OSSTMM: clasificación de auditorías técnicas

Dentro del abanico de las auditorías técnicas de seguridad, vamos a explicar en que consiste la clasificación de éstas que hace la ISECOM OSSTMM (Open Source Security Testing Methodology Manual).



Para ello vamos a basarnos en el conocimiento previo que tienen tanto el auditor como el auditado.

Blind: el auditor no tiene conocimiento previo de lo que va a auditar (controles existentes, arquitecturas de los sistemas, cómo acceder a la información…). Sin embargo el sistema es preparado por el auditado teniendo en cuenta que sabe qué tipo de pruebas va a realizar el auditor.

El objetivo será conocer las capacidades del auditor y evaluar la robustez de las infraestructuras después de una implantación.

Double Blind: es el correspondiente a la caja negra o “black box”. En este tipo de auditoría ni el auditor tiene conocimiento previo del sistema a auditar y el sistema de información auditano no está preparado especificamente para la auditoría.

El objetivo de esta auditoría es conocer de la manera más real posible cómo respondería la organización a un intento de ataque desde el exterior.

Grey Box: el auditor tiene un conocimiento previo del entorno del sistema a auditar y los sitemas de información auditados están preparados y advertidos de las actividades que se van a realizar. En la fase inicial de esta auditoría se intercambiará información entre auditado y auditor sobre las características técnicas, etc. El conocimiento del auditor sobre el sistema se irá incrementando durante el proceso tanto por la información encontrada como por la proporcionada por el auditado.

El objetivo es comprobar el funcionamiento y la eficiencia de los controles implantados ante una situación lo más cercana posible a un caso de ataque externo hacia la organización.

Double Grey Box: son las también conocidas como caja blanca o “white box” (según ISECOM). El auditor tiene conocimiento previo del sistema de información que va a auditar mientras que el auditado conoce de cuándo se va a realizar la auditoría (marco temporal), pero no de las técnicas que se van a utilizar. En la fase inicial de esta auditoría se intercambiará información entre auditado y auditor sobre las características técnicas, etc. El conocimiento del auditor sobre el sistema se irá incrementando durante el proceso tanto por la información encontrada como por la proporcionada por el auditado.

El objetivo es conocer tanto las habilidades del auditor, la eficacia de los controles implantados como la de los controles de detección del auditado.

Tandem: o crystal box, son aquellas en las que tanto auditor como auditado tienen toda la información acerca de la infraestuctura a auditar y parte de las pruebas se realizarán conjuntamente o coordinadas entre ellos.

El objetivo es hacer una evaluación intensiva de los controles de seguridad, teniendo en cuenta que los controles de detección y los procesos de gestión de evidencias no se evaluarán completamente.

Reversal: La organización auditada no tiene conocimiento del desarrollo de las pruebas (por lo menos el nivel operativo), por otro lado el auditor tiene toda la información que el auditado le haya proporcionado.

El objetivo es comprobar cómo de preparada está la organización a la hora de gestionar las incidencias de seguridad que puedan surgir.

Cómo véis dependiendo del enfoque que se dé a una auditoría se buscarán unos objetivos u otros, por lo que tendremos que tenerlo en cuenta a la hora de decidir qué tipo de auditoría es la que más nos conviene como auditados o auditores.

Fuente: Whos

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS