¿Organización como OWASP para la seguridad de la red?

5

¿Hay algo como OWASP para la seguridad de la red? ¿O alguno de ustedes ha encontrado una guía de prueba para la seguridad de la red, en cuanto a cómo iniciar una auditoría y luego el número mínimo de pruebas que se deben ejecutar y las herramientas a utilizar?

Estoy tratando de armar un documento y parece que la cantidad de pruebas a realizar es infinita con muchas combinaciones.

    
pregunta aRun 19.04.2013 - 08:05
fuente

3 respuestas

6

Si está buscando el equivalente de OWASP para la seguridad de la red, sugeriría metodologías de prueba como OSSTMM o PTES (aunque el PTES todavía está bastante incompleto), es un buen lugar para buscar información.

Sin embargo, como usted dice, ambos tendrán una gran cantidad de información. Esto se debe a que la seguridad de la red es una propuesta menos definida en comparación con la seguridad de la aplicación web. Abarca una amplia gama de temas (seguridad del sistema operativo Unix, seguridad del sistema operativo Windows, dispositivos de red, bases de datos, etc.) por lo que el rango de controles necesarios para completar una revisión será mucho más amplio que para una sola aplicación web. / p>

Dicho esto, si estoy buscando un conjunto básico de controles para la seguridad de la red, lo recomendaría.

  • Escaneo de puertos de todos los hosts en las redes de destino para establecer qué servicios ofrecen
  • Análisis de vulnerabilidad de los puertos abiertos mediante una herramienta como Nessus o OpenVAS . Los escáneres de vulnerabilidad tienen una gran cantidad de controles preprogramados para problemas de seguridad comunes, por lo que son una buena manera de identificar problemas básicos. Además, si les proporciona credenciales para que se autentiquen en sus servidores, pueden hacer un trabajo más exhaustivo para verificar cosas como los niveles de parches
  • Además de esto, recomiendo revisar todas las interfaces de administración para las credenciales predeterminadas. Este es un problema muy común y es la causa de muchas infracciones. Hacer esto puede ser tan simple como conectarse a cada uno e intentar combinaciones comunes predeterminadas (por ejemplo, admin / admin). También puede revisar la documentación del sistema que se está revisando para ver si menciona cuentas predeterminadas (a menudo lo hacen)

Aunque hacer esto no encontrará todos los problemas en una red, es un buen primer paso y si puede resolver todos los problemas planteados en este tipo de escaneo, su red se dirigirá en la dirección correcta desde un punto de vista de seguridad.

    
respondido por el Rоry McCune 19.04.2013 - 08:35
fuente
2

Cuando dice que desea una "Organización como OWASP para la seguridad de la red", asumo que está buscando una organización que ofrezca recursos gratuitos de fácil digestión para ofrecerle una buena visión general de las mejores prácticas, amenazas comunes y contramedidas, como a diferencia de un conjunto de productos diseñados para ayudarlo a alcanzar esos objetivos.

El Instituto SANS es una organización de este tipo. Ofrecen muchos recursos y capacitación pagada, así como algunos buenos recursos gratuitos que cubren una amplia gama de información relacionada con la seguridad.

    
respondido por el David Stratton 19.04.2013 - 20:09
fuente
0

Uno de los mejores recursos para configurar una buena seguridad de red son las pautas de PCI DSS v3.0. Estos son los estándares de seguridad de datos de la industria de tarjetas de pago y se aplican a organizaciones que almacenan datos de tarjetas de crédito.

enlace

No creo que esto proporcione el nivel de detalle de prueba que estás buscando, pero es una descripción conceptual extremadamente completa con pautas que te ayudarán a lograr cada medida.

    
respondido por el Josh Padnick 09.12.2013 - 06:27
fuente

Lea otras preguntas en las etiquetas