|
|
OSSTMM une méthodologie Open Source pour les audits de sécurité
Par Rédaction,
secuobs.com
Le 19/04/2007
Résumé : OSSTMM est un projet libre à l'initiative de l'organisation ISECON ; son but est de fournir un manuel expliquant méthodologiquement les différentes étapes à respecter lors de la réalisation d'un audit de sécurité. - Lire l'article
Le projet OSSTMM ( lien ) ou Open Source Security Testing Methodology Manual est comme son nom l'indique un document, placée sous la licence libre CC Creative Commons 2.5, visant à décrire une méthodologie pouvant être utilisée lors de la réalisation d'un audit de sécurité.
Il se destine donc principalement aux spécialistes des tests d'intrusion mais aussi à l'ensemble des personnes souhaitant faire l'apprentissage de ce métier ou intégrer des compétences sécurité additionnelles à un profil de responsables systèmes/réseaux informatiques et téléphoniques ; environnements d'autant plus convergeants via la VoIP.
Présenté lors de la dernière conférence IT Underground ( lien ) qui s'est déroulée à Prague du 7 au 9 mars dernier, la version 3.0 d'OSSTMM est à mettre une nouvelle fois à l'initiative de la communauté de recherches ISECOM ( lien ), organisation à but non lucratif dont les membres se répartissent notamment entre l'Espagne et les États-Unis.
OSSTMM est disponible en plusieurs versions, la branche 2.x avec la version 2.2 qui est disponible publiquement depuis le 14 décembre 2006 et la tout récente branche 3.x et sa version OSSTMM.3.0.editor.RC9-2 disponible elle depuis le 20 novembre 2006. Cette dernière est, pour l'instant, uniquement téléchargeable par les membres adhérants ( lien ) aux différents services premium.
Les tarifs de souscription oscillent entre 49 et 259 dollars ; souscription permettant d'avoir accès aux versions les plus récentes du projet soit au mieux six mois avant les sorties publiques. OSSTMM se décompose en cinq chapitres distincts dont les sujets concernent la sécurité des informations sensibles, de l'exécution des processus, des connections internet mais aussi des différents moyens de communication tout comme celle de connections sans-fil et pour finir la sécurité physique.
Au programme on retrouve donc le contrôle des données, les niveaux de privilèges, des mesures contre l'ingénierie sociale, l'audit des périphériques mobiles et l'établissement de périmètres physiques de sécurité. On peut y apprendre les techniques permettant de tester un réseau, les besoins préalables à ces tests ainsi que celles relatives à l'analyse des données collectées en vue de réaliser un rapport d'audit.
Il est possible de consulter ce document en langue anglaise ( lien ) pour la version 2.2 ou en langue espagnole ( lien ) pour la version 2.1 ( lien ) selon les convenances.
- Article suivant : BinBLAST ou la bio-informatique au service de la sécurité antivirale
- Article précédent : Volatools Basic un outil libre d'analyse de la mémoire pour le forensic
- Article suivant dans la catégorie Outils : BinBLAST ou la bio-informatique au service de la sécurité antivirale
- Article précédent dans la catégorie Outils : Volatools Basic un outil libre d'analyse de la mémoire pour le forensic
| Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
| Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|
