Metodyka pentestingu – Open Source Security Testing Methodology Manual.

Pentester to specjalista, który wykonuje testy bezpieczeństwa systemów IT (testy penetracyjne) i tym samym ocenia aktualny stan bezpieczeństwa systemu teleinformatycznego.

Pentesterzy sprawdzają system pod kątem występowania znanych podatności, poprawności konfiguracji jak i jego odporności na różne formy ataków, jest to także coraz częściej spotykana specjalizacja wśród ekspertów ds. bezpieczeństwa.

Skuteczność testu penetracyjnego w dużej mierze zależy od wiedzy i umiejętności pentestera lub jego zespołu. Nie mniej ważny jest sam sposób wykonywania testów, jego plan działania, eliminacja błędów, analiza i wyciągnięcie wniosków.

„Potrzebny jest zbiór dobrych praktyk oraz zasad opisujących czynności wykonywane przed, podczas i po teście bezpieczeństwa, jak i określających metodę szacowania wyników” – mówi Bartosz Niepsuj, dyrektor ds. technicznych w Compendium Centrum Edukacyjnym„Mówiąc w skrócie: potrzebujemy metodyki prowadzenia testów penetracyjnych.” – podkreśla.

Jedną z bardziej znanych tego typu metodyk jest OSSTMM (Open Source Security Testing Methodology Manual) opracowywana przez ISECOM (Institute For Security And Open Methodologies) www.isecom.org.
OSSTMM (www.isecom.org/osstmm/) jest metodyką stale uaktualnianą i weryfikowaną, w sposób ciągły dodawane są nowe testy w oparciu o międzynarodowe zbiory najnowszych praktyk, przepisów prawa, regulacji oraz zasad etycznych. W ten sposób obecnie jest opracowywana już 3 wersja tego dokumentu.

OSSTMM jest podzielony na pięć sekcji (kanałów), które między innymi opisują testy związane ze zbieraniem danych i informacji, poziomem świadomości bezpieczeństwa wśród pracowników, badaniem poziomu możliwych nadużyć oraz podatności na metody socjotechniczne, badaniem sieci teleinformatycznych, testowaniem urządzeń bezprzewodowych, poziomem fizycznego bezpieczeństwa, procedurami bezpieczeństwa. Dokładny spis treści dostępny jest pod tym adresem:
http://www.isecom.org/mirror/OSSTMM.3.Table_of_Contents.pdf.

Compendium CE poprzez nawiązanie współpracy z firmą @Mediaservice.net autoryzowanego partnera szkoleniowego organizacji ISECOM wprowadziło na rynek polski certyfikowane szkolenia OPST (OSSTMM Professional Security Tester) i OPSA (OSSTMM Professional Security Analyst).

Oba szkolenia OPST i OPSA dostarczają niezbędnej wiedzy i umiejętności praktycznych dla szerokiej grupy odbiorców: specjalistów wykonywających profesjonalne testy penetracyjne, liderów grup testerów, specjalistów ds. bezpieczeństwa i analizy ryzyka, administratorów IT i wielu innych.

Warto podkreślić, że w ramach piątego dnia szkoleń uczestnicy przystępują do certyfikowanego egzaminu pozwlającego uzyskać odpowiednio tytuł OSSTMM Professional Security Tester i OSSTMM Professional Security Analyst.

Wymienione certyfikacje są uznanymi i rozpoznawalnymi tytułami na całym świecie i stanowią gwarancje profesjonalizmu wykonywania usług związanych z testami penetracyjnymi systemów IT.

Wszyscy, którzy chcą na bieżąco śledzić informacje ze świata OSSTMM mogą to robić za pomocą Facebooka http://www.facebook.com/OSSTMM

Więcej o szkoleniach testy penetracyjne

Zobacz także:

None Found