METOLOGIA ISSAF

METOLOGIA ISSAF  CARLOS ANDRES CRUZ QUIZA JUAN CAMILO OSORIO RICARDO LAVAO

Metodología de test de intrusión ISSAF  Marco

metodológico de trabajo desarrollado por la OISSG  (Open Information Systems Security Group) que permite clasificar la información de la evaluación de seguridad en diversos dominios usando diferentes criterios de prueba.

!"!#$"IS#I!S 

%rinda medidas que permiten reflejar las condiciones de escenarios reales para las evaluaciones de seguridad.



$sta metodolog&a se encuentra principalmente enfocada en cubrir los procesos de seguridad y la evaluación de los mismos para as& obtener un panorama completo de las vulnerabilidades e'istentes.



ermite el desarrollo de matri de riesgo para verificar la efectividad en la implementación de controles.

M$#O*O+OGI! *$ #$S# *$ I,#"-SIO, 

+a metodolog&a de test de penetración ISS! est/ dise0ada para evaluar su "ed de trabajo1 sistema y control de aplicaciones .$sta enfocada en tres fases y nueve pasos de evaluación.



$l enfoque incluye tres fases siguientes2



3.

lanificación y reparación



4.

$valuación



5.

"eportes1 +impiea y *estrucción de Objetos

PLANIFICACIÓN Y PREPARACIÓN 

Intercambio de información inicial, planificar y prepararse para la prueba, antes de la prueba de evaluación formal de un acuerdo será firmado por ambas partes. Se proporciona una base para este trabajo y protección  judicial también se especificará el equipo de trabajo específico, las fechas exactas, los tiempos de la prueba, vía de escalamiento y otros acuerdos.  

 Identificación de las personas del contacto de ambos lados,  pertura de reunión para confirmar el alcance, el enfoque y la metodolo!ía, y estar de acuerdo en los casos de prueba específicos y rutas de escalado

EVALUACIÓN  "sta es la fase en l a que en realidad llevar a cabo el ensayo de penetración. "n la fase de evaluación de un enfoque por capas se aplicará. 

#ada cáscara representa un mayor nivel de acceso a sus activos de información$



%ecopilación de información



&apeo de redes



Identificación de la vulnerabilidad



'enetración



(btener acceso y la escalada de privile!ios



"numerar más



#ompromiso de los usuarios remotos ) sitios



&antenimiento del acceso



#ubriendo pistas

REPORTES, LIMPIEZA Y DESTR!!IO" DE O#$ETOS 

$n esta fase se presenta reportes1 $n el curso de pruebas de penetración en caso de una cuestión cr&tica es identificado1 debe ser informado de inmediato para garantiar que la organiación es consciente de ello. $n este punto cr&tico de su e'pedición deben ser discutidos y buscar contramedidas para "esolver los problemas cr&ticos identificados en la prueba.



*espu6s de la terminación de todos los casos de prueba definidos en el /mbito de trabajo1 un informe escrito que describe los resultados detallados de las pruebas y los e'/menes deber&an preparar con recomendaciones para la mejora. $l informe debe seguir una estructura bien documentada. osas que deber&an incluirse en el informe se las presenta en la siguiente lista2



"esumen de Gestión



!lcance del proyecto



7erramientas utiliadas (Incluyendo $'ploits)



ec8as y 8oras reales en las que se llevó acabo las pruebas en el sistema



#odos y cada uno de salida de las pruebas realiadas (con e'clusión de informes de an/lisis de vulnerabilidad que pueden ser incluidos como documentos adjuntos).