OSSTMM (Open Source Security Testing Methodology Manual) proporciona una metodología para una exhaustiva prueba de seguridad, en este documento se referencia como una auditoría OSSTMM. Una auditoría OSSTMM es una medición precisa de la seguridad a nivel operacional, lo cual evita suposiciones y evidencia anecdótica.
Como una metodología, esta diseñada para ser consistentes y repetible. Como un proyecto de fuente abierta, permite a cualquier profesional en pruebas de seguridad contribuir con ideas para realizar pruebas de seguridad más precisas, concretas y eficientes. Además esto permite la libre difusión de información y propiedad intelectual.
Aquí tienes todo lo que debes saber sobre OSSTMM.
Indice
¿Qué es el Manual de metodología de pruebas de seguridad de código abierto (OSSTMM)?
El Manual de Metodología de Pruebas de Seguridad de Código Abierto, o OSSTMM, es una metodología revisada por pares para pruebas de seguridad, mantenida por el Instituto de Seguridad y Metodologías Abiertas (ISECOM).
El manual se actualiza cada seis meses aproximadamente, para seguir siendo relevante para el estado actual de las pruebas de seguridad. ISECOM dice que su principal objetivo con el OSSTMM es proporcionar un proceso científico para la caracterización precisa de la seguridad operativa que se puede utilizar para pruebas de penetración, piratería ética y otras pruebas de seguridad. ISECOM se centra en hechos verificados para asegurarse de que las organizaciones que utilizan OSSTMM para sus propias metodologías de pruebas de penetración puedan saber que están tomando decisiones basadas en hechos.
OSSTMM proporciona una metodología para una prueba de seguridad integral. Este documento se denomina auditoría OSSTMM.
Una auditoría OSSTMM es una medida exacta de seguridad a nivel operativo, que evita expectativas y evidencia anecdótica.
Como proyecto de código abierto, permite que cualquier profesional de pruebas de seguridad contribuya con ideas para pruebas de seguridad más precisas, concretas y eficientes. También permite la libre difusión de información y propiedad intelectual.
Historia
Desde su inicio a finales de 2000, OSSTMM creció rápidamente para cubrir todos los canales de seguridad con la experiencia aplicada de miles de colaboradores.
Para el año 2005, OSSTMM no se consideró solo como un marco de buenas prácticas. Se había convertido en una metodología para garantizar la correcta realización de la seguridad operacional.
A medida que las auditorías de seguridad se convirtieron en la corriente principal, la necesidad de una metodología sólida se volvió crítica.
En 2006, OSSTMM pasó de definir pruebas basadas en soluciones como pruebas de firewall y pruebas de enrutadores a un estándar para aquellos que necesitan una prueba de seguridad confiable en lugar de solo un informe de cumplimiento para una legislación o regulación específica.
Características de OSSTMM
Los entornos son significativamente más complejos en comparación con años anteriores debido a eventos como operaciones remotas, virtualización, computación en la nube. Y también otros nuevos tipos de infraestructura no pueden pensar en realizar pruebas simples solo para escritorios, servidores o equipos de enrutamiento.
- Por lo tanto, la versión 3 de la prueba OSSTMM cubre todos los canales humanos, físicos, inalámbricos, de telecomunicaciones y de redes de datos.
- Esto también lo hace perfectamente cómodo para probar la computación en la nube, la infraestructura virtual, el middleware de mensajería, la infraestructura y las comunicaciones móviles.
- Y también, ubicaciones de alta seguridad, recursos humanos, computación confiable y cualquier proceso lógico que cubra todos los canales y requiera un tipo diferente de prueba de seguridad.
- Un conjunto de la superficie de ataque de métricas, llamado ravs, proporciona una herramienta poderosa y altamente flexible que proporciona una representación gráfica del estado y muestra los cambios de estado a lo largo del tiempo.
- Esto se integra bien con un «tablero» que es beneficioso para la administración y el personal interno. Y también pruebas externas, que permiten la comparación / combinación de los dos.
- Puede realizar la gestión del riesgo cuantitativo del informe con los hallazgos de la auditoría OSSTMM, proporcionando un resultado mejorado debido a un error de resultados gratuito y más preciso.
