Si está buscando el equivalente de OWASP para la seguridad de la red, sugeriría metodologías de prueba como OSSTMM o PTES (aunque el PTES todavía está bastante incompleto), es un buen lugar para buscar información.
Sin embargo, como usted dice, ambos tendrán una gran cantidad de información. Esto se debe a que la seguridad de la red es una propuesta menos definida en comparación con la seguridad de la aplicación web. Abarca una amplia gama de temas (seguridad del sistema operativo Unix, seguridad del sistema operativo Windows, dispositivos de red, bases de datos, etc.) por lo que el rango de controles necesarios para completar una revisión será mucho más amplio que para una sola aplicación web. / p>
Dicho esto, si estoy buscando un conjunto básico de controles para la seguridad de la red, lo recomendaría.
- Escaneo de puertos de todos los hosts en las redes de destino para establecer qué servicios ofrecen
- Análisis de vulnerabilidad de los puertos abiertos mediante una herramienta como Nessus o OpenVAS . Los escáneres de vulnerabilidad tienen una gran cantidad de controles preprogramados para problemas de seguridad comunes, por lo que son una buena manera de identificar problemas básicos. Además, si les proporciona credenciales para que se autentiquen en sus servidores, pueden hacer un trabajo más exhaustivo para verificar cosas como los niveles de parches
- Además de esto, recomiendo revisar todas las interfaces de administración para las credenciales predeterminadas. Este es un problema muy común y es la causa de muchas infracciones. Hacer esto puede ser tan simple como conectarse a cada uno e intentar combinaciones comunes predeterminadas (por ejemplo, admin / admin). También puede revisar la documentación del sistema que se está revisando para ver si menciona cuentas predeterminadas (a menudo lo hacen)
Aunque hacer esto no encontrará todos los problemas en una red, es un buen primer paso y si puede resolver todos los problemas planteados en este tipo de escaneo, su red se dirigirá en la dirección correcta desde un punto de vista de seguridad.