Documente Academic
Documente Profesional
Documente Cultură
1
INFORME DE OSSTMM CIBERSEGURIDAD
Contenido
INTRODUCCION ................................................................................................................................................................... 3
METODOLOGIA.................................................................................................................................................................... 4
DEFINIR UN TEST DE SEGURIDAD: ....................................................................................................................................... 4
TIPOS DE TESTS DE SEGURIDAD: ......................................................................................................................................... 5
LAS REGLAS DE ACUERDOS (CONTRATOS): ......................................................................................................................... 8
RESULTADOS DE LOS TESTS: ................................................................................................................................................ 8
COMPRENDIENDO LA METODOLOGA OSSTMM: ............................................................................................................... 9
MTRICAS OPERATIVAS DE SEGURIDAD: ......................................................................................................................... 10
MAPA MENTAL DE OSSTMM ............................................................................................................................................. 12
2
INFORME DE OSSTMM CIBERSEGURIDAD
INTRODUCCION
OSSTMM (Open Source Security Testing Methodology Manual) proporciona una
metodologa para una exhaustiva prueba de seguridad, en este documento se
referencia como una auditora OSSTMM. Una auditora OSSTMM es una medicin
precisa de la seguridad a nivel operacional, lo cual evita suposiciones y evidencia
anecdtica. Como una metodologa, esta diseada para ser consistentes y repetible.
Como un proyecto de fuente abierta, permite a cualquier profesional en pruebas de
seguridad contribuir con ideas para realizar pruebas de seguridad ms precisas,
concretas y eficientes. Adems esto permite la libre difusin de informacin y
propiedad intelectual.
3
INFORME DE OSSTMM CIBERSEGURIDAD
METODOLOGIA
Est diseada para ser consistente y repetible y ofrece al mismo tiempo que una
estrategia, tests de evaluacin y medida de riesgos, una valoracin intrnseca en
funcin de los resultados arrojados por los tests. Esto en si mismo es novedoso en
comparacin a las otras metodologas y garantiza esa meticulosidad de la que hace
gala y comentamos en la introduccin de este apartado. Las valoraciones de las
versiones anteriores son incompatibles con la nueva versin.
Podemos establecer 7 pasos para la definicin de las pruebas que realizar el analista:
Definir la zona externa que necesitas para proteger las operaciones de tus
activos... hay aspectos sobre los que podremos incidir (electricidad, agua,
aire, alimentacin, etc) y otros sobre los que no (humedad, sequedad,
colegas, partners, socios, etc...). Esto es, definir el alcance del test.
4
INFORME DE OSSTMM CIBERSEGURIDAD
Asegurar que las pruebas de cada test cumplen o estn conformes con las
Reglas de Acuerdos (contratos) previos. No hay que crear falsas
expectativas, incomprensiones y malos entendidos.
5
INFORME DE OSSTMM CIBERSEGURIDAD
b. Double blind (doblemente a ciegas): tambin conocido como tcnica black box
(caja negra). No se sabe bien qu es lo que nos vamos a encontrar.
Prcticamente no se sabe nada del objetivo y ser puesto a prueba de forma
brusca a veces. Su xito depende de la calidad del auditor...
c. Gray box (caja gris): el auditor tiene un conocimiento limitado de las defensas
del objetivo y de sus activos, pero sabe todo acerca de sus canales. El objetivo
conoce el alcance de la auditora, pero no las vas y vectores de ataque. La
eficacia de este tipo de test depender de la calidad de la informacin provista
al auditor antes de que el conocimiento del test revele su aplicabilidad (o no?).
En el informe se har constar cul o cules tipos de tests han sido utilizados. Es
Importante comparar posibles desviaciones en comparacin con otros procesos en
similares circunstancias,El alcance comprende 3 canales (vas de acceso) posibles de
actuacin e interaccin:
6
INFORME DE OSSTMM CIBERSEGURIDAD
Una meticulosa auditora requiere de pruebas en los tres canales, en realidad, las
auditoras van a depender de la pericia del auditor y los medios y equipamiento
requerido. Este manual disecciona estos 3 canales en 5 secciones lgicas:
7
INFORME DE OSSTMM CIBERSEGURIDAD
y el engao como parte del marketing y el proceso de ventas..., si fallan los tests,
est prohibido ofrecer servicios gratis, etc...
Hay ms, pero no es objeto del estudio presente. Nos centraremos en los aspectos
metodolgicos.
El uso de esta metodologa debera concluir con STAR (Security Test Audit Report),
informe de la auditora del test de seguridad... Este tipo de certificacin para empresas,
requiere la siguiente informacin:
Duracin
Tipo de test
8
INFORME DE OSSTMM CIBERSEGURIDAD
canales testeados
Para elegir el tipo de test adecuado hay que comprender primeramente como estn
diseados los MDULOS para trabajar. Dependiendo de la empresa, el tipo de
negocio, el tiempo disponible, los requerimientos de la auditora, el auditor puede
planificar y distribuir los detalles de la auditora por FASES.
A. Fase regulatoria
Cada viaje empieza en una sola direccin. A menudo el tipo de test se decide aqu.
Habr que tener en cuenta los requerimientos y los lmites de la auditora, as como el
alcance y las restricciones del alcance.
9
INFORME DE OSSTMM CIBERSEGURIDAD
B. Fase de definicin
Conocimiento del alcance interactuando con los objetivos (blancos de la auditora) y
los activos. Aqu s se tiene constancia de la definicin clara del alcance de la auditora.
C. Fase de informacin
Muchas de las auditoras son sobre la informacin que no est cubierta. Los varios
tipos de valores, as como los activos mal ubicados y desatendidos y mal gestionados,
son sacados a la luz.
Centrada en la penetracin misma y en los trastornos que conlleva. Suele ser la fase
final de los tests. Asegurarse de que las perturbaciones son poco invasivas y que el
efecto de la informacin extrada no pueda ser conocida hasta que otras fases hayan
sido llevadas a efecto. Hay que verificar que las conclusiones son ciertas.
Una mtrica operativa es una medida constante que nos informa cuantitativamente de
la relacin de hechos que acontecen en nuestra vida, a nuestro alrededor. Por
analoga, en OSSTMM las mtricas se usan para medir el grado de seguridad de
nuestros activos.
10
INFORME DE OSSTMM CIBERSEGURIDAD
En el resto del apartado del manual se hacen sesudas consideraciones para ensear
a hacer clculos Rav. En otra versin de este documento podramos ocuparnos de
ello. El esquema es elocuente ya que nos dice qu factores debemos tener en cuenta
para hacer los clculos en funcin de la permeabilidad de nuestros activos, si existen
o no controles y los lmites de acceso a los mismos.
11
INFORME DE OSSTMM CIBERSEGURIDAD
12