Estándares de Prueba de Penetración

Nota:

• Es uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría.

1. Alcance

   Nota:

   • Se define un proceso que recolecta de información en todos los bienes en el ambiente objetivo.
2. Canal

   Nota:

   •  Nos determinar el tipo de comunicación e interacción que habrá con los bienes los cuales pueden ser físicos, espectros y comunicativos. Todos estos canales representan un único set de los componentes de seguridad y deben ser testados y verificados durante el periodo de evaluación.
3. Índice

   Nota:

   •  Clasifica bienes objetivo que se corresponde con sus particulares identificaciones como la dirección MAC o la dirección IP.
4. Vector

   Nota:

   • Se concluye en qué dirección puede el perito informático evaluar y analizar cada bien funcional.

Nota:

•  Proporciona un marco de políticas de seguridad informática guía sobre cómo el sector privado organizaciones en los Estados Unidos pueden evaluar y mejorar su capacidad de prevenir, detectar y responder a los ataques cibernéticos.

1. Identificar

   Nota:

   • Desarrollar la comprensión de la organización para gestionar los riesgos de seguridad cibernética a sistemas, activos, datos y capacidades.
2. Proteger

   Nota:

   • Desarrollar y aplicar las salvaguardas apropiadas para garantizar la prestación de servicios de infraestructura crítica
3. Detectar

   Nota:

   • Desarrollar e implementar las actividades necesarias para identificar la ocurrencia de un evento de seguridad cibernética
4. Responder

   Nota:

   • Desarrollar e implementar las actividades necesarias para tomar acción respecto a un evento detectado la seguridad cibernética.
5. Recuperar

   Nota:

   • Desarrollar e implementar las actividades apropiadas para mantener los planes para la resistencia y para restaurar las capacidades o servicios que fueron perjudicadas debido a un evento de seguridad cibernética

Nota:

• Pretende unir esfuerzos de analistas y expertos en seguridad para hacer un estándar que pueda completar una auditoría en todos sus procesos más habituales.

1. Pre-compromiso

   Nota:

   • Esta sección describe los principales problemas que se debatirán y tratarán en la etapa inicial de la prueba antes de comenzar cualquier prueba real.
2. Recolección de Información
3. Modelado de Amenazas

   Nota:

   • Esta sección sigue el enfoque tradicional de "activos y atacantes". Define los activos como activos comerciales y procesos comerciales, y los atacantes como comunidades de amenazas y sus capacidades / motivación.
4. Análisis de Vulnerabilidad

   Nota:

   • Este es el proceso de encontrar debilidades en los sistemas y procesos objetivo, lo que permitiría a un atacante comprometer los controles de seguridad de un activo.
5. Explotación

   Nota:

   • Esta sección comienza con "identificar el menor camino de resistencia dentro de la organización sin detección y tener el mayor impacto en la capacidad de la organización para generar ingresos" (PTES 2012)
6. Post-explotación
7. Informes

   Nota:

   • La presentación de informes es la fase final de la prueba de penetración. En esta sección, el estándar PTES proporciona una discusión de alto nivel sobre los elementos requeridos del informe, así como los problemas que deben abordar.

Nota:

• Es una metodología de seguridad de auditoría web, abierta y colaborativa, orientada al análisis de seguridad de aplicaciones Web, y usada como referente en auditorías de seguridad.

1. Diseñar
2. Construir
3. Desplegar
4. Operar
5. Descartar