Está en la página 1de 9

1. Definir la prueba de seguridad.

a- Define qu es lo que quieres proteger, estos son los activos. Los mecanismos de
proteccin para estos activos.
b- Identifica el rea alrededor del activo que incluye el mecanismo de proteccin y los
procesos o servicios que estn construidos alrededor de los activos. Esto es donde la
interaccin con el activo pueda tomar lugar. Esta es tu zona de compromiso.
c- Define todo lo que pueda estar fuera de tu zona de compromiso que puedas necesitar
para mantener tus activos operando. Estas pueden ser cosas en las que tu no puedas
influenciar directamente, tales como electricidad, alimentos, agua, aire, suelo estable,
la informacin, la legislacin, los reglamentos y las cosas que usted puede ser capaz de
trabajar con como sequedad, calor, frescura, claridad, los contratistas, los colegas , la
marca, asociaciones, etc. Tambin cuentan que lo que mantiene la infraestructura
operativa como procesos, protocolos y recursos continuados. Esto es el alcance de el
test.
d- Definir cmo su alcance interacta dentro de s y con el exterior. Lgicamente
compartimentar los activos dentro del alcance a travs de la direccin de las
interacciones, como el interior al exterior, exterior al interior, en el interior para el
interior, en el departamento de A a B departamento, etc Estas son sus vectores. Cada
vector debe ser, idealmente, una prueba separada para mantener cada duracin de la
prueba compartimentada corto antes de que ocurra demasiado cambio en el medio
ambiente.
e- Identificar qu tipo de equipo ser necesario para cada prueba. Dentro de cada
vector, las interacciones pueden ocurrir en varios niveles. Estos niveles se pueden
clasificar de muchas maneras, sin embargo aqu se han clasificado segn su funcin
como cinco canales. Los canales son humanos, fsicos, Wireless, Telecomunicaciones y
Redes de Datos. Cada canal debe ser probado por separado para cada vector.

f- Determinar qu informacin desea aprender de la prueba. Va a estar probando las
interacciones con los activos o tambin la respuesta de las medidas de seguridad
activas? El tipo de prueba debe ser definido de forma individual para cada prueba, sin
embargo, hay seis tipos comunes identificados aqu como ciego, doble ciego,
Caja Gris, Doble de Caja Gris, Tandem y Reversin.

g- Asegurar la prueba de la seguridad que ha definido se ajusta a las normas de
intervencin, una gua para asegurar el proceso de una prueba de seguridad adecuada
sin crear malos entendidos, las ideas falsas o falsas expectativas.



8.3 Verificacin de la deteccin activa
Determinacin de controles activos y pasivos para detectar la intrusin de filtrar o rechazar los
intentos de la prueba se debe hacer antes de la prueba para mitigar el riesgo de la creacin de
falsos positivos y negativos en los datos obtenidos de los ensayos, as como cambiar el estado de
alarma del personal de vigilancia o agentes.

8.3.1 Monitoreo
(a) Verificar que el mbito de aplicacin es supervisada por un tercero para la intrusin a travs de
vigas, guardias, cmaras o sensores. La fecha y hora de entrada y salida de la meta se deben
registrar.

(b) Determinar el alcance de la supervisin y si el recorrido de una amenaza a la meta puede ser
interceptado en el momento oportuno.

(c) Verificar si el viaje al destino requiere un mayor tiempo en el blanco y la exposicin. Esto
incluye, pero no est limitado a: salas de cuarentena, largos pasillos vacos, estacionamientos,
grandes extensiones vacas, el terreno difcil o poco natural, y de invitados o zonas de espera .

(d) Verifique que la iluminacin y el contraste visible en la aproximacin al objetivo permite la
interceptacin de amenazas.


8.3.2 Reaccionar
(a) Verificar si los controles interactivos para el objetivo va a reaccionar a tiempo a las condiciones
ambientales extremas de acuerdo con la tarea crtica de Medio Ambiente de la Revisin de la
postura.

(b) Verificar si el objetivo va a reaccionar a tiempo a una perturbacin en el aire, el agua y la
calidad del suelo.
(c) Verificar si el objetivo va a reaccionar a tiempo a las perturbaciones importantes de ruido.
(d) Verificar si el objetivo va a reaccionar a tiempo a las perturbaciones del campo magntico.
(e) Verificar si el objetivo va a reaccionar a tiempo a los incendios.
(f) Verificar si el objetivo va a reaccionar a tiempo a la denegacin de acceso de destino mediante
el bloqueo o la cuarentena.
(g) Verificar si el objetivo va a reaccionar a tiempo ante las amenazas de miedo, rebelin, o la
violencia en el mbito.
(h) Determinar la finalidad de la interceptacin de amenazas.

