El mercado del pentesting y las auditorías de seguridad va en incremento y es importante estar al día con las mejores prácticas y frameworks disponibles
En este post platicaremos de 3 ejemplos muy relevantes:
- Open Source Security Testing Methodology Manual (OSSTMM)
- Penetration Testing Framework
- Penetration Testing Execution Standard
El OSSTMM fue creado por el Instituto de seguridad y metodologías abiertas (ISECOM: the Institute for Security and Open Methodologies) y actualmente está liberada su tercera versión
Este documento gratuito busca proveer "una metodología científica que para una correcta caracterización de la seguridad operacional a través de las pruebas y correlación de resultados de una manera consistente y confiable"
En realidad creo que el documento le puede ser de gran utilidad a consultores de seguridad o empresas que busquen profesionalizar su trabajo y ser competitivos en el creciente ambiento de IT ya que plantea de una manera muy clara las etapas, entregables y detalles de un análisis de seguridad.
Si por el contrario ustedes no piensan hacer las auditorías pero si contratar a alguien que las haga este documento puede servir de excelente referencia para ver que nivel de madurez tienen sus proveedores
La liga de descarga de este documento está en el sitio de isecom donde no sólo pueden bajar la versión vigente sino ver el draft de las que vienen
Por otro lado el Penetration Testing Framework tiene un enfoque más Técnico o Práctico para tener a la mano herramientas y pruebas específicas para ir cubriendo diferentes tipos de tests.
Este framework se publica en el sitio vulnerabilityassessment.co.uk y en realidad busca ofrecer al pentester shorcuts para lograr sus objetivos y no tener que investigar demasiado en como realizar las pruebas ya que incluso incluye algunos comandos muy útiles.
Este framework no incluye todo lo que se debe tomar en cuenta pero es una herramienta muy útil para poder de manera rápida saber que tipo de pruebas ejecutar y complementarlo con los otros frameworks y metodologías lo convierte en una excelente alternativa
El Penetration Testing Execution Standard (PTES) por otro lado es una combinación de metodología y pruebas específicas. Desde mi punto de vista este esfuerzo colaborativo promete bastante y no dudaría que se convierta en un standard oficial en algunos años.
El sitio del PTES incluye un mapa mental en formato de freemind donde pueden ver todo lo que incluye.
Mi sugerencia es que conozcan estas 3 propuestas y que creen la propia sin perder de vista lo que sus clientes u objetivos necesitan. Pero en definitiva les sugiero seguirle la pista a estas excelentes propuestas de valor
Y aquí un pilón
El smartphone pentesting framework de lo cual podremos platicar largo y tendido en otro post
0 comentarios :
Publicar un comentario
Gracias por comentar: