¿Cuál sería una buena manera de crear un programa de pruebas de seguridad?

Navega tus respuestas
1

Me han asignado la tarea de crear un calendario / calendario formal de pruebas de seguridad para las aplicaciones de nuestra organización, ya que la mayoría de nuestras pruebas actuales (exploraciones, análisis de prueba, etc.) se realizan de manera ad hoc.

Me pregunto si alguien ha creado algo similar para su organización y qué proceso se usó para construir este calendario.

Mis pensamientos actuales son los siguientes:

  1. Cree una lista de aplicaciones organizadas en categorías de criticidad basadas en la función que proporcionan / consecuencias de un ataque exitoso (por ejemplo, misión crítica, crítica, no crítica)
  2. Determine qué se debe determinar para cada nivel de criticidad a través de las pruebas, y determine qué pruebas se realizarán para cada una (por ejemplo, las pruebas del equipo rojo solo se realizan en misión crítica).
  3. Determine la regularidad de las pruebas y los tipos de pruebas para cada categoría de criticidad.
  4. Crear un programa de prueba.

No he tenido muchas oportunidades de pensar en la frecuencia con la que se deben realizar las pruebas / los tipos de pruebas, por lo que estoy muy abierto a las referencias a material que pueda revisar para obtener una mejor comprensión.

    
pregunta Wesley 01.12.2014 - 00:51
fuente

2 respuestas

1

"Pruebas" solo no lo hará.

  1. Evaluación de riesgos

Frecuencia: bianual

  • Activos de información de documentos (sistemas, redes, componentes de infraestructura, etc.)
  • Identifique amenazas a esos activos (vulnerabilidades, vectores de ataque, etc.)
  • Examine y revise cómo los controles de seguridad y las medidas implementadas mitigan o eliminan el riesgo de esos ataques (controles de acceso, procesos, políticas, estándares de seguridad, etc.)
  • Identifique las necesidades de seguridad, soluciones o áreas de mejora

Al categorizar los activos, no solo mire la importancia del servicio que brinda a la organización (p. ej., misión crítica), sino los riesgos que están asociados con un compromiso potencial, el valor de la información, el impacto de compromiso potencial. Un sistema puede ser totalmente poco importante para el negocio diario de la organización, pero podría ser de gran importancia en términos de la información que puede proporcionar a un atacante, si está comprometido. Hicimos una broma en la oficina: uno de nuestros compromisos de Pentest no iba a ninguna parte, los servidores web y la infraestructura pública del cliente eran sólidos, pero logramos comprometer la computadora portátil de la secretaria del Oficial Principal de Finanzas. Curiosamente, tenía una copia del estado financiero de la compañía, días antes de su lanzamiento oficial. Dado que el cliente era una empresa que cotiza en bolsa ... ya sabes a dónde va esto.

  1. Auditoría de seguridad

Frecuencia: Trimestral

Desafortunadamente, muchos se olvidan de que la mayoría de los problemas se pueden identificar al mirar las cosas desde adentro, en lugar de hacer pruebas desde afuera. Una auditoría realizada correctamente puede revelar problemas que podría no revelarse fácilmente durante un Pentest (veamos las cuentas definidas para ese administrador Tomcat). Aquí hay algunos puntos básicos:

  • Revisar configuraciones (servidores, enrutadores, conmutadores, cortafuegos)
  • Verifique que se apliquen las políticas (por ejemplo, asegúrese de que se hayan eliminado las cuentas de ex empleados, mire las contraseñas y cuándo se modificaron por última vez)
  • Observe cómo se configuran y realizan las copias de seguridad, el cifrado de datos confidenciales, cómo se implementa el control de acceso (incluidos los identificadores físicos y otros elementos aparentemente sin importancia)

_

  1. Ciclo de vida de los sistemas

Frecuencia: En curso

Cada vez que TI presenta un nuevo sistema, agrega una red, proporciona un nuevo servicio o desactiva uno anterior, el equipo de infosec debe participar para revisar, analizar e implementar medidas de seguridad. Haz que sea parte del proceso.

  1. Revisión de vulnerabilidades y parches

Frecuencia: Semanal

Cuando reciba esos boletines de seguridad, si contienen elementos que están directamente relacionados con los productos / sistemas que tiene instalados, preste atención. Además, no "asuma" que todo está remendado el martes; WSUS puede funcionar bien, pero debe realizar algunas comprobaciones básicas y mirar los registros.

Hay más elementos, pero esto ya es demasiado largo y no estoy escribiendo un libro. Cosas adicionales para mirar:

  • Eventos de seguridad, informes de incidentes y respuesta a incidentes
  • días de concientización sobre la seguridad
  • Mesa redonda de seguridad (con la participación del CEO)
  • ...
respondido por el Milen 01.12.2014 - 13:06
fuente
0

Hay algunos recursos a los que me gustaría señalarle para comprender completamente los enfoques tradicionales y no tradicionales para los recursos de pruebas de penetración. Dos libros, uno: "Guía de pruebas de penetración de CISO: un marco para planificar, administrar y maximizar beneficios", y el otro, "Pruebas de penetración efectivas" de Kevin Pescatello y Matthew Larsen. En el libro anterior, el capítulo 5 cubre cuatro tipos de pruebas: compartidas en paralelo, aisladas en paralelo, compartidas en serie y aisladas en serie. Lo ideal es que las pruebas se coordinen según la forma en que se conectan en términos de datos y flujos de ejecución. Los sistemas más conectados probablemente serán pruebas compartidas en paralelo, por ejemplo.

Además, últimamente he estado leyendo mucho sobre el riesgo, especialmente debido a un libro, "Medición y gestión del riesgo de la información". Hay muchas formas interesantes de modelar el riesgo para el calendario de pruebas de penetración, como ubicar primero a Internet, luego a sistemas indirectos y luego a sistemas aislados, pero también tener en cuenta los factores de control de prevención de pérdidas, detección de variaciones y respuesta. y habilitación de decisiones. ¿Cuáles son los valores de sus activos? ¿Cuál es la eficacia de sus conjuntos de control actuales?

    
respondido por el atdre 04.12.2014 - 00:53
fuente

Lea otras preguntas en las etiquetas

{Seguro} Telnet se conecta a un servidor de consola desde el navegador web Correo desechable para anonimato