Assessment Standards
Last updated
Was this helpful?
Last updated
Was this helpful?
Tanto las pruebas de penetración como las evaluaciones de vulnerabilidades deben cumplir con normas específicas para ser acreditadas y aceptadas por gobiernos y autoridades legales. Estas normas aseguran que la evaluación se realice de manera exhaustiva y de acuerdo con criterios generalmente aceptados, lo que aumenta la eficacia de estas evaluaciones y reduce la probabilidad de un ataque a la organización.
Cada organismo regulador de cumplimiento tiene sus propios estándares de seguridad de la información que las organizaciones deben seguir para mantener su acreditación. Los principales actores del cumplimiento en la seguridad de la información son PCI, HIPAA, FISMA e ISO 27001.
Estas acreditaciones son necesarias porque certifican que una organización ha sido evaluada por un proveedor externo. Además, muchas empresas requieren estas acreditaciones para hacer negocios con otras organizaciones.
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar ampliamente conocido en seguridad de la información que establece requisitos para las organizaciones que manejan tarjetas de crédito. Aunque no es una regulación gubernamental, las organizaciones que almacenan, procesan o transmiten datos de tarjetas de crédito deben implementar las directrices de PCI DSS. Esto incluye bancos o tiendas en línea que manejan sus propias soluciones de pago (por ejemplo, Amazon).
Los requisitos de PCI DSS incluyen escaneos internos y externos de los activos. Por ejemplo, cualquier dato de tarjeta de crédito que esté siendo procesado o transmitido debe realizarse en un Entorno de Datos de Tarjeta (CDE). El entorno CDE debe estar segmentado adecuadamente del resto de los activos para proteger los datos de los tarjetahabientes de ser comprometidos durante un ataque y limitar el acceso interno a los datos.
La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) se utiliza para proteger los datos de los pacientes. Aunque no necesariamente requiere escaneos de vulnerabilidades o evaluaciones, se requiere una evaluación de riesgos y la identificación de vulnerabilidades para mantener la acreditación HIPAA.
La Ley Federal de Gestión de la Seguridad de la Información (FISMA) establece normas y directrices para proteger las operaciones y la información del gobierno. La ley exige que una organización proporcione documentación y pruebas de un programa de gestión de vulnerabilidades para garantizar la disponibilidad, confidencialidad e integridad de los sistemas de tecnología de la información.
ISO 27001 es un estándar utilizado a nivel mundial para gestionar la seguridad de la información. Este estándar requiere que las organizaciones realicen escaneos externos e internos de forma trimestral.
Aunque el cumplimiento es esencial, no debe ser el único motor de un programa de gestión de vulnerabilidades. La gestión de vulnerabilidades debe considerar la singularidad de un entorno y el apetito de riesgo asociado con la organización.
La Organización Internacional de Normalización (ISO) mantiene normas técnicas para prácticamente cualquier cosa que se pueda imaginar. El estándar ISO 27001 trata sobre la seguridad de la información. El cumplimiento de ISO 27001 depende de mantener un Sistema de Gestión de la Seguridad de la Información efectivo. Para asegurar el cumplimiento, las organizaciones deben realizar pruebas de penetración de manera cuidadosa y estructurada.
Las pruebas de penetración no deben realizarse sin reglas o directrices. Siempre debe haber un alcance definido específicamente para una prueba de penetración, y el propietario de una red debe tener un contrato legal firmado con los pentesters que detalle lo que pueden y no pueden hacer. Además, las pruebas deben realizarse de tal manera que se minimicen los daños a los equipos y redes de la empresa. Los pentesters deben evitar realizar cambios siempre que sea posible (como cambiar una contraseña de cuenta) y limitar la cantidad de datos eliminados de la red de un cliente. Por ejemplo, en lugar de eliminar documentos confidenciales de un recurso compartido, una captura de pantalla de los nombres de las carpetas debería ser suficiente para demostrar el riesgo.
Además del alcance y las legalidades, también existen varios estándares de pruebas de penetración, dependiendo del tipo de sistema que se evalúe. Aquí hay algunos de los estándares más comunes que puede utilizar un pentester:
El Estándar de Ejecución de Pruebas de Penetración (PTES) puede aplicarse a todo tipo de pruebas de penetración. Detalla las fases de una prueba de penetración y cómo deben llevarse a cabo. Estas son las secciones de PTES:
Interacciones previas al compromiso
Recolección de inteligencia
Modelado de amenazas
Análisis de vulnerabilidades
Explotación
Post Explotación
Informes
El Manual de Metodología de Pruebas de Seguridad de Código Abierto (OSSTMM) es otro conjunto de pautas que los pentesters pueden utilizar para garantizar que están haciendo su trabajo correctamente. Puede utilizarse junto con otros estándares de pruebas de penetración.
OSSTMM se divide en cinco canales diferentes para cinco áreas distintas de pruebas de penetración:
Seguridad humana (los seres humanos son susceptibles a ataques de ingeniería social)
Seguridad física
Comunicaciones inalámbricas (incluyendo tecnologías como WiFi y Bluetooth)
Telecomunicaciones
Redes de datos
El Instituto Nacional de Estándares y Tecnología (NIST) es conocido por su Marco de Ciberseguridad, un sistema para diseñar políticas y procedimientos de respuesta a incidentes. NIST también tiene un Marco de Pruebas de Penetración. Las fases del marco de NIST incluyen:
Planificación
Descubrimiento
Ataque
Informes
OWASP, el Proyecto Abierto de Seguridad de Aplicaciones Web, es una organización de referencia para definir estándares de pruebas y clasificar riesgos en aplicaciones web.
OWASP mantiene varios estándares y guías útiles para evaluar diversas tecnologías:
Guía de Pruebas de Seguridad Web (WSTG)
Guía de Pruebas de Seguridad Móvil (MSTG)
Metodología de Pruebas de Seguridad de Firmware
