M185 - Sicherheitsmassnahmen für KMU IT
  • Intro
  • Administration
    • 🗓️Organisatorisches / Bewertung
    • Bewertung / Kompetenznachweis
  • TAG 1
    • 🏁Tagesziele
    • Einstieg IT-Security
      • 📝Aufgabe 1
      • 📝Aufgabe 2 - Vorfälle untersuchen
    • Sicherheitsstandards
      • ISO 27001 / 27002
      • Center for Internet Security (CIS)
      • NIST
      • OSSTMM
    • BSI Grundschutzkompendium
      • IT-Grundschutz
      • 📝Aufgabe 1 - Strukturanalyse
      • 📝Aufgabe 2 - Analyse / Modellierung durchführen
  • TAG 2
    • 🏁Tagesziele
    • Bedrohungen und Angriffsformen
      • Ransomware-Angriffe
      • Phishing
      • Supply Chain-Angriffe
      • Zero-Day-Exploits
      • DDos-Angriffe
      • Credential Stuffing
      • Social Engineering
    • 📝Aufgabe - HackTheBox einrichten
    • 📝Aufgabe - HackTheBox Tier 0 lösen
    • 📝Aufgabe - BSI - Gefährdungskatalog
    • 📝Aufgabe - HackTheBox Tier 1
  • TAG 3
    • 🏁Tagesziele
    • Angriffsarten auf Web-Applikationen
      • OWASP TOP 10
      • 📝Aufgabe - OWASP TOP 10
      • 📝Aufgabe - Angriffsarten
    • Mittel und Methoden
    • 📝Nachbearbeitung - HackTheBox Tier 1
    • 📝Vorfälle behandeln
    • 📝Aufgabe - HackTheBox Tier 2
  • TAG 4
    • 🏁Tagesziele
    • Sicherheitsmechanismen
      • 📝Atomkraftwerk absichern
    • Audit-Reports
    • 📝Erstellen Audit-Report
  • TAG 5
    • 🏁Tagesziele
    • Cyberattacke - was tun?
    • Meldestelle Schweiz
    • 📝Aufgabe - Checkliste
  • Laborumgebung
    • Hardware
    • HackTheBox Setup
    • Software
Powered by GitBook
On this page
  • Zielsetzung
  • Methodik
  • Sieben Schichten
  • Testziele
  • Metriken und Messungen
  • Veröffentlichung
  • Gegnerzentrierter Ansatz
  • Best Practices
  1. TAG 1
  2. Sicherheitsstandards

OSSTMM

PreviousNISTNextBSI Grundschutzkompendium

Last updated 1 year ago

Das "Open Source Security Testing Methodology Manual" (OSSTMM) ist eine Open-Source-Methode für Sicherheitstests und -bewertungen. Es wurde entwickelt, um Organisationen dabei zu helfen, ihre Informationssysteme und Netzwerke auf Schwachstellen zu überprüfen und Sicherheitslücken zu identifizieren. Das OSSTMM legt einen Schwerpunkt auf eine wissenschaftliche und methodische Herangehensweise an Sicherheitstests. Hier ist eine Übersicht über das OSSTMM:

Zielsetzung

Das Hauptziel des OSSTMM besteht darin, eine strukturierte und wissenschaftliche Methode für Sicherheitstests bereitzustellen, die Schwachstellen in Systemen und Netzwerken aufdeckt. Es legt grossen Wert auf die objektive Bewertung der Sicherheitslage.

Methodik

Das OSSTMM bietet eine umfassende Methodik, die verschiedene Aspekte von Sicherheitstests abdeckt. Dazu gehören Tests auf technischer, physischer und menschlicher Ebene.

Sieben Schichten

Das OSSTMM gliedert Sicherheitstests in sieben Schichten, die verschiedene Aspekte abdecken, darunter Informationsschicht, menschliche Schicht, organisatorische Schicht, technische Schicht, physische Schicht, Werkzeug- und Anwendungsschicht sowie Protokoll- und Netzwerkschicht.

Testziele

Das OSSTMM konzentriert sich auf das Testen von Sicherheitsaspekten wie Vertraulichkeit, Integrität, Verfügbarkeit und Authentifizierung von Informationen. Es prüft auch, wie effektiv Sicherheitsmechanismen gegen Angriffe schützen.

Metriken und Messungen

Das OSSTMM betont die Verwendung von quantitativen Metriken und Messungen, um die Ergebnisse der Sicherheitstests zu bewerten. Dies ermöglicht eine objektive Bewertung der Sicherheitslage.

Veröffentlichung

Das OSSTMM steht als Open Source zur Verfügung, was bedeutet, dass es für jeden zugänglich und anpassbar ist. Dies fördert die Zusammenarbeit und Weiterentwicklung in der Sicherheitsgemeinschaft.

Gegnerzentrierter Ansatz

Ein wichtiger Aspekt des OSSTMM ist der gegnerzentrierte Ansatz. Das bedeutet, dass Sicherheitstests darauf abzielen, Schwachstellen und Lücken zu identifizieren, die ein potenzieller Angreifer ausnutzen könnte.

Best Practices

Das OSSTMM enthält eine Sammlung von bewährten Praktiken, die Sicherheitstester befolgen können, um die Qualität und Effektivität ihrer Tests zu verbessern.

Das OSSTMM ist eine wissenschaftliche und methodische Herangehensweise an Sicherheitstests und -bewertungen. Es ist eine wertvolle Ressource für Sicherheitsexperten, die nach einer strukturierten Methode suchen, um die Sicherheit von Systemen und Netzwerken zu überprüfen

Weiterführende Informationen (Englisch):

https://www.isecom.org/OSSTMM.3.pdf