Alfredo yo te daria las siguientes recomendaciones, en el ambito de la auditoria de puestos de trabajo, sería recomendable formalizar el procedimiento de instalación de las estaciones de trabajo, para identificar cual es o cual tiene que ser la foto inicial del equipo y cual es la situacion "real" en el momento de la auditoría, en esta fase se podrá definir un estado ideal de los puestos de trabajo, estados que podrían ser como comentas el nivel de parcheado del sistema, nivel de actualización del antivirus, servicios disponibles (puertos abiertos).

Esta fase te permitirá conocer cuales son los elementos sobre los que has de establecer los mecanismos de control, por ejemplo a grandes rasgos, nivel de parches del S.O, Servicios necesarios para el desarrollo del trabajo, si hay que establecer algún tipo de profiling de los equipos (si hay que distinguir entre servicios disponibles en un equipo, software instalado, etc, en función del ROL del usuario, etc).

Una vez estandarizada la instalación de los equipos en cuanto a versiones del s.o, software base, software añadido en función de los roles, etc, me remitiría en una primera fase a los procedimientos de fortificación de los propios fabricantes tanto del sistema base como de los productos adicionales y sus recomendaciones, además de identificar los elementos que te permitan "monitorizar" el estado de actualización ( aquí me refiero a consola centralizada de gestión de actualización de antivirus, etc...).

Respecto al tema de los indicadores, este es un campo amplísimo, y varía en función de las métricas que quieras obtener, si la lectura de estos indicadores va orientada a conocer el nivel de actualización de los equipos, o si va orientada a conocer el nivel de riesgo al que esta expuesta cada uno de los segmentos de tu red en cada momento. Existen varias publicaciones al respecto sobre el diseño de los cuadros de mando que son los elementos que al final te permitirán hacer una lectura "provechosa" de estos indicadores. No tengo ahora la referencia exacta pero te recomiendo que consultes la página del NIST (National Instute Of Standards and Technology) www.nist.gov.

En el apartado de los servidores, el analisis debería de ser similar siempre y cuando tengas presente que aunque el análisis técnico lo sea, has de conocer o establecer la criticidad de estos elementos.

Con todo lo anterior, podrás conocer que necesitas auditar y con que periodicidad, basicamente mayor criticidad implicará mayor frecuencia.

El tema de como realizar las auditorias a grandes rasgos yo te recomendaria analisis desde fuera de los equipos (nmap/nessus/etc) y análisis interno (mbsa, etc).

El desarrollo de una metodología interna se puede complicar tanto como quieras y en función de los recursos de que dispongas. (No olvides que el seguimiento a lo largo del tiempo de los cambios será la tarea más costosa). No conozco soluciones "comerciales" de llave en mano que te permitan hacer este seguimiento de forma convincente, aunque si hay soluciones a nivel de consultoría que te lo permiten.

No sabría identificarte una metodología que puedas utilizar como paradigma para crear una metodología "propia", te recomiendo mirar de todo un poco y ser ecléctico.

Espero que te haya clarificado un poco lo que buscas.

Atentamente,

Juan de la Fuente Costa aka FREED0M

-------
www.hacktimes.com
freed0m at hacktimes.com
----- Original Message -----
From: alfredo cambera
To: forensics-es (at) securityfocus (dot) com [email concealed]
Sent: Friday, June 16, 2006 4:49 PM
Subject: Ayuda - Metodologia para Analisis de Seguridad

Saludos a todos,Actualmente me encuentro realizando junto al resto del equipo del area de seguridad un Test de Vulnerabilidades de las estaciones de trabajo. Algunos de los aspectos que evaluamos son: Actualizaciones del sistema operativo faltantes, actualzación del antivirus, puertos abiertos...Me gustaria saber si conocen alguna (o varias) metodologia para hacer el análisis de las estaciones de trabajo (los servidores los estamos dejando para el final). Seria interesante saber si pudiesemos generar indicadores u otra información que nos permita hacer un análisis mucho mas organizado.La meta es formalizar y regularizar (periodicidad definida) los test de vulnerabilidades en nuestra plataforma empleando procedimientos definidos que permitan medir que tan segura es nuestra plataforma.Gracias de antemano por la ayuda que me pudiesen prestar, Alfredo CamberaPD: No
importa si la documentación este inglés.