Sin embargo, es posible que aquí se proponga la gestión de la confianza que la gestión del riesgo. OSSTMM incluye información para planificar el proyecto, resultados cuantificados y las reglas del contrato para auditorías de seguridad.
Canales de prueba y metodología
El OSSTMM proporciona orientación sobre cómo probar la seguridad operativa de cinco canales para que las organizaciones puedan comprender el alcance total de su seguridad y determinar qué tan bien funcionan realmente sus procesos de seguridad. Se trata de lo que realmente hacen sus operaciones, y no solo de lo que se supone que deben hacer.
Estos cinco canales incluyen:
- Seguridad humana: la seguridad de la interacción y la comunicación humanas se evalúa operativamente como medio de prueba
- Seguridad física: el OSSTMM prueba la seguridad física definida como cualquier elemento tangible de seguridad que requiere un esfuerzo físico para operar
- Comunicaciones inalámbricas: las comunicaciones electrónicas, las señales y las emanaciones se consideran comunicaciones inalámbricas que forman parte de las pruebas de seguridad operativa.
- Telecomunicaciones: ya sea que la red de telecomunicaciones sea digital o analógica, cualquier comunicación realizada a través de líneas telefónicas o de red se prueba en el OSSTMM.
- Redes de datos: las pruebas de seguridad de las redes de datos incluyen sistemas electrónicos y redes de datos que se utilizan para la comunicación o interacción a través de cables y líneas de red cableadas.
El OSSTMM se centra en estos cinco canales como áreas operativas importantes que necesitan pruebas de seguridad adecuadas para proteger tu organización. En nuestra metodología de pruebas de penetración, nos basamos en estas ideas para encontrar las debilidades y vulnerabilidades de la empresa que deben abordarse más a fondo.
Ese es el valor que OSSTMM aporta a la mesa.
Conceptos clave
Algunos de los conceptos originales siguen siendo la base del OSSTMM cuando se utilizan en el proceso de evaluación, pero algunos conceptos más claramente definidos en la próxima versión permiten que la metodología OSSTMM se utilice para evaluar la seguridad de todo tipo de cosas.
En cualquier caso, aquí hay un breve resumen de lo que considero el corazón y el alma del OSSTMM.
Reglas de participación
Las Reglas de Compromiso abarcan alrededor de 50 puntos individuales, comenzando con el enfoque de Ventas y Marketing, hasta la entrega final del informe. No entraré en todos ellos aquí, pero estas reglas de participación preparan la mesa (por así decirlo) para el enfoque y la metodología generales, con un enfoque en el Pensamiento Crítico de Seguridad y un enfoque imparcial para la medición de OpSec.
Para las empresas «independientes del proveedor» sin una agenda para vender productos o servicios después del hecho, muchos de estos conceptos son obvios, otros no.
Muchas de las reglas son muy específicas para la notificación, el permiso, los contratos y la realización de la evaluación real, pero muestran que hay algo detrás de las cortinas de este manual que se diferencia de otras metodologías.
Pensamiento crítico de seguridad
Un nuevo concepto introducido en OSSTMM versión 3 (aunque siempre está entre bastidores) es el pensamiento crítico de seguridad. El Pensamiento Crítico de Seguridad es la práctica de utilizar la lógica y los hechos, frente a la opinión, la experiencia o el sesgo para formar ideas sobre la seguridad.
Mi ejemplo favorito de pensamiento crítico de seguridad, como se describe en el OSSTMM, es el análisis de las declaraciones populares «Si un atacante quiere entrar lo suficientemente mal, lo hará» y «no existe la seguridad perfecta». Estoy seguro de que he dicho (y sé que he escuchado mil veces) cada una de estas afirmaciones, pero ninguna de ellas se basa en hechos o lógica, sino en prejuicios y opiniones.
Según OSSTMM «El proceso de pensamiento crítico de seguridad depende de que el Analista pueda discernir declaraciones verdaderas o al menos reconocer el grado de posible falsedad o propiedades dinámicas en una declaración. Una forma de hacerlo es reconocer la cantidad de confianza se puede tener de hecho mediante el uso de métricas de confianza «.
