> -----Original Message-----
> From: XTREME Juan Carlos Davila [mailto:jdavila (at) xtreme-networks.com (dot) mx [email concealed]]
>
> Que tal,
>
> Podrian apoyarme pasandome algún procedimiento completo y complejo para
> realizar el vulnerability assesment como un servicio de consultoria de
> seguridad para empresas, no como un procedimiento basico a aplicar sino
> algo mas en forma y desarrollado.
No me queda muy claro exactamente a qué nivel quieres llevar tus
procedimientos pero te puedes apoyar en estos documentos:
OSSTMM de ISECOM (http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf), esta es
una metodología de pruebas de seguridad (muy orientado a penetration
testing). Según lo anuncian en su sitio, están por liberar la versión 3.0
pero aún no he visto fechas. OSSTMM ya tiene algún tiempo y se puede
considerar estable
ISSAF de OISSG (http://www.oissg.org/content/view/71/71/), este es un
compendio procedimientos detallados (técnicos en muchos casos) para
evaluaciones de seguridad de diversos tipos de dispositivos, procedimientos
administrativos y software (desde ruteadores hasta servidores Web pasando,
por sistemas operativos y procedimientos de control de cambios). La versión
0.2 debería publicarse a finales de febrero/principios de marzo (hasta el
momento es un mastodonte de cerca de 1200 páginas). ISSAF sigue en etapa de
desarrollo pero incluye ya algunas secciones que se pueden utilizar.
Te recomiendo esperar la nueva versión de ISSAF, tiene mucha información
nueva y actualizada, pero puedes darte una idea del nivel de detalle con la
versión 0.1 que está disponible.
El tamaño de ISSAF tiene una explicación: para cubrir todas las áreas que se
pretenden hay más de 30 profesionales de seguridad informática contribuyendo
a su contenido, cada uno en su área de especialidad.
>
> Estoy desarrollando uno, y quisiera tomar varias ideas de otros
> procedimientos para nutrirlo.
El problema es que la evaluación de vulnerabilidades tiene una enorme
cantidad de escenarios. Es imposible que una sola persona domine a detalle
cada arquitectura, hardware y software susceptible de ser evaluado. Toma en
cuenta también las dificultades que enfrenta un proyecto tan ambicioso como
ISSAF, donde el nivel de detalle y el alcance son tales que se requiere de
un esfuerzo titánico para desarrollarlo y mantenerlo (por eso hay tanta
gente contribuyendo, de otra forma sería imposible).
Mi recomendación personal es que no pierdas de vista el alcance de tus
procedimientos y te enfoques en el análisis de vulnerabilidades de puntos
específicos (e.g. Redes y sus dispositivos, ciertos sistemas operativos y/o
ciertas aplicaciones y servicios). Empieza con unos cuantos y conforme vayas
desarrollando tus procedimientos te será más fácil determinar hasta dónde
puedes abarcar, de acuerdo a tus recursos y la experiencia/conocimientos de
tu personal.
Adicionalmente tienes que tener muy claro el propósito de tus evaluaciones:
¿Son parte de auditorias internas para verificar el cumplimiento de
regulaciones?
¿Son parte de un esquema automatizado de validación de niveles de
seguridad? (Típicamente con escaneos automáticos de vulnerabilidades
conocidas, lo cual no implica que no deba de existir un trabajo de análisis
serio para entregar un reporte depurado)
¿Son parte de pruebas de penetración externas donde consideras un
determinado rango de acción para pruebas manuales? (Este tipo de pruebas
involucran muchas veces ciertas creatividad y algo de desarrollo, por
ejemplo, para buscar vulnerabilidades en aplicaciones hechas en casa).
Por último, no olvides que la ubicación desde donde realizas tus pruebas
también impacta substancialmente tus procedimientos: Desde Internet (fuera
del perímetro de la red empresarial), desde la red interna, o directamente
entrando a revisar los equipos (para esta última variante, algunos
principios de live forensics pueden ser particularmente útiles).
Espero que esta información te sea de alguna ayuda.
