Académique Documents
Professionnel Documents
Culture Documents
En un principio
Y de todos
La agente Secreta Z
Agenda
Que provee OSSTMM Pblico al que va dirigido Limitaciones Acreditacin Lineamientos de Accin Ventas y Mercadeo Evaluacin de riesgo Mapa de la seguridad
Qu es OSSTMM?
Conjunto de reglas y lineamientos para CUANDO, QUE y CUALES eventos son testeados. Copyright, Peter Vincent Herzog. Institute for Security and Open Methodologies (ISECOM). Licencia de Metodologa Abierta (OML).
Qu es OSSTMM?
Cubre solamente el testeo de seguridad externo. Provee conceptos de tica profesional. Pruebas integrales. Lineamientos precisos a seguir en un test de seguridad
mbito
Cuando, que y cuales eventos son testeados. ISECOM Exige que un test de seguridad puede considerarse OSSTMM si:
Es cuantificable. Consistente y que se puede repetir. Vlido ms all del periodo de tiempo actual. Basado en el merito del testeador y analista, y no en marcas comerciales. Exhaustivo. Concordante con las leyes individuales y locales y el derecho humano a la privacidad.
Limitaciones
Si bien OSSTMM se preocupa de entregar lineamientos para el CUANDO, QUE y CUALES eventos son testeados. La metodologa slo cubre testeo de seguridad externo, es decir, testing desde un ambiente no privilegiado, hacia un entorno privilegiado.
Acreditacin
Una planilla de datos de test de seguridad es necesaria, firmada por los testeadores, acompaando todos los reportes finales para obtener un test certificado OSSTMM.
Incluyen cuales mdulos y tareas han sido testeadas hasta su conclusin. Cuales no han sido testeados hasta su conclusin y su justificacin. Y cuales son los test no aplicables y su justificacin.
Sellos de informe
Este test ha sido ejecutado con OSSTMM disponible en http://www.osstmm.org y mediante este sello se afirma que est Dentro de las mejores prcticas de se testeo de seguridad.
Lineamientos de Accin
Ventas y Mercadeo
Miedo infundado. Ofrecer servicios gratuitos a cambio de fallar en el test o entregar premios del objetivo estn prohibidos. Competencias de hacking, cracking y violacin de sitios, estn prohibidos. Ejecutar test de seguridad sin permiso. Usar nombre de clientes previos. Asesora acertada, aun cuando se deba desviar a otra compaa.
Lineamientos de Accin
Contratos y negociaciones:
No divulgacin. Explicar claramente los lmites y peligros de un anlisis de seguridad. Especificar el origen de las pruebas (anlisis remoto). Incluir informacin de contacto en caso de emergencia. Permisos claros y especficos para anlisis que involucre fallas de supervivencia, negacin de servicios, anlisis de procesos o ingeniera social. Contener los procesos para contratos futuros y cambios en las condiciones de trabajo.
Lineamientos de Accin
mbito:
Claramente definido. Explicar claramente los lmites del anlisis de seguridad.
Plan de trabajo
Incluir tiempo calendario como horas hombre. Incluir horas de anlisis.
Lineamientos de Accin
Entregar reglas del contrato al cliente
No se permiten cambios de red inusuales durante el anlisis. El cliente debe notificar slo al personal clave, para evitar aumentos en la seguridad (trampa). Para pruebas con privilegios, se debe proveer de mecanismos de acceso independientes. Con privilegios tpicos. Primero testear sin privilegios y luego con los permisos otorgados.
Test
Para la realizacin de los test los analistas deben conocer su herramientas. No realizar pruebas de negacin de servicios sin permiso explicito. Para la Ing. Social se deben realizar encuestas annimas a personal no especializado. Las vulnerabilidades de alto riesgo se deben informar de inmediato con una solucin prctica. Prohibida la denegacin de servicios distribuida (DDOS). Prohibido todo tipo de ataques por inundacin o saturacin.
Informes
Los informes debe incluir una solucin prctica. Se deben incluir los hallazgos desconocidos e informarse como tales. Se deben especificar todos los estados de seguridad encontrados, no solo las medidas de seguridad fallidas. Usar indicadores cualitativos, basndose en formulas matemticas y no en la intuicin. Confirmar la recepcin del informe. Los canales para la entrega de informes deben ser confidenciales.
Mapa de seguridad
Las secciones del manual de OSSTMM son: 1. Seguridad de la informacin 2. Seguridad de los procesos. 3. Seguridad de las tecnologas de Internet. 4. Seguridad de las comunicaciones. 5. Seguridad inalmbrica. 6. Seguridad fsica.
Seguridad Inalmbrica
d a d i ur rnet g e S Inte . c e T
Evaluacin de Riesgo
Es mantenida por el analista. Toda la informacin se considera vlida, para proveer una evaluacin de riesgo vlida. El riesgo significa que todos los lmites de la presencia de seguridad tendrn un efecto perjudicial en la gente.
Seguridad perfecta
En la seguridad perfecta los analistas calibran con el cliente que se puede considerar seguridad perfecta. Mejores prcticas. Regulaciones en la industria del cliente. La poltica de seguridad del cliente y los asuntos legales. Se puede comparar el estado actual de seguridad y la seguridad perfecta
Consideraciones finales
Existen otras vas de intrusin Seguridad integral a travs de estndares p.e. ISO 27000, BSC 7799 etc. Pueden verificarse otras reas operativas de seguridad paralelamente.
Preguntas
Ms informacin
Pgina de InfoClan
http://www.infoclan.cl