8.4 Visibilidad de Auditora

Enumeracin pruebas y verificacin para la visibilidad de los objetivos y de los activos . En
PHYSSEC , los activos tambin deben incluir suministros tales como alimentos, agua , combustible,
etc., y los procesos operativos que puedan afectar a los suministros como la eliminacin adecuada
de los desechos y otros contaminantes , la carga y descarga de los envos de suministros , ciclos de
sueo y descanso , aclimatacin , etctera

8.4.1 Reconocimiento
(a) Mapa y el detalle el alcance del permetro determinado por tcnicas visibles y que reciben
asistencia de visin, reas de acceso pblico, los planes pblicos y fuentes pblicas.
(b) Enumerar y objetivos detallados y activos visibles desde fuera del mbito de aplicacin.
(c) Enumerar y patrones detalle trfico objetivo, el trfico peatonal, reas ocupadas y sensores
visibles fuera del mbito de aplicacin.
(d) Enumerar los directorios y guas telefnicas internas que identifican la ubicacin de las
instalaciones de tratamiento de la informacin sensible que no son fcilmente accesibles al
pblico.
(e) Mapa y enumerar la ubicacin fsica y el diseo de los objetivos, el tamao y la navegabilidad
de los obstculos, las barreras y los peligros que aumentar el tiempo en el blanco.



Verificacin 8.5 Acceso
Las pruebas para la enumeracin de los puntos de acceso para interactuar con los objetivos y los
activos dentro del alcance. Si bien el acceso a las paredes y vallas que bordean la propiedad fuera
del mbito de aplicacin es un escenario real y uno de uso frecuente en un ataque, esta auditora
se limita a la interaccin alcance slo para proteger los derechos de propiedad de terceras partes.

8.5.1 Enumeracin
(a) Mapa y explorar el navegable del terreno, las barreras y los obstculos en el mbito de
aplicacin para alcanzar las metas y los activos. Documentar todos los mtodos utilizados y los
resultados de esos mtodos.

(b) Mapa y verificar todos los puntos de acceso que permiten a los furtivos o sin control, directos (
3 segundos o menos tiempo en el blanco ) de interaccin con la diana.
(c) Verificar el tamao y navegable de puntos de acceso pblico y privado y todos los caminos para
apuntar.

8.5.2 autenticacin
(a) Enumerar y prueba de las deficiencias que se requieren privilegios para el acceso, el proceso de
obtencin de esos privilegios, y aseguran que, los partidos slo identificables, autorizados
destinados tengan acceso.
(b) Verificar el proceso de autenticacin qu elementos se pueden tener en el mbito tanto por
personal autorizado y no autorizado.
(c) Verificar el proceso de autenticacin qu elementos se pueden tomar fuera del alcance de
ambas personas autorizadas y no autorizadas.
(d) Verificar el proceso de registro de acceso y qu elementos fueron introducidos y retirados.

8.5.3 Ubicacin
(a) Mapa de la distancia desde el permetro alcance de los objetivos y de los activos visibles desde
fuera del mbito de aplicacin.
(b) Mapa e identificar todas las vas para acceder a puntos que se puede llegar en unos ruidosos,
no furtivas, directos (3 segundos o menos tiempo en el blanco) la interaccin con ese punto de
acceso. Esto puede incluir ataques que son sans conatus (sin consideracin por la vida del
atacante).

8.5.4 Penetracin
(a) Determinar qu barreras y obstculos en el mbito de aplicacin proporcionan acceso remoto
a los cambios, interrumpir, destruir, o para obtener activos (visual, auditiva, y magnticamente).
(b) Determinar la eficacia de las barreras y obstculos para soportar las condiciones definidas en la
revisin de Postura.
(c) Determinar y evaluar la eficacia de las barreras y obstculos para resistir incendios,
explosiones, y las fuerzas de conmocin general, como disparos y embestida vehicular.
(d) Determinar y evaluar la eficacia de las barreras y obstculos para reducir entrante: crtico
niveles de ruido, el calor, el fro, el humo, humedad, olores perjudiciales o custicos, campos
magnticos intensos, luz daosa, y contaminantes.
(e) Determinar y evaluar la eficacia de las barreras y obstculos para reducir salientes: sonidos,
olores, vibraciones, condiciones para la aclimatacin, el humo, los campos magnticos, los
residuos y contaminantes.

8.6 Confianza Verificacin
Las pruebas de confianzas entre los procesos en el mbito donde la confianza se refiere al acceso a
los activos sin la necesidad de una identificacin o autenticacin .

8.6.1 Declaraciones falsas
( a) Prueba y documento de la profundidad de los requisitos para el acceso a los activos con el uso
de declaraciones falsas como miembro de la ayuda " interna " o el personal de entrega sin las
credenciales adecuadas .
( b ) Probar y documentar la profundidad de los requisitos para el acceso a los activos con el uso
de declaraciones falsas como una persona con discapacidad.

8.6.2 Fraude
Prueba y documento de la profundidad de los requisitos para el acceso a los activos con el uso de
la representacin fraudulenta de la autoridad como un miembro de la direccin u otro personal
clave.

8.6.3 Redireccin
Prueba y documento de la profundidad de los requisitos para el acceso a los activos con el uso de
declaraciones falsas como miembro de apoyo o personal de entrega fuera del mbito de
aplicacin.

8.6.4 Estiba
Prueba y documento de la profundidad de los requisitos para el acceso a los activos a travs de la
estiba furtivo con un transporte de la ayuda o la entrega a tomar la estiba fuera del mbito de
aplicacin.

