Plantilla o ejemplo del plan de pruebas de seguridad

Navega tus respuestas
8

¿Qué aspecto tiene un plan de pruebas de seguridad?

¿Alguien puede señalar una plantilla para dicho documento o un ejemplo?

    
pregunta smiley 12.07.2012 - 13:34
fuente

6 respuestas

10

También está el Pentest Standard

    
respondido por el Epoch Win 13.07.2012 - 18:00
fuente
6

NIST 800-53A y NIST 800-115 Eso no es estrictamente un plan de prueba, pero es un catálogo de los elementos de un plan de prueba. Si está trabajando con un sistema de gobierno, es una lista de estándares de prueba para los controles de seguridad. Si estás trabajando en un sistema comercial, es un catálogo de recursos.

Otro recurso para los planes de prueba es SANS Critical 20 Security Controls ; Personalmente creo que eso es legítimo pero que está sobrevalorado.

Abrams parece ser un ejemplo; Puede encontrar más buscando Test de seguridad & Planes de evaluación en Google.

En última instancia, sin embargo, creo que todos se pierden la marca. Los planes de prueba de seguridad modernos deben hacerse sobre la base del riesgo. En mi opinión, debe realizar su evaluación de riesgos, identificar los principales N riesgos y luego desarrollar un plan de proyecto estándar para probar / validar esos riesgos dentro de los recursos disponibles ($$, tiempo, experiencia, etc.).

    
respondido por el Mark C. Wallace 19.03.2013 - 19:55
fuente
5

Hay un buen recurso en MSDN. ¿Tuvo la oportunidad de leer sobre este tema en la revista MSDN?

Bueno, aquí están los enlaces que pueden ayudar a definir su aspecto:

respondido por el EL Yusubov 13.07.2012 - 07:13
fuente
3

Los estándares / políticas, la evaluación de riesgos y el modelado de amenazas deben eliminar un conjunto de riesgos y controles clave para mitigarlos. En qué consistirá esto dependerá de lo que se entregue.

Un plan de prueba debe establecerse fundamentalmente para evidenciar estos controles. La penetración / pruebas de vulnerabilidad es solo una parte de esto. Otros aspectos podrían ser la revisión de código / construcción / configuración, los aspectos de las pruebas funcionales para garantizar que las capacidades esperadas están presentes, la garantía de terceros y el cumplimiento de los estándares.     

respondido por el flamingm0 26.03.2013 - 10:04
fuente
2

Aquí es una página de solicitud para Plantilla de plan de prueba para Sitios web y aplicaciones web proporcionados por XBOSoft - enlace

    
respondido por el Cyril 25.03.2013 - 08:31
fuente
2

Esta es una pregunta muy importante desde la perspectiva de la gestión de la seguridad. Para mí, ha sucedido en los casos en los que, mágicamente, supongo que debo traer 'a PLAN' que resuelve todas las preocupaciones de la administración. El plan según la definición exige atención y atención a detalles específicos. Un plan exitoso SIEMPRE coincide con su propósito, esfuerzo y los resultados que entrega

Déjame explicarte más.

  

En primer lugar, un plan básicamente debería funcionar como un pequeño proyecto que tiene todos los ingredientes de lo que debería comprometerse como un proyecto eficaz y rentable. Al igual que en cualquier proyecto que discutirías

  • alcance del proyecto
  • Requisitos
  • Objetivos
  • Recursos
  • elemento de lista
  • Diseño / Solución propuesta
  • Entregable
  • Métricas de rendimiento del proyecto / KPI
  • Documentación
  

Del mismo modo, cualquier plan para ese asunto debería tener un decente   huella de una planificación y actividades de gestión de proyectos eficaces.

     

Tu declaración hubiera tenido el perfecto sentido contextual; si agregaste algo como que quiero un plan de prueba para xyz . XYZ aquí es arbitrario, pero no se limita a: -

  1. Como dado y explicado en Guía de pruebas OWASP un plan o serie de pruebas casos que estarían preparados para probar el cumplimiento si el programador hubiera seguido las directrices de codificación segura de OWASP o no.
  2. Al decir esto me refiero a que se puede usar, preparar y asesorar un plan para probar casi cualquier cosa que se ajuste a los requisitos y objetivos. Esta es la razón, vería especialmente en seguridad que existe un plan o una metodología para todo . Otro ejemplo se podría hacer un plan que pruebe regularmente la configuración del punto de acceso de su organización a protocolos / estándares de encriptación débiles (WEP), también un plan que verifica específicamente los servicios de administración remota sin cifrar (por ejemplo, telnet) usando una herramienta (por ejemplo) NESSUS . En términos sencillos, siempre que haya dos entradas diferentes, sistemáticas y desesperadas en el entorno, siempre habrá dos planes involucrados, no uno. Por ejemplo. Tiene mucho sentido dependiendo de la importancia crítica del uso de un equipo industrial en particular que los fabricantes podrían exigir dos planes de prueba y estrategias por separado para la resistencia de las tuercas y los pernos a las tensiones en reposo (golpeado por un objeto en movimiento rápido) y también su resistencia a que suceda lo mismo cuando su movimiento.
  

En segundo lugar, un punto clave relacionado con los planes; ¿Existe una descripción clara y clara de los tipos de pruebas realizadas y los resultados esperados? Por lo general, estos resultados se alinean o mapean con METRICS ya preparados para comprender el nivel de éxito o fracaso alcanzado al realizar estas pruebas.

     

Por último, preguntaste sobre cosas que van en un PLAN. Decir si has hecho tu tarea y saber qué va a dónde. Puedes comenzar con el siguiente esquema.

  • antecedentes
  • detalles del objetivo
  • Ámbito de trabajo
  • Metodologías adoptadas
  • Lista de pruebas realizadas
  • Análisis de los resultados de las pruebas
  • Mantenimiento y actualización del plan
  • Recomendaciones

Espero que te ayude :)

    
respondido por el Saladin 26.03.2013 - 18:23
fuente

Lea otras preguntas en las etiquetas

¿Puede el token anti-CSRF evitar el ataque de fuerza bruta? Cómo protegerse contra los "ataques oracle de relleno".