IMPORTANCIA DE LAS METODOLOGÍAS
Metodologías principales
Las metodologías nos facilitan la realización de un conjunto de actividades en un orden determinado y estableciendo una prioridad adecuada para intentar garantizar el éxito y alcanzar un objetivo final.
Metodologías de referencia
OSSTMM (Open-Source Security Testing Methodology Manual).
The Penetration Testing Execution Standard.
ISSAF (Information Systems Security Assessment Framework).
OTP (OWASP Testitng Project).
Fases principales
Definición del alcance del test de penetración
Recopilación de información
Identificación y análisis de vulnerabilidades
Explotación de las vulnerabilidades
Post-explotación
Elaboración de un documento de reporte
Definición del alcance del hacking ético
Antes de realizar ninguna acción, discutir con el cliente las tareas que llevará a cabo el analista durante el Hacking Ético, así como los roles y responsabilidades de ambos.
Asegurar mediante contrato firmado que las acciones que se llevan a cabo son en representación del cliente
Análisis de las políticas de la organización que definen el uso que los usuarios hacen de los sistemas y de la infraestructura
Procedimiento en el caso de que se localice una intrusión por un tercero
Recursos útiles
Repositorio de informes de auditoría
El primer recurso es un repositorio donde podéis encontrar cientos de reportes de auditorías reales de diferentes empresas del sector del Hacking Ético y de la Ciberseguridad que se han ido recopilando a lo largo del tiempo. Tenéis informes de todo tipo y que recogen una diversidad muy grande de auditorías:
https://github.com/juliocesarfort/public-pentesting-reports
Plantillas de informes
El segundo recurso se corresponde con diferentes plantillas que podéis utilizar para comenzar a elaborar vuestro propio informe de Hacking Ético o auditoría de seguridad e ir mortificándolo para que se adapte a vuestras necesidades: