Metodología de auditoría de seguridad, OSSTMM

Logo de OSSTMM
FacebooktwitterinstagramFacebooktwitterinstagram

Logo de OSSTMM
Si hace unos días comentaba OWASP, como metodología de seguridad en el desarrollo de aplicaciones, hoy quiero acercarme a otra de las metodologías que nos pueden ayudar a la hora de mantener nuestros sistemas seguros.
Esta metodología, llamada OSSTMM (Open Source Security Testing Methodology Manual, Manual de código abierto para la realización de pruebas de seguridad) nació hace unos añitos de la mano del señor Pete Herzog como piedra angular de un proyecto que se denominó «ideahamster».

Como «chascarrillo» y para comprender la esencia del proyecto, los «idea hamsters» (frase hecha del inglés) son personas dedicadas a la inyección de ideas (propias o no) a equipos de trabajo. Hace unos años, el propio Pete, hizo un «referendum» entre los segurdores de la lista de correo original de IdeaHamster, buscando un nombre mas serio, quedando en primer lugar ISECOM (Institute for security and open methodologies, Instituto para la seguridad y metodologias abiertas). Este ha sido uno de los pocos cambios de este estándar. Sigue siendo un estándar abierto, colaborativo y no ligado a ninguna tecnología o plataforma, con lo cual su ciclo de vida es muy largo.

 

Ideahamster.org en Julio de 2001

Ideahamster.org en Julio de 2001

Volviendo a 2011 y con OSSTMM en la versión 3.0, la metodología, cuyo manual se puede bajar de forma libre y gratuita de la web de ISECOM, está estructurada en 15 capítulos. A pesar de lo que pueda parecer, el manual es de lectura amena (quizá el mas denso de todos sea el que dedica a las métricas). Despues de una introducción que nos da pié a la metodología en sí misma, accederemos a 14 capítulos en donde se va desgranando no solo la metodología, sino como podemos trabajar con ella:

  • Capítulo 1: Que necesitas saber
  • Capítulo 2: Que necesitas hacer
  • Capítulo 3: Análisis de seguridad
  • Capítulo 4: Métricas operativas de seguridad
  • Capítulo 5: Análisis de confiabilidad
  • Capítulo 6: Flujo de trabajo
  • Capítulo 7: Pruebas de seguridad sobre personas
  • Capítulo 8: Pruebas de seguridad sobre entornos físicos
  • Capítulo 9: Pruebas de seguridad Wireless
  • Capítulo 10: Pruebas de seguridad sobre telecomunicaciones
  • Capítulo 11: Pruebas de seguridad para datos en red
  • Capítulo 12: Compliance o cumplimiento normativo
  • Capítulo 13: Creación de reportes con STAR (Security Test Auditing Report)
  • Capítulo 14: Qué obtienes
  • Capítulo 15: Descripción de la licencia.

Un punto muy importante recogido en esta metodología es la elaboración de informes. Para los que nos dedicamos a esto de la seguridad, en ocasiones nos enfrentamos a informes de otros auditores (y supongo que ellos podrán decir lo mismo de nosotros) en los que cada cual ha recogido una métrica y/o valoración distinta de los mismos. Esto es: Hablamos en un lenguaje distinto. Con el uso de OSSTMM, podemos tener una idea muy aproximada, si no total, de lo que nuestros compañeros han intentado transmitir en el informe, lo cual facilitará nuestro trabajo desde un punto de vista evolutivo.

OSSTMM además es una metodología «certificable». Podemos certificarnos en ella como analistas, testers o expertos, además de otros certificados emitidos por la propia ISECOM.

La última versión oficial es la 3.0 y la puedes descargar desde el sitio web de ISECOM:

Saludos,

FacebooktwitterredditlinkedinmailFacebooktwitterredditlinkedinmail
junio 16, 2011

Etiquetas: , , , ,
  • Hola Jesus, gracias por tu articulo ha sido instructivo, pero según comentas OSSTM es una metodología para el desarrollo de auditorias y OWASP para el desarrollo de aplicaciones seguras. ¿Conoces referencias de otras metodologías relacionadas con la seguridad informática sean propietarias o estándares?

    Gracias por adelantado.

    • Hola Monica,

      Relacionadas con la seguridad, y con las que haya trabajado yo, tanto de auditoria como de otras parcelas de la misma tienes OCTAVE; MAGERIT, que es gratuita y en español; metrica3, que cubre el ciclo de vida del software; Pilar, tambien en español; Meharit, francesa, disponible en varios idiomas y gratuita también y por ultimo Callio, que es de pago. Ademas de estas, tienes algunas guias del NIST (serie 800), algún RFC como el 1244 o el 2196 que tratan de aspectos como la politica de seguridad, etc.

      Te recomiendo tambien las ISO de la serie 27000 o incluso PCI DSS, que es una normativa de seguridad relativa a tarjetas de crédito, pero que bebe de muchas de estas fuentes y es muy práctica.

      Si quieres algo mas concreto al sistema operativo, o a las aplicaciones, te recomiendo las guias STIG del IASE, que las puedes obtener gratuitamente de http://iase.disa.mil/stigs/

      Un saludo,

  • Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *