Actualmente se encuentra en desarrollo la versión número 3 de este completo manual, el equipo desarrollador del proyecto ha hecho algunas presentaciones incluyendo videos sobre la nueva versión, igualmente se había publicado en el foro la versión 2.1 en idioma español. Pero muchos de nuestros usuarios pueden desconocer cual es la finalidad o contenido de este extenso manual de metodología.
El Manual de la Metodología Abierta de Comprobación de la Seguridad (OSSTMM, Open Source Security Testing Methodology Manual) es uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría. Se ha logrado gracias a un consenso entre más de 150 expertos internacionales sobre el tema, que colaboran entre sí mediante Internet. Se encuentra en constante evolución y actualmente se compone de las siguientes fases:
Sección A -Seguridad de la Información
- Revisión de la Inteligencia Competitiva
- Revision de Privacidad
- Recolección de Documentos
Sección B – Seguridad de los Procesos
- Testeo de Solicitud
- Testeo de Sugerencia Dirigida
- Testeo de las Personas Confiables
Sección C – Seguridad en las tecnologías de Internet
- Logística y Controles
- Exploración de Red
- Identificación de los Servicios del Sistema
- Búsqueda de Información Competitiva
- Revisión de Privacidad
- Obtención de Documentos
- Búsqueda y Verificación de Vulnerabilidades
- Testeo de Aplicaciones de Internet
- Enrutamiento
- Testeo de Sistemas Confiados
- Testeo de Control de Acceso
- Testeo de Sistema de Detección de Intrusos
- Testeo de Medidas de Contingencia
- Descifrado de Contraseñas
- Testeo de Denegación de Servicios
- Evaluación de Políticas de Seguridad
Sección D – Seguridad en las Comunicaciones
- Testeo de PBX
- Testeo del Correo de Voz
- Revisión del FAX
- Testeo del Modem
Sección E – Seguridad Inalámbrica
- Verificación de Radiación Electromagnética (EMR)
- Verificación de Redes Inalámbricas [802.11]
- Verificación de Redes Bluetooth
- Verificación de Dispositivos de Entrada Inalámbricos
- Verificación de Dispositivos de Mano Inalámbricos
- Verificación de Comunicaciones sin Cable
- Verificación de Dispositivos de Vigilancia Inalámbricos
- Verificación de Dispositivos de Transacción Inalámbricos
- Verficación de RFID
- Verificación de Sistemas Infrarrojos
- Revisión de Privacidad
Sección F – Seguridad Física
- Revisión de Perímetro
- Revisión de monitoreo
- Evaluación de Controles de Acceso
- Revisión de Respuesta de Alarmas
- Revisión de Ubicación
- Revisión de Entorno
OWASP
Es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP.
OWISAM es una metodología abierta para el análisis de seguridad Wireless que busca llenar el vació actual en cuanto mejores prácticas a la hora de realizar una auditoría de una red inalámbrica.
Pruebas de Penetración
Las Pruebas de Penetración se realizan desde la posición de un atacante potencial de manera remota y local, buscando explotar activamente las vulnerabilidades de seguridad para obtener información relevante. Tal como lo intentaría un intruso con propósitos adversos para la organización. En conjunto con el cliente diseñamos y ejecutamos escenarios reales que permitirán identificar áreas de oportunidad para disminuir el impacto y la probabilidad de ciberataques.
El estándar de ejecución de las pruebas de penetración consta de siete (7) secciones principales. Estos cubren todo lo relacionado con una prueba de penetración - desde la comunicación inicial y el razonamiento detrás de un pentest, a través de la recopilación de inteligencia y las fases de modelado de amenazas donde los probadores están trabajando entre bastidores para obtener una mejor comprensión de la organización probada, explotación y post-explotación, donde la experiencia técnica de seguridad de los probadores vienen a jugar y se combinan con la comprensión del negocio del compromiso, y finalmente al reporting, que captura todo el proceso, de manera que tenga sentido para el cliente y proporcione el más valor para él.
A continuación se presentan las secciones principales definidas por la norma como base para la ejecución de pruebas de penetración:
Interacciones de pre-compromiso
La recogida de información
Modelado de amenazas
Análisis de Vulnerabilidad
Explotación
Post Explotación
Informes
Las estrategias de prueba de penetración son:
Pruebas orientadas a un objetivo
Estas pruebas selectivas se llevan a cabo en conjunto por el equipo de TI de la organización y el equipo de pruebas de penetración. A veces se le llama un enfoque de “luces encendidas” porque cualquiera puede ver el examen que se lleva a cabo.
Comprobación externa
Este tipo de prueba de penetración se dirige a los servidores o dispositivos de la compañía que son visibles externamente, incluyendo servidores de nombres de dominio (DNS), servidores de correo electrónico, servidores web o firewalls. El objetivo es averiguar si un atacante externo puede entrar y hasta dónde puede llegar una vez que ha obtenido acceso.
Pruebas internas
Esta prueba simula un ataque interno detrás del firewall por un usuario autorizado, con privilegios de acceso estándar. Este tipo de prueba es útil para estimar la cantidad de daño que un empleado descontento podría causar.
Pruebas a ciegas
Una estrategia de prueba a ciegas simula las acciones y procedimientos de un atacante real, limitando severamente la información dada de antemano a la persona o equipo que está realizando la prueba. Por lo general, solo se les puede dar el nombre de la empresa. Debido a que este tipo de prueba puede requerir una cantidad considerable de tiempo para el reconocimiento, puede ser costosa.
Pruebas de doble ciego
Las pruebas de doble ciego toman la prueba a ciegas y la llevan un paso más allá. En este tipo de prueba de penetración, solo una o dos personas de la organización pueden ser conscientes de que se está realizando una prueba. Las pruebas de doble ciego pueden ser útiles para probar el monitoreo de seguridad y la identificación de incidentes de la organización, así como sus procedimientos de respuesta.
