Teniendo Kali Linux en un entorno seguro, la siguiente etapa es definir exactamente el tipo de evaluación a realizar. A un alto nivel se pueden describir cuatro tipos de evaluaciones; evaluación de vulnerabilidades, pruebas de cumplimiento, una prueba de penetración tradicional, y una evaluación de aplicación. Un contrato puede involucrar varios elementos de cada tipo de evaluación, por lo cual es importante describirlos con cierto detalle, y explicar su relevancia para la construcción de Kali Linux y su entorno.

Cuando se prepara la utilización de Kali Linux en el campo de trabajo, se debe primero estar seguro de tener una instalación limpia y funcional. Un error común en muchos profesionales novatos en seguridad, es utilizar la misma instalación entre múltiples evaluaciones. Esto es un problema por dos razones principales:

Kali Linux tiene muchas características específicas, razón por la cual se sugiere tener un sólido conocimiento sobre aquello lo cual hace a Kali Linux especial, y como permite realizar una serie de tareas complejas. Antes de utilizar Kali Linux se necesitan también comprender algunos conceptos relacionados con las evaluaciones de seguridad. A continuación se presentan algunos conceptos con los cuales iniciar, como también algunas referencias para utilizar Kali Linux en una evaluación de seguridad.

Una vez se ha instalado y configurado el sistema, la mayoría de archivos deberían permanecer relativamente estáticos hasta el sistema sea actualizado. Por lo tanto es una buena idea vigilar cambios en los archivos del sistema, pues cualquier cambio inesperado podría ser causa de alarma y debería ser investigado. A continuación se presentan algunas de las herramientas más comunes utilizadas para vigilar los archivos del sistema, detectar cambios, y opcionalmente notificar al administrador del sistema.

top es una herramienta interactiva la cual muestra una lista de los procesos actualmente en ejecución. El ordenamiento por defeco se basa en la cantidad actual correspondiente al uso del procesador, lo cual puede ser obtenido con la tecla P. Otros ordenamientos incluyen un orden por memoria ocupada (tecla M), por el tiempo total de procesador (tecla T), y por identificador de proceso (tecla N). La tecla K mata o termina un proceso mediante su identificador. La tecla R cambia la prioridad de un proceso.

El programa de nombre logcheck vigila los archivos donde se registran los eventos (logs); por defecto cada hora; para luego enviar los mensajes inusuales encontrados en los logs, a través de mensajes de correos electrónicos dirigidos hacia el administrador, para este realice un posterior análisis. La lista de archivos vigilados se almacenan en el archivo “/etc/logcheck/logcheck.logfiles.”. Los valores por defecto funcionan bien si el archivo “/etc/rsyslog.conf” no ha sido completamente revisado.

Los usuarios tienen un rol crítico en la seguridad global. Las acciones tomadas por los usuarios frecuentemente eluden los mejores planes de seguridad. Por lo tanto la educación de los usuarios debe ser una parte de la preparación previa al incidente.

Durante las investigaciones se encuentran nuevos e interesantes desafíos, los cuales proporcionan ideas sobre lo difícil de investigar adecuadamente un incidente el cual traspasa fronteras internacionales. A continuación se mencionan algunos desafíos los cuales se podrían enfrentar.

Regulaciones Laborales y Privacidad

En muchas grandes organizaciones e incluso en algunas de tamaño pequeño o mediano, se han encontrado buenas probabilidades de al menos algunas de las funciones de TI sean subcontratadas. