Algunas metodologías de ataque proporcionan el proceso, etapas, herramientas y técnicas a considerar como mejores prácticas. Si se es un profesional en el área, tales actividades son denominadas como pruebas de penetración “Penetration Testing”, en el cual se realizan las mismas actividades de los atacantes maliciosos. Existen dos metodologías para pruebas de penetración ampliamente aceptadas actualmente, Open Source Security Testing Methodology Manual (OSSTMM), y Penetration Testing Execution Standad (PTES).

Open Source Security Testing Methodology Manual (OSSTMM)

OSSTMM fue creado en un proceso de revisión el cual gestó casos de prueba en cinco secciones:

• Controles para información y datos.
• Niveles para concientizar al personal sobre seguridad.
• Niveles de fraude e ingeniería social.
• Redes de computadoras y telecomunicaciones, dispositivos inalámbricos, y dispositivos móviles.
• Controles de acceso para seguridad física, proceso de seguridad y ubicaciones físicas.

OSSTMM mide los detalles técnicos de cada una de estas áreas, y proporciona una directriz sobre aquello lo cual hacer antes, durante y después de una evaluación de seguridad. Se puede encontrar más información sobre OSSTMM en el sitio web del proyecto, detallado en la parte final de presente texto.

Penetration Testing Execution Standard (PTES)

PTES es un estándar el cual proporciona un lenguaje común a seguir por todos los profesionales en pruebas de penetración, y profesionales en evaluaciones de seguridad. PTES proporciona al cliente una referencia sobre la postura en seguridad, de tal manera se este en una mejor posición para percibir los hallazgos obtenidos durante una prueba de penetración. PTES está diseñado como lo mínimo necesario a ser realizado, como parte de una prueba de penetración completa. El estándar contiene muchos niveles diferentes de servicios, los cuales deben ser parte de pruebas de penetración avanzadas. Más información puede ser encontrada en el sitio web del proyecto, detallado en la parte final de presente texto.

Entender las Metodologías Existentes

Debido al detalle de los procesos, estos estándares son bastante desalentadores para un principiante. Ambos abarcan básicamente todos los aspectos posibles sobre una prueba de seguridad, haciendo un gran trabajo. Muchas personas inteligentes y talentosas, han dedicado innumerables horas para crear estos estándares orientados a los profesionales en pruebas de penetración y haking ético. Estos esfuerzos son ciertamente encomiables, pero los principiantes lo perciben como algo abrumador. Por ejemplo; ¿Cómo se podría considerar intentar “Hackear” un dispositivo móvil el cual accede hacia la versión móvil de una aplicación web, cuando no se está cómodo con la manera en la cual las aplicaciones web extraen y utilizan datos desde una base de datos?. Lo necesario es reducir toda esta excelente información de estándares como OSSTMM y PTES, en una metodología más manejable para los principiantes.

Fuentes:

http://www.isecom.org/research/
http://www.pentest-standard.org/index.php/Main_Page