在滲透測試領域,大多數方法論仍依賴主觀判斷。OSSTMM(Open Source Security Testing Methodology Manual) 打破此困境,以科學量化取代直覺,讓安全評估結果可重複、可驗證、可比較。
RAVs:將安全風險轉化為可計算的數值
Risk Assessment Values(RAVs) 是 OSSTMM 的核心量化機制。RAVs 由三個維度構成:Operations(營運安全)、Limitations(存取限制)、Controls(安全控制)。測試者透過計算各維度的數值,最終產出一個介於 0 到 100 的安全分數(Attack Surface)。分數越低,代表攻擊面越小、安全性越高。此設計讓不同時間點、不同測試者的評估結果可直接比較,徹底消除主觀偏差。RAVs 公式的核心邏輯是:安全 = 控制強度 ÷ 攻擊面大小,以數學模型替代口頭描述。
五大通道:涵蓋全面攻擊面的測試框架
OSSTMM 將所有安全互動分為五大通道,確保評估不遺漏任何攻擊向量。Human(人類通道)涵蓋社交工程、釣魚攻擊;Physical(實體通道)測試門禁、硬體安全;Wireless(無線通道)評估 Wi-Fi、藍牙、RFID;Telecommunications(電信通道)涵蓋語音、傳真、VoIP;Data Networks(數據網路通道)針對 TCP/IP、應用層協定。每個通道均有獨立的測試模組(Test Module),並產出對應的 RAVs 數值,最終彙整為整體安全評分,形成結構化、全向度的評估報告。
💡 重點整理
- 科學量化:RAVs 以數值取代主觀描述,確保評估具可重複性。
- 全向覆蓋:五大通道從人到網路,涵蓋所有潛在攻擊面。
- 攻擊面計算:安全分數直接反映暴露風險,數字即是依據。
- 開放標準:OSSTMM 由 ISECOM 維護,可免費取得並自由應用。
OSSTMM 不只是測試清單,而是一套可執行的安全科學框架。若你的組織需要讓安全評估結果說服董事會或監管機構,RAVs 與五大通道正是最有力的語言。
📚 參考文獻
- ISECOM — OSSTMM 3 官方完整手冊(PDF):OSSTMM 第三版原始文件,涵蓋 RAVs 計算公式與全部通道規範。
- ISECOM Research — 官方研究資源頁:持續更新的補充資料與安全測試延伸研究。
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言