbare Warnungen bei unberechtigten Zugriffen
- Resilience = Resilienz des Systems; bei einem Fehlerfall darf nicht automatisch das ganze System freigeschaltet werden
- Subjection = Unterjochung; Interaktionen dürfen nur nach definierten Prozessen stattfinden
- Continuity = Kontinuität des Systems; die Interaktivität mit dem Asset muss im Falle eines Angriffs aufrechterhalten bleiben
- Non-Repudiation = Nicht-Verleugnung; betrifft alles, was mit Logging zu tun hat
- Confidentiality = Vertraulichkeit, Verschlüsselungen
- Privacy = Datenschutz, z.B. Port-Knocking
- Integrity = Integrität gewährleisten, z.B. durch Signaturen
- Alarm = Steuerung, um eine Interaktion zu melden
Die 5 Kategorien von Sicherheitslücken
Wie gut die Operational Controls funktionieren, hängt von fünf Limitations ab. Limitations sind die Sicherheitslücken eines Systems, die je nach Schweregrad in fünf Kategorien eingeteilt werden können:
1 Vulnerability = Lücke im Sicherheitsmechanismus
2 Weakness = Schwachstelle in der Plattform
3 Concern = keine direkte Bedrohung, entspricht aber nicht den Best Practices
4 Exposure = Preisgabe von Informationen
5 Anomaly = Unbekannte im System
Um die Angriffsfläche bei einem Security Audit nach OSSTMM zu messen, prüfen die Security Tester, ob die zehn Operational Controls eingehalten werden und ob Limitations vorhanden sind. Pluspunkte im Test gibt es, wenn die Controls vorhanden und gut sind, Minuspunkte, wenn Angreifer sie umgehen können.
Alles wird gegeneinander aufgerechnet und am Ende der Rechnung steht der Risk Assesment Value (RAV). Dieser setzt die Angriffsfläche ins Verhältnis zu den Sicherheitsmassnahmen und gibt so Auskunft über das aktuelle Sicherheitsniveau eines Systems.
Ein Beispiel: Security Audit einer Website nach OSSTMM
Im DigiSnack-Webinar «Zuverlässige Security Tests mit der OSSTMM-Methodologie» hat Senior Penetration Tester Yves Kraft ein Security Audit einer E-Commerce-Website nach OSSTMM im Schnelldurchlauf (ca. 15 Minuten) durchgeführt.
Sehen Sie sich den Ablauf des Security Audits im obigen Video an oder lesen Sie unten, welche Erkenntnisse das Quick-Audit gebracht hat:
- Die Website läuft auf einem Server.
- Es gibt drei offene Ports (Webports und einen Remotezugang).
- Nicht nur TSP (Telecom Service Provider), sondern auch ISP (Internet Service Provider) ist gegeben.
- Um ein Produkt zu kaufen, muss man sich anmelden. Die Operational Control Authentication ist somit gegeben.
- Impressum, Datenschutzbestimmungen, AGB und Cookie-Einstellungen sind vorhanden, somit auch viermal die Operational Control Indemnification.
- Wenn die Benutzerinnen und Benutzer die Website über das http-Protokoll aufrufen, werden sie auf https umgeleitet. Damit ist die Control Subjugation gegeben.
- Die Website verfügt über verschlüsselte Verbindungen, nämlich https und SSH. Die Controls Confidentiality und Integrity sind erfüllt.
- Es gibt ein Wildcard-Zertifikat, daher liegt die Limitation Weakness vor.
- Der HSTS-Header istgesetzt, aber nicht vollständig konfiguriert. Die Limitation Concern ist in diesem Fall gegeben.
- Die Versionsinformationen für den Webserver, SSH und das Betriebssystem sind auf dem Printscreen ersichtlich. Somit ist die Limitation Exposure erfüllt.