8.6.5 Malversacin
Prueba y documento de la profundidad de los requisitos para ocultar activos dentro del alcance (
total o destruido) , tome los activos fuera del alcance de una fuente conocida y de confianza , ya lo
largo del propio mbito de aplicacin a otros miembros del personal , sin ningn tipo de
credenciales necesarias establecidas.

8.6.6 En terrorem
Prueba y documento de la profundidad de los requisitos para incitar el miedo, la revuelta, la
violencia y el caos, a travs de la interrupcin de los procesos y de la contaminacin de los
suministros.






11.2.1 Marco
(a) Verificar el alcance y el propietario de los objetivos trazados para la auditora.
(b ) Determinar la ubicacin de la propiedad y el dueo de la propiedad que alberga los objetivos.
( c ) Verificar el propietario de los objetivos de la informacin de registro de la red.
( d ) Verificar el propietario de los dominios de destino de la informacin de registro de dominio.
(e ) Verificar el ISP ( s ) que proporciona acceso a la red o la redundancia.
( f ) Bsqueda de otros bloques y las metas relacionadas con el mismo propietario ( s ) de IP.
( g ) Bsqueda de nombres de dominio similares o nombres de dominio mal escritas , que puede
confundirse con el blanco.
( h ) Verifique que los nombres de dominio de destino se resuelven a sistemas fuera del control del
propietario , tales como dispositivos de almacenamiento en cach .
( i ) Verificar que se dirigen a las direcciones IP se remontan a lugares diferentes desde el
propietario.
( j ) Verificar que nombre efectuar consultas inversas de direcciones del sistema de destino se
corresponden con el alcance y el propietario alcance .
( k ) Buscar y verificar los caminos de los servicios de red que interactan fuera de objetivo para los
caminos que siguen dentro y fuera del mbito de aplicacin.
( l ) Preparar la resolucin de nombres locales para asignar nombres de dominio slo a los sistemas
especficos para ser probado y que no todos los dispositivos fuera de la diana o la propiedad de
destino.
(m ) Utilizar la inversa del nombre look-ups como fuente de informacin complementaria para la
determinacin de la existencia de todas las mquinas en una red.
11.2.2 Red de Calidad
( a) medir la tasa de velocidad y la prdida de paquetes para el alcance de un servicio solicitado en
TCP, UDP e ICMP tanto como una solicitud de servicio conjunto y como un par peticin / respuesta
. Repita cada solicitud en sucesin al menos 100 veces y registrar el promedio para ambos
solicitudes de servicio de paquetes enteros y respuestas para cada uno de los tres protocolos .
( b ) Determinar el envo y recepcin de paquetes de tarifas para un total de 6 promedios ( por
protocolo ) como solicitudes por segundo y por segmento de red en el mbito de aplicacin.
( c ) los porcentajes de prdida de paquetes Record para el paquete determinado envo y
recepcin de las tasas .

11.2.3 Tiempo
( a) Verificar la zona horaria , las vacaciones y los horarios de trabajo para los diferentes sistemas
en el mbito incluidos los socios , revendedores y clientes influyentes que interactan con el
mbito de aplicacin.
( b ) Identificar el Time to Live (TTL ) Distancia a la puerta de enlace y los objetivos.
( c ) Asegurar el reloj del analista est en sintona con los tiempos de los objetivos.

11.3 Verificacin de deteccin activa
Determinacin de controles activos y pasivos para detectar la intrusin de filtrar o rechazar los
intentos de la prueba se debe hacer antes de la prueba para mitigar el riesgo de daar los datos
obtenidos de los ensayos , as como cambiar el estado de alarma del personal de vigilancia o
agentes. Puede que sea necesario coordinar estas pruebas con las personas adecuadas en el
mbito .

11.3.1 Filtrado
( a) Probar si los datos de red entrante o comunicaciones a travs de la web, mensajera
instantnea , chat, foros basados en la web , o por e -mail , son monitoreados o filtradas por un
tercero autorizado para el rel de materiales impropios , inyecciones de cdigo, el contenido
malicioso , y la inadecuada realizar y registrar las respuestas y el tiempo de respuesta .
( b ) Comprobar si los datos de red salientes o comunicaciones a travs de la web, mensajera
instantnea , chat, foros basados en la web , o por e -mail , son monitoreados o filtradas por un
tercero autorizado para el rel de materiales impropios , inyecciones de cdigo, el contenido
malicioso , y la inadecuada realizar y registrar las respuestas y el tiempo de respuesta .

11.3.2 Deteccin activa
( a) Verifique respuestas activas a las sondas de los sistemas y servicios. Esto podra ser
notificaciones humanos o de lectura mecnica, respuestas de paquetes , viajes de alarma
silenciosa , o similares .
( b ) Mapa todas las aplicaciones , sistemas o segmentos de red dentro del alcance que producen
registros , alarmas o notificaciones. Esto podra incluir la red o host de deteccin de intrusiones
basado o sistemas de prevencin, syslog , herramientas de gestin de la informacin de seguridad
( SIM ) , registros de aplicaciones , y similares.

También podría gustarte