| Třída | Kanál | Popis |
|---|---|---|
| Fyzická bezpečnost (PHYSEC) | Lidský | Zahrnuje lidský prvek komunikace, kde interakce je buď fyzická, nebo psychologická. |
| Fyzický | Testování fyzické bezpečnosti, kde je kanál jak fyzický, tak neelektronický. Zahrnuje hmatatelný prvek bezpečnosti, kde interakce vyžaduje fyzické úsilí nebo použití energetického přenosu. | |
| Spektrální bezpečnost (SPECSEC) | Bezdrátový | Zahrnuje veškeré elektronické komunikace, signály a emise, které probíhají v rámci známého EM spektra. Patří sem ELSEC (elektronická komunikace), SIGSEC (signály) a EMSEC (emise nevyužívající kabely). |
| Komunikační bezpečnost (COMSEC) | Telekomunikace | Zahrnuje všechny telekomunikační sítě, digitální nebo analogové, kde interakce probíhá prostřednictvím zavedených telefonních nebo telefonních sítí. |
| Datové sítě | Zahrnuje všechny elektronické systémy a datové sítě, kde interakce probíhá prostřednictvím zavedených kabelových nebo drátových síťových linek. |
Poznámka 1: Kanály a jejich rozdělení mohou být reprezentovány různými způsoby, nicméně v rámci tohoto manuálu jsou organizovány jako rozpoznatelné způsoby komunikace a interakce. Tato organizace je navržena tak, aby usnadnila testovací proces a minimalizovala neefektivitu, která často provází přísné metodologie. [2]
Poznámka 2: Všimněte si, že v tabulce nejsou uvedeny třeba: software, procesy, …
Výběr nástrojů a postupů podle komunikačních kanálů je efektivní přístup, zejména pokud využíváte rámce jako OSSTMM (Open Source Security Testing Methodology Manual). Jak ukazuje výše uvedená tabulka, OSSTMM rozděluje kanály na různé třídy (např. Physical Security, Spectrum Security, Communications Security), což umožňuje přizpůsobit testování konkrétním cílům a charakteristikám těchto kanálů. Nicméně je třeba myslet na to, že i tyto rámce mají své limity.
Postup výběru nástrojů a testovacích metod podle kanálů by mohl vypadat například takto:
1. Identifikace kanálu
Nejprve určete, jaký kanál chcete testovat, protože různé kanály vyžadují odlišné přístupy a nástroje:
- Physical Security (PHYSEC):
- Lidský faktor (Human) – např. sociální inženýrství.
- Fyzická bezpečnost (Physical) – např. zabezpečení dveří, kamer, zámků.
- Spectrum Security (SPECSEC):
- Bezdrátová komunikace (Wireless) – např. Wi-Fi, Bluetooth, NFC.
- Communications Security (COMSEC):
- Telekomunikace (Telecommunications) – telefonní linky, hlasové systémy.
- Datové sítě (Data Networks) – IP sítě, ethernet, LAN/WAN.
2. Definujte cíl testování
Na základě kanálu určete, co přesně chcete ověřit:
- Odhalení zranitelností (např. přístupové body, slabá šifrování).
- Simulace reálného útoku (např. průnik do bezdrátové sítě).
- Ověření souladu s normami (např. PCI DSS, GDPR).
3. Zvolte příslušné nástroje
Podle cíle a kanálu vyberte nástroje, které jsou pro testování vhodné:
- Physical Security (PHYSEC):
- Lidský faktor: Testování sociálního inženýrství, simulace phishingu.
- Fyzická bezpečnost: Kontrola fyzických zámků, testování RFID přístupových karet, drony pro vizuální inspekci.
- Spectrum Security (SPECSEC):
- Wireless: Nástroje jako Aircrack-ng, Kismet (pro Wi-Fi), RFCrack (pro NFC/RF).
- Emanace (EMSEC): Softwarové rádio (SDR), detekce nechráněných signálů.
- Communications Security (COMSEC):
- Telekomunikace: Testování pomocí VoIP nástrojů (např. SIPVicious).
- Datové sítě: Nástroje jako Nmap, Wireshark, Metasploit.