Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Osstmm PDF
Osstmm PDF
En un principio
Y de todos
La agente Secreta Z
Agenda
Qu es OSSTMM?
Conjunto de reglas y lineamientos para
CUANDO, QUE y CUALES eventos son
testeados.
Copyright, Peter Vincent Herzog.
Institute for Security and Open
Methodologies (ISECOM).
Licencia de Metodologa Abierta (OML).
Qu es OSSTMM?
Cubre solamente el testeo de seguridad
externo.
Provee conceptos de tica profesional.
Pruebas integrales.
Lineamientos precisos a seguir en un test
de seguridad
mbito
Cuando, que y cuales eventos son testeados.
ISECOM Exige que un test de seguridad puede
considerarse OSSTMM si:
Es cuantificable.
Consistente y que se puede repetir.
Vlido ms all del periodo de tiempo actual.
Basado en el merito del testeador y analista, y no en
marcas comerciales.
Exhaustivo.
Concordante con las leyes individuales y locales y el
derecho humano a la privacidad.
Limitaciones
Si bien OSSTMM se preocupa de
entregar lineamientos para el CUANDO,
QUE y CUALES eventos son testeados.
La metodologa slo cubre testeo de
seguridad externo, es decir, testing
desde un ambiente no privilegiado,
hacia un entorno privilegiado.
Acreditacin
Una planilla de datos de test de seguridad
es necesaria, firmada por los testeadores,
acompaando todos los reportes finales
para obtener un test certificado OSSTMM.
Incluyen cuales mdulos y tareas han sido testeadas
hasta su conclusin.
Cuales no han sido testeados hasta su conclusin y
su justificacin.
Y cuales son los test no aplicables y su justificacin.
Sellos de informe
Lineamientos de Accin
Ventas y Mercadeo
Miedo infundado.
Ofrecer servicios gratuitos a cambio de fallar en el test
o entregar premios del objetivo estn prohibidos.
Competencias de hacking, cracking y violacin de
sitios, estn prohibidos.
Ejecutar test de seguridad sin permiso.
Usar nombre de clientes previos.
Asesora acertada, aun cuando se deba desviar a otra
compaa.
Lineamientos de Accin
Contratos y negociaciones:
No divulgacin.
Explicar claramente los lmites y peligros de un anlisis de
seguridad.
Especificar el origen de las pruebas (anlisis remoto).
Incluir informacin de contacto en caso de emergencia.
Permisos claros y especficos para anlisis que involucre
fallas de supervivencia, negacin de servicios, anlisis de
procesos o ingeniera social.
Contener los procesos para contratos futuros y cambios en
las condiciones de trabajo.
Lineamientos de Accin
mbito:
Claramente definido.
Explicar claramente los lmites del anlisis de
seguridad.
Plan de trabajo
Incluir tiempo calendario como horas hombre.
Incluir horas de anlisis.
Lineamientos de Accin
Entregar reglas del contrato al cliente
No se permiten cambios de red inusuales durante
el anlisis.
El cliente debe notificar slo al personal clave,
para evitar aumentos en la seguridad (trampa).
Para pruebas con privilegios, se debe proveer de
mecanismos de acceso independientes. Con
privilegios tpicos.
Primero testear sin privilegios y luego con los
permisos otorgados.
Test
Para la realizacin de los test los analistas deben
conocer su herramientas.
No realizar pruebas de negacin de servicios sin
permiso explicito.
Para la Ing. Social se deben realizar encuestas
annimas a personal no especializado.
Las vulnerabilidades de alto riesgo se deben informar de
inmediato con una solucin prctica.
Prohibida la denegacin de servicios distribuida (DDOS).
Prohibido todo tipo de ataques por inundacin o
saturacin.
Informes
Los informes debe incluir una solucin prctica.
Se deben incluir los hallazgos desconocidos e
informarse como tales.
Se deben especificar todos los estados de
seguridad encontrados, no solo las medidas de
seguridad fallidas.
Usar indicadores cualitativos, basndose en
formulas matemticas y no en la intuicin.
Confirmar la recepcin del informe.
Los canales para la entrega de informes deben
ser confidenciales.
Mapa de seguridad
Seguridad
Procesos
Seguridad
Fsica
Seguridad de la Informacin
S
Com eguri
uni dad
cac
io n
es
Seguridad
Inalmbrica
d
a
d
i
ur rnet
g
e
S Inte
.
c
e
T
Evaluacin de Riesgo
Es mantenida por el analista.
Toda la informacin se considera vlida,
para proveer una evaluacin de riesgo
vlida.
El riesgo significa que todos los lmites de
la presencia de seguridad tendrn un
efecto perjudicial en la gente.
Seguridad perfecta
En la seguridad perfecta los analistas
calibran con el cliente que se puede
considerar seguridad perfecta.
Mejores prcticas.
Regulaciones en la industria del cliente.
La poltica de seguridad del cliente y los
asuntos legales.
Se puede comparar el estado actual de
seguridad y la seguridad perfecta
Consideraciones finales
Existen otras vas de intrusin
Seguridad integral a travs de estndares
p.e. ISO 27000, BSC 7799 etc.
Pueden verificarse otras reas operativas
de seguridad paralelamente.
Preguntas
Ms informacin
Pgina de InfoClan
http://www.infoclan.cl