Y este no es solo un concepto de alto nivel en la versión 3. Hay una técnica de 6 pasos que ayuda con el proceso y garantiza un enfoque coherente del pensamiento crítico de seguridad. Uno de los proyectos de ISECOM es Jack of All Trades, que es una serie de ejercicios para que tu cerebro piense críticamente. El primer ejemplo de los ejercicios de «Jack» es definir 10 formas de apagar la luz en una habitación que contiene una bombilla y un interruptor, luego 10 formas de mantenerla encendida, luego 10 formas de determinar si está encendida.
Análisis de confianza
Otro concepto nuevo en la versión 3 es el de Análisis de confianza. Este concepto es lo que proporciona la versatilidad del uso del OSSTMM en otras áreas de análisis fuera de la seguridad de la información.
Según OSSTMM, «Como parte de OpSec, la confianza es una parte de la porosidad de un objetivo. Donde la seguridad es como un muro que separa las amenazas de los activos, la confianza es un agujero en ese muro. Es donde el objetivo acepta la interacción de otros objetivos Sin embargo, las personas tienden a utilizar controles operativos inadecuados o incompletos con sus fideicomisos, como la autenticación que se ha realizado con una identificación incorrecta, como una voz por teléfono, una tarjeta de presentación, o incluso simplemente la suposición de que debido a que una persona está en la sala que están autorizados a estar allí. Esto abre a las personas al fraude y al engaño. Se requiere el uso de controles adicionales para asegurar un fideicomiso, para asegurar su integridad y resistencia».
Aunque el OSSTMM describe con gran detalle las interacciones entre los activos y su relación con la confianza con o sin implementar ciertos controles (como la autenticación), solo diré aquí que comprender este aspecto del OSSTMM es un cambio de juego, y al igual que otros aspectos del OSSTMM: el análisis de confianza se reduce a una fórmula científica que utiliza un conjunto de 10 propiedades de confianza, que se pueden aplicar a casi todas las situaciones para crear «Reglas de confianza».
En cuanto a cómo el análisis de confianza se aplica directamente al proceso de prueba de seguridad, el OSSTMM continúa diciendo «Las pruebas de seguridad verificarán qué fideicomisos operativos existen; sin embargo, se requiere el uso de reglas de confianza para saber si deberían existir. Esto se determina con el uso de las reglas de confianza durante las pruebas de seguridad «.
Defensa a lo ancho
El concepto clave final que discutiré en este artículo es «Defensa a lo ancho» … ya sea que esté específicamente definido en OSSTMM v3 o no. Este es otro diferenciador entre el enfoque OSSTMM y otros, y está estrechamente relacionado con el pensamiento crítico de seguridad.
«Defensa en profundidad» es otra palabra de moda utilizada con tanta frecuencia durante la última década, que hemos olvidado lo que significa. Hoy en día, los proveedores y revendedores lo utilizan mucho para vender otra pieza de equipo y colocarla en algún lugar de su red para protegerse incluso de otra palabra de moda.
Si le pide a la mayoría de la gente que defina Defensa en profundidad, la respuesta sin duda sería «Múltiples capas de defensa, como una cebolla». El problema es que las infraestructuras actuales no se parecen en nada a una cebolla, por lo que el enfoque es defectuoso en su concepto básico.
El concepto de Defensa en Ancho implica la aplicación de múltiples controles (10 para ser exactos) sobre cada vector o interacción, en lugar de ver una empresa protegida por capas únicas que se pueden «despegar». El objetivo es evaluar cada activo (puerto, dirección IP, aplicación, cualquiera que sea la definición del alcance) contra los 10 controles definidos en el OSSTMM y medir la deficiencia (OpSec).
La mayor diferencia es que DiD (Defense in Depth) requiere la cooperación de los usuarios para garantizar que se mantenga la seguridad y DiW (Defense in Width). DiD es como el Programa de protección de testigos para redes donde hay algunos controles de Autenticación y muchos controles de Privacidad o Confidencialidad, pero realmente depende del Testigo seguir las reglas del programa para mantenerse seguro.