------------------------------------------------------------------------
------

LLama Gratis a cualquier PC del Mundo.
Llamadas a fijos y móviles desde 1 céntimo por minuto.
http://es.voice.yahoo.com<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2800.1543" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2>Alfredo yo te daria las
siguientes recomendaciones, en el ambito de la auditoria de puestos de
trabajo, sería recomendable formalizar el procedimiento de instalación de las
estaciones de trabajo, para identificar cual es o cual tiene que ser la
foto inicial del equipo y cual es la situacion "real" en el momento de la
auditoría, en esta fase se podrá definir un estado ideal de los puestos de
trabajo, estados que podrían ser como comentas el nivel de parcheado del
sistema, nivel de actualización del antivirus, servicios disponibles (puertos
abiertos). </FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Esta fase te permitirá conocer cuales son los
elementos sobre los que has de establecer los mecanismos de control, por ejemplo
a grandes rasgos, nivel de parches del S.O, Servicios necesarios para el
desarrollo del trabajo, si hay que establecer algún tipo de profiling de los
equipos (si hay que distinguir entre servicios disponibles en un equipo,
software instalado, etc, en función del ROL del usuario, etc).</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Una vez estandarizada la instalación de los equipos
en cuanto a versiones del s.o, software base, software añadido en función de los
roles, etc, me remitiría en una primera fase a los procedimientos de
fortificación de los propios fabricantes tanto del sistema base como de los
productos adicionales y sus recomendaciones, además de identificar los elementos
que te permitan "monitorizar" el estado de actualización ( aquí me refiero a
consola centralizada de gestión de actualización de antivirus,
etc...).</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Respecto al tema de los indicadores, este es un
campo amplísimo, y varía en función de las métricas que quieras obtener, si la
lectura de estos indicadores va orientada a conocer el nivel de actualización de
los equipos, o si va orientada a conocer el nivel de riesgo al que esta expuesta
cada uno de los segmentos de tu red en cada momento. Existen varias
publicaciones al respecto sobre el diseño de los cuadros de mando que son los
elementos que al final te permitirán hacer una lectura "provechosa" de estos
indicadores. No tengo ahora la referencia exacta pero te recomiendo que
consultes la página del NIST (National Instute Of Standards and Technology) <A
href="http://www.nist.gov">www.nist.gov</A>.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>En el apartado de los servidores, el analisis
debería de ser similar siempre y cuando tengas presente que aunque el análisis
técnico lo sea, has de conocer o establecer la criticidad de estos
elementos.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Con todo lo anterior, podrás conocer que necesitas
auditar y con que periodicidad, basicamente mayor criticidad
implicará mayor frecuencia.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>El tema de como realizar las auditorias a grandes
rasgos yo te recomendaria analisis desde fuera de los equipos (nmap/nessus/etc)
y análisis interno (mbsa, etc).</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>El desarrollo de una metodología interna se puede
complicar tanto como quieras y en función de los recursos de que dispongas. (No
olvides que el seguimiento a lo largo del tiempo de los cambios será la tarea
más costosa). No conozco soluciones "comerciales" de llave en mano que te
permitan hacer este seguimiento de forma convincente, aunque si hay soluciones a
nivel de consultoría que te lo permiten.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>No sabría identificarte una metodología que puedas
utilizar como paradigma para crear una metodología "propia", te recomiendo mirar
de todo un poco y ser ecléctico.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Espero que te haya clarificado un poco lo que
buscas.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Atentamente,</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Juan de la Fuente Costa aka FREED0M </FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>-------</FONT></DIV>
<DIV><FONT face=Arial size=2><A
href="http://www.hacktimes.com">www.hacktimes.com</A></FONT></DIV>
<DIV><FONT face=Arial size=2>freed0m at hacktimes.com</FONT></DIV>
<BLOCKQUOTE
style="PADDING-RIGHT: 0px; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 2px solid; MARGIN-RIGHT: 0px">
<DIV style="FONT: 10pt arial">----- Original Message ----- </DIV>
<DIV
style="BACKGROUND: #e4e4e4; FONT: 10pt arial; font-color: black"><B>From:</B>
<A title=alfredocambera (at) yahoo (dot) es [email concealed] href="mailto:alfredocambera (at) yahoo (dot) es [email concealed]">alfredo
cambera</A> </DIV>
<DIV style="FONT: 10pt arial"><B>To:</B> <A
title=forensics-es (at) securityfocus (dot) com [email concealed]
href="mailto:forensics-es (at) securityfocus (dot) com [email concealed]">forensics-es@securityfocus.
com</A>
</DIV>
<DIV style="FONT: 10pt arial"><B>Sent:</B> Friday, June 16, 2006 4:49 PM</DIV>
<DIV style="FONT: 10pt arial"><B>Subject:</B> Ayuda - Metodologia para
Analisis de Seguridad</DIV>
<DIV><BR></DIV><BR><PRE><TT><TT>Saludos a todos,<BR><BR>Actualmente me encuentro realizando junto al resto del equipo del area <BR>de seguridad un Test de Vulnerabilidades de las estaciones de trabajo. <BR>Algunos de los aspectos que evaluamos son: Actualizaciones del sistema <BR>operativo faltantes, actualzación del antivirus, puertos abiertos...<BR><BR>Me gustaria saber si conocen alguna (o varias) metodologia para hacer <BR>el análisis de las estaciones de trabajo (los servidores los estamos <BR>dejando para el final). Seria interesante saber si pudiesemos generar <BR>indicadores u otra información que nos permita hacer un análisis mucho <BR>mas <BR>organizado.<BR><BR>La meta es formalizar y regularizar (periodicidad definida) los test de <BR>vulnerabilidades en nuestra plataforma empleando procedimientos <BR>definidos que permitan medir que tan segura es nuestra plataforma.<BR><BR>Gracias de antemano por la ayuda que me pudiesen prestar, <BR><BR>Alfredo Cambera<BR><BR><BR>PD: No
importa si la documentación este inglés.</TT></TT></PRE>
<P>
<HR SIZE=1>
<BR><FONT face=Verdana size=-2>LLama Gratis a cualquier PC del
Mundo.<BR>Llamadas a fijos y móviles desde 1 céntimo por minuto.<BR><A
href="http://us.rd.yahoo.com/mail/es/tagline/messenger/*http://es.voice.
yahoo.com/">http://es.voice.yahoo.com</A></FONT></BLOCKQUOTE></BODY></HT
ML>

[ reply ]