OSSTMM
OSSTMM 是什么?
OSSTMM由 ISECOM 维护的开源、同行评审的安全测试方法,定义了跨五个通道、科学且可重复的运营安全度量。
开源安全测试方法手册(OSSTMM)由 Institute for Security and Open Methodologies(ISECOM)维护,审计人员和渗透测试人员用它来开展可重复、基于证据的评估。它定义了五条测试通道:人员、物理、无线、电信和数据网络;并基于运营控制、限制与信任程度,产出量化指标 Risk Assessment Value(RAV)。OSSTMM 强调测试规则、科学度量与道德,而不是工具清单。它在政府与受监管行业的审计中被广泛引用,可与 PTES 和 NIST SP 800-115 等技术框架互补。
● 示例
- 01
审计人员使用 OSSTMM 评估银行支行的人员与物理攻击面。
- 02
渗透测试人员将 OSSTMM 的 RAV 评分与 PTES 的技术过程结合使用。
● 常见问题
OSSTMM 是什么?
由 ISECOM 维护的开源、同行评审的安全测试方法,定义了跨五个通道、科学且可重复的运营安全度量。 它属于网络安全的 合规与框架 分类。
OSSTMM 是什么意思?
由 ISECOM 维护的开源、同行评审的安全测试方法,定义了跨五个通道、科学且可重复的运营安全度量。
OSSTMM 是如何工作的?
开源安全测试方法手册(OSSTMM)由 Institute for Security and Open Methodologies(ISECOM)维护,审计人员和渗透测试人员用它来开展可重复、基于证据的评估。它定义了五条测试通道:人员、物理、无线、电信和数据网络;并基于运营控制、限制与信任程度,产出量化指标 Risk Assessment Value(RAV)。OSSTMM 强调测试规则、科学度量与道德,而不是工具清单。它在政府与受监管行业的审计中被广泛引用,可与 PTES 和 NIST SP 800-115 等技术框架互补。
如何防御 OSSTMM?
针对 OSSTMM 的防御通常结合技术控制与运营实践,详见上方完整定义。
OSSTMM 还有哪些其他名称?
常见的别称包括: 开源安全测试方法手册。
● 相关术语
- compliance№ 876
PTES
社区构建的渗透测试方法论,将一次项目划分为七个阶段,从前期沟通直至报告与修复建议。
- compliance№ 768
OSCP
Offensive Security 颁发的实操型攻击安全认证,需要在 24 小时的监考实战考试中攻陷实验网络。
- compliance№ 152
CEH
EC-Council 颁发的道德黑客认证,系统讲解攻击者使用的工具与技术,涵盖侦察、漏洞利用、Web、无线和云端测试。
- defense-ops№ 813
渗透测试
对系统、应用或人员进行的经授权的模拟网络攻击,在真实攻击者之前发现可被利用的弱点。
- compliance№ 735
NIST SP 800-30
NIST 特别出版物,提供对信息系统及其支撑业务进行风险评估的方法指南。