OSSTMM
O que é OSSTMM?
OSSTMMMetodologia aberta e revisada por pares de testes de seguranca mantida pelo ISECOM, que define medicoes cientificas e repetiveis de seguranca operacional em cinco canais.
O Open Source Security Testing Methodology Manual (OSSTMM) e mantido pelo Institute for Security and Open Methodologies (ISECOM) e utilizado por auditores e pentesters para conduzir avaliacoes repetiveis e baseadas em evidencias. Define cinco canais de teste — Humano, Fisico, Sem Fio, Telecomunicacoes e Redes de Dados — e produz um resultado quantitativo chamado Risk Assessment Value (RAV), baseado em controles operacionais, limitacoes e confianca. O OSSTMM enfatiza regras de engajamento, medicao cientifica e etica em vez de checklists de ferramentas. E muito citado em auditorias publicas e reguladas e complementa frameworks tecnicos como PTES e NIST SP 800-115.
● Exemplos
- 01
Um auditor usa OSSTMM para pontuar a superficie de ataque fisica e humana de uma agencia bancaria.
- 02
Um pentester combina a pontuacao RAV do OSSTMM com procedimentos tecnicos do PTES.
● Perguntas frequentes
O que é OSSTMM?
Metodologia aberta e revisada por pares de testes de seguranca mantida pelo ISECOM, que define medicoes cientificas e repetiveis de seguranca operacional em cinco canais. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa OSSTMM?
Metodologia aberta e revisada por pares de testes de seguranca mantida pelo ISECOM, que define medicoes cientificas e repetiveis de seguranca operacional em cinco canais.
Como funciona OSSTMM?
O Open Source Security Testing Methodology Manual (OSSTMM) e mantido pelo Institute for Security and Open Methodologies (ISECOM) e utilizado por auditores e pentesters para conduzir avaliacoes repetiveis e baseadas em evidencias. Define cinco canais de teste — Humano, Fisico, Sem Fio, Telecomunicacoes e Redes de Dados — e produz um resultado quantitativo chamado Risk Assessment Value (RAV), baseado em controles operacionais, limitacoes e confianca. O OSSTMM enfatiza regras de engajamento, medicao cientifica e etica em vez de checklists de ferramentas. E muito citado em auditorias publicas e reguladas e complementa frameworks tecnicos como PTES e NIST SP 800-115.
Como se defender contra OSSTMM?
As defesas contra OSSTMM costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para OSSTMM?
Nomes alternativos comuns: Manual de Metodologia de Testes de Seguranca de Codigo Aberto.
● Termos relacionados
- compliance№ 876
PTES
Metodologia comunitaria de teste de intrusao que organiza o trabalho em sete fases, do pre-engajamento ate o reporte e recomendacoes de remediacao.
- compliance№ 768
OSCP
Certificacao pratica de seguranca ofensiva da Offensive Security obtida ao comprometer uma rede de laboratorio em um exame pratico monitorado de 24 horas.
- compliance№ 152
CEH
Certificacao de hacking etico do EC-Council que ensina ferramentas e tecnicas dos atacantes em reconhecimento, exploracao e testes web, sem fio e em nuvem.
- defense-ops№ 813
Teste de intrusão
Ciberataque simulado e autorizado contra sistemas, aplicações ou pessoas para identificar fraquezas exploráveis antes dos adversários reais.
- compliance№ 735
NIST SP 800-30
Publicacao especial do NIST que fornece orientacoes para conduzir avaliacoes de risco de sistemas de informacao e das missoes que eles apoiam.