Assessment Standards
Last updated
Last updated
Tanto las pruebas de penetraciĂłn como las evaluaciones de vulnerabilidades deben cumplir con normas especĂficas para ser acreditadas y aceptadas por gobiernos y autoridades legales. Estas normas aseguran que la evaluaciĂłn se realice de manera exhaustiva y de acuerdo con criterios generalmente aceptados, lo que aumenta la eficacia de estas evaluaciones y reduce la probabilidad de un ataque a la organizaciĂłn.
Cada organismo regulador de cumplimiento tiene sus propios estándares de seguridad de la información que las organizaciones deben seguir para mantener su acreditación. Los principales actores del cumplimiento en la seguridad de la información son PCI, HIPAA, FISMA e ISO 27001.
Estas acreditaciones son necesarias porque certifican que una organización ha sido evaluada por un proveedor externo. Además, muchas empresas requieren estas acreditaciones para hacer negocios con otras organizaciones.
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar ampliamente conocido en seguridad de la informaciĂłn que establece requisitos para las organizaciones que manejan tarjetas de crĂ©dito. Aunque no es una regulaciĂłn gubernamental, las organizaciones que almacenan, procesan o transmiten datos de tarjetas de crĂ©dito deben implementar las directrices de PCI DSS. Esto incluye bancos o tiendas en lĂnea que manejan sus propias soluciones de pago (por ejemplo, Amazon).
Los requisitos de PCI DSS incluyen escaneos internos y externos de los activos. Por ejemplo, cualquier dato de tarjeta de crédito que esté siendo procesado o transmitido debe realizarse en un Entorno de Datos de Tarjeta (CDE). El entorno CDE debe estar segmentado adecuadamente del resto de los activos para proteger los datos de los tarjetahabientes de ser comprometidos durante un ataque y limitar el acceso interno a los datos.
La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) se utiliza para proteger los datos de los pacientes. Aunque no necesariamente requiere escaneos de vulnerabilidades o evaluaciones, se requiere una evaluaciĂłn de riesgos y la identificaciĂłn de vulnerabilidades para mantener la acreditaciĂłn HIPAA.
La Ley Federal de GestiĂłn de la Seguridad de la InformaciĂłn (FISMA) establece normas y directrices para proteger las operaciones y la informaciĂłn del gobierno. La ley exige que una organizaciĂłn proporcione documentaciĂłn y pruebas de un programa de gestiĂłn de vulnerabilidades para garantizar la disponibilidad, confidencialidad e integridad de los sistemas de tecnologĂa de la informaciĂłn.
ISO 27001 es un estándar utilizado a nivel mundial para gestionar la seguridad de la información. Este estándar requiere que las organizaciones realicen escaneos externos e internos de forma trimestral.
Aunque el cumplimiento es esencial, no debe ser el Ăşnico motor de un programa de gestiĂłn de vulnerabilidades. La gestiĂłn de vulnerabilidades debe considerar la singularidad de un entorno y el apetito de riesgo asociado con la organizaciĂłn.
La Organización Internacional de Normalización (ISO) mantiene normas técnicas para prácticamente cualquier cosa que se pueda imaginar. El estándar ISO 27001 trata sobre la seguridad de la información. El cumplimiento de ISO 27001 depende de mantener un Sistema de Gestión de la Seguridad de la Información efectivo. Para asegurar el cumplimiento, las organizaciones deben realizar pruebas de penetración de manera cuidadosa y estructurada.
Las pruebas de penetraciĂłn no deben realizarse sin reglas o directrices. Siempre debe haber un alcance definido especĂficamente para una prueba de penetraciĂłn, y el propietario de una red debe tener un contrato legal firmado con los pentesters que detalle lo que pueden y no pueden hacer. Además, las pruebas deben realizarse de tal manera que se minimicen los daños a los equipos y redes de la empresa. Los pentesters deben evitar realizar cambios siempre que sea posible (como cambiar una contraseña de cuenta) y limitar la cantidad de datos eliminados de la red de un cliente. Por ejemplo, en lugar de eliminar documentos confidenciales de un recurso compartido, una captura de pantalla de los nombres de las carpetas deberĂa ser suficiente para demostrar el riesgo.
Además del alcance y las legalidades, también existen varios estándares de pruebas de penetración, dependiendo del tipo de sistema que se evalúe. Aquà hay algunos de los estándares más comunes que puede utilizar un pentester:
El Estándar de Ejecución de Pruebas de Penetración (PTES) puede aplicarse a todo tipo de pruebas de penetración. Detalla las fases de una prueba de penetración y cómo deben llevarse a cabo. Estas son las secciones de PTES:
Interacciones previas al compromiso
RecolecciĂłn de inteligencia
Modelado de amenazas
Análisis de vulnerabilidades
ExplotaciĂłn
Post ExplotaciĂłn
Informes
El Manual de MetodologĂa de Pruebas de Seguridad de CĂłdigo Abierto (OSSTMM) es otro conjunto de pautas que los pentesters pueden utilizar para garantizar que están haciendo su trabajo correctamente. Puede utilizarse junto con otros estándares de pruebas de penetraciĂłn.
OSSTMM se divide en cinco canales diferentes para cinco áreas distintas de pruebas de penetración:
Seguridad humana (los seres humanos son susceptibles a ataques de ingenierĂa social)
Seguridad fĂsica
Comunicaciones inalámbricas (incluyendo tecnologĂas como WiFi y Bluetooth)
Telecomunicaciones
Redes de datos
El Instituto Nacional de Estándares y TecnologĂa (NIST) es conocido por su Marco de Ciberseguridad, un sistema para diseñar polĂticas y procedimientos de respuesta a incidentes. NIST tambiĂ©n tiene un Marco de Pruebas de PenetraciĂłn. Las fases del marco de NIST incluyen:
PlanificaciĂłn
Descubrimiento
Ataque
Informes
OWASP, el Proyecto Abierto de Seguridad de Aplicaciones Web, es una organización de referencia para definir estándares de pruebas y clasificar riesgos en aplicaciones web.
OWASP mantiene varios estándares y guĂas Ăştiles para evaluar diversas tecnologĂas:
GuĂa de Pruebas de Seguridad Web (WSTG)
GuĂa de Pruebas de Seguridad MĂłvil (MSTG)
MetodologĂa de Pruebas de Seguridad de Firmware
