OSSTMM
Was ist OSSTMM?
OSSTMMOffene, peer-reviewte Sicherheitstest-Methodik des ISECOM, die wissenschaftliche und reproduzierbare Messungen der operativen Sicherheit uber funf Kanale hinweg definiert.
Das Open Source Security Testing Methodology Manual (OSSTMM) wird vom Institute for Security and Open Methodologies (ISECOM) gepflegt und von Auditoren und Pentestern fur reproduzierbare, evidenzbasierte Bewertungen genutzt. Es definiert funf Testkanale: Human, Physical, Wireless, Telecommunications und Data Networks. Auf Basis operativer Kontrollen, Einschrankungen und Vertrauen wird ein quantitativer Risk Assessment Value (RAV) ermittelt. OSSTMM legt Wert auf Rules of Engagement, wissenschaftliche Messung und Ethik statt auf Tool-Checklisten. Es wird in behordlichen und regulierten Audits oft zitiert und erganzt technische Frameworks wie PTES und NIST SP 800-115.
● Beispiele
- 01
Ein Auditor bewertet mit OSSTMM die physische und menschliche Angriffsflache einer Bankfiliale.
- 02
Ein Pentester kombiniert das RAV-Scoring des OSSTMM mit den technischen Verfahren des PTES.
● Häufige Fragen
Was ist OSSTMM?
Offene, peer-reviewte Sicherheitstest-Methodik des ISECOM, die wissenschaftliche und reproduzierbare Messungen der operativen Sicherheit uber funf Kanale hinweg definiert. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet OSSTMM?
Offene, peer-reviewte Sicherheitstest-Methodik des ISECOM, die wissenschaftliche und reproduzierbare Messungen der operativen Sicherheit uber funf Kanale hinweg definiert.
Wie funktioniert OSSTMM?
Das Open Source Security Testing Methodology Manual (OSSTMM) wird vom Institute for Security and Open Methodologies (ISECOM) gepflegt und von Auditoren und Pentestern fur reproduzierbare, evidenzbasierte Bewertungen genutzt. Es definiert funf Testkanale: Human, Physical, Wireless, Telecommunications und Data Networks. Auf Basis operativer Kontrollen, Einschrankungen und Vertrauen wird ein quantitativer Risk Assessment Value (RAV) ermittelt. OSSTMM legt Wert auf Rules of Engagement, wissenschaftliche Messung und Ethik statt auf Tool-Checklisten. Es wird in behordlichen und regulierten Audits oft zitiert und erganzt technische Frameworks wie PTES und NIST SP 800-115.
Wie schützt man sich gegen OSSTMM?
Schutzmaßnahmen gegen OSSTMM kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für OSSTMM?
Übliche alternative Bezeichnungen: Open-Source-Methodikhandbuch zum Sicherheitstest.
● Verwandte Begriffe
- compliance№ 876
PTES
Von der Community entwickelte Penetration-Testing-Methodik, die Engagements in sieben Phasen vom Pre-Engagement bis zum Reporting und Remediation-Empfehlungen gliedert.
- compliance№ 768
OSCP
Praxisorientierte Offensive-Security-Zertifizierung von Offensive Security, die durch das Kompromittieren eines Labornetzwerks in einer 24-stundigen beaufsichtigten Prufung erworben wird.
- compliance№ 152
CEH
Ethical-Hacking-Zertifizierung von EC-Council, die Werkzeuge und Techniken der Angreifer in den Bereichen Aufklarung, Exploitation sowie Web-, Funk- und Cloud-Tests vermittelt.
- defense-ops№ 813
Penetrationstest
Autorisierter, simulierter Cyberangriff auf Systeme, Anwendungen oder Personen, um ausnutzbare Schwächen vor echten Angreifern zu finden.
- compliance№ 735
NIST SP 800-30
NIST Special Publication mit Leitfaden zur Durchfuhrung von Risikobewertungen fur Informationssysteme und die von ihnen unterstutzten Missionen.