So wird der Risk Assessment Value (RAV) berechnet
Die gesammelten Erkenntnisse ergeben im RAV-Calculator folgende Berechnung:
Operational Security (OpSec) | Visibility | 1 (1 Server) |
Access | 4 (3 offene Ports, ISP) | |
Trusts | 0 | |
Operational Controls | Authentification | 3 (bei jedem Port) |
Indemnification | 8 (vier Beispiele bei zwei Ports) | |
Resilience | 3 (bei jedem Port) | |
Subjugation | 2 (ausser SSH) | |
Continuity | 0 (da nur 1 Server) | |
Non-Reputation | 3 (bei jedem Port) | |
Confidentiality | 2 (zwei verschiedene Verbindungen) | |
Privacy | 0 | |
Integrity | 2 (zwei verschiedene Verbindungen) | |
Alarm | 0 | |
Limitations | Vulnerabilities | 0 |
Weaknesses | 1 (Wildcard-Zertifikat) | |
Concerns | 1 (HSTS) | |
Exposures | 2 (Engine-X-Version des http-Dienstes und SSH sind ersichtlich) | |
Anomalies | 0 | |
RAV | 89.041 |
Der RAV ist zwar kein Prozentwert, aber hinter der Berechnung steht eine logische Formel auf der Basis von 10, die einen Wert zwischen 0 und 100 Prozent nahelegt.
Ein Wert von 100 Prozent wäre das perfekte Gleichgewicht zwischen Angriffsfläche und Sicherheitsmassnahmen.
Werte unter 80 Prozent deuten auf eine potenziell grosse Angriffsfläche hin.
Werte zwischen 85 und 90 Prozent sind gut für eine E-Commerce-Website.
Für die Beispielseite ergibt sich aus den Berechnungen ein Wert von 89 Prozent.
Der Nutzen von OSSTMM und RAV
Das Security Audit nach OSSTMM liefert eine objektive und eindeutige Aussage zur Sicherheit eines Systems und kann regelmässig unter den gleichen Bedingungen wiederholt werden, um den Erfolg von Sicherheitsmassnahmen zu überprüfen.
Der aus dem Security Audit nach OSSTMM resultierende RAV beantwortet folgende Fragen:
- Wie viel (mehr) Geld soll für die Sicherheit des Systems ausgegeben werden?
- Was soll zuerst gesichert werden?
- Welche Schutzlösungen braucht das System und wie sollten diese für den maximalen Schutz aufgestellt werden?
- Wie viel Verbesserung wird durch die spezifische Sicherheitsbeschaffung und die Prozesse erreicht?
- Wie messen Sie die periodischen Sicherheitsanstrengungen und -Verbesserungen?
- Sind Ihre Assets exponiert? Werden potenzielle Bedrohungen reduziert?
- Wie gut widersteht Ihr System Angriffen?
- Entspricht das System den Auflagen und Regularien?
Zertifizierungen für OSSTMMUm als OSSTMM Professional Security Tester arbeiten zu können, gibt es eine Reihe von speziellen Zertifizierungen: OSSTMM Professional Security Tester (OPST), OSSTMM Professional Security Analyst (OPSA), OSSTMM Wireless Security Expert (OWSE), OSSTMM Professional Security Expert (OPSE), Certified Trust Analyst (CTA) und Security Awareness Instructor (SAI). Die Digicomp Academy bietet zwei Kurse an:
|
Um als OSSTMM Professional Security Tester arbeiten zu können, gibt es eine Reihe von speziellen Zertifizierungen: OSSTMM Professional Security Tester (OPST), OSSTMM Professional Security Analyst (OPSA), OSSTMM Wireless Security Expert (OWSE), OSSTMM Professional Security Expert (OPSE), Certified Trust Analyst (CTA) und Security Awareness Instructor (SAI).
Die Digicomp Academy bietet zwei Kurse an:
- OSSTMM Professional Security Tester (OPST) Fast Track:
Dieser Kurs bereitet Sie auf die Prüfung zum «Certified OSSTMM Professional Security Tester (OPST)» vor. Die Zertifizierung findet am letzten Kurstag statt. - Advanced Penetration Tester:
Dieser Kurs bereitet Sie auf die Prüfung zum «Certified OSSTMM Professional Security Tester (OPST)» vor und bringt Sie dem Rollenzertifikat «Professional Penetration Tester» einen Schritt näher.