Saludos,
Omar A. Herrera
(omar.herrera (at) oissg (dot) org [email concealed])
> -----Original Message-----
> From: XTREME Juan Carlos Davila [mailto:jdavila (at) xtreme-networks.com (dot) mx [email concealed]]
>
> Que tal,
>
> Podrian apoyarme pasandome algún procedimiento completo y complejo para
> realizar el vulnerability assesment como un servicio de consultoria de
> seguridad para empresas, no como un procedimiento basico a aplicar sino
> algo mas en forma y desarrollado.
No me queda muy claro exactamente a qué nivel quieres llevar tus
procedimientos pero te puedes apoyar en estos documentos:
OSSTMM de ISECOM (http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf), esta es
una metodología de pruebas de seguridad (muy orientado a penetration
testing). Según lo anuncian en su sitio, están por liberar la versión 3.0
pero aún no he visto fechas. OSSTMM ya tiene algún tiempo y se puede
considerar estable
ISSAF de OISSG (http://www.oissg.org/content/view/71/71/), este es un
compendio procedimientos detallados (técnicos en muchos casos) para
evaluaciones de seguridad de diversos tipos de dispositivos, procedimientos
administrativos y software (desde ruteadores hasta servidores Web pasando,
por sistemas operativos y procedimientos de control de cambios). La versión
0.2 debería publicarse a finales de febrero/principios de marzo (hasta el
momento es un mastodonte de cerca de 1200 páginas). ISSAF sigue en etapa de
desarrollo pero incluye ya algunas secciones que se pueden utilizar.
Te recomiendo esperar la nueva versión de ISSAF, tiene mucha información
nueva y actualizada, pero puedes darte una idea del nivel de detalle con la
versión 0.1 que está disponible.
El tamaño de ISSAF tiene una explicación: para cubrir todas las áreas que se
pretenden hay más de 30 profesionales de seguridad informática contribuyendo
a su contenido, cada uno en su área de especialidad.
>
> Estoy desarrollando uno, y quisiera tomar varias ideas de otros
> procedimientos para nutrirlo.
El problema es que la evaluación de vulnerabilidades tiene una enorme
cantidad de escenarios. Es imposible que una sola persona domine a detalle
cada arquitectura, hardware y software susceptible de ser evaluado. Toma en
cuenta también las dificultades que enfrenta un proyecto tan ambicioso como
ISSAF, donde el nivel de detalle y el alcance son tales que se requiere de
un esfuerzo titánico para desarrollarlo y mantenerlo (por eso hay tanta
gente contribuyendo, de otra forma sería imposible).
Mi recomendación personal es que no pierdas de vista el alcance de tus
procedimientos y te enfoques en el análisis de vulnerabilidades de puntos
específicos (e.g. Redes y sus dispositivos, ciertos sistemas operativos y/o
ciertas aplicaciones y servicios). Empieza con unos cuantos y conforme vayas
desarrollando tus procedimientos te será más fácil determinar hasta dónde
puedes abarcar, de acuerdo a tus recursos y la experiencia/conocimientos de
tu personal.
Adicionalmente tienes que tener muy claro el propósito de tus evaluaciones:
¿Son parte de auditorias internas para verificar el cumplimiento de
regulaciones?
¿Son parte de un esquema automatizado de validación de niveles de
seguridad? (Típicamente con escaneos automáticos de vulnerabilidades
conocidas, lo cual no implica que no deba de existir un trabajo de análisis
serio para entregar un reporte depurado)
¿Son parte de pruebas de penetración externas donde consideras un
determinado rango de acción para pruebas manuales? (Este tipo de pruebas
involucran muchas veces ciertas creatividad y algo de desarrollo, por
ejemplo, para buscar vulnerabilidades en aplicaciones hechas en casa).
Por último, no olvides que la ubicación desde donde realizas tus pruebas
también impacta substancialmente tus procedimientos: Desde Internet (fuera
del perímetro de la red empresarial), desde la red interna, o directamente
entrando a revisar los equipos (para esta última variante, algunos
principios de live forensics pueden ser particularmente útiles).
Espero que esta información te sea de alguna ayuda.
Saludos,
Omar A. Herrera
(omar.herrera (at) oissg (dot) org [email concealed])
[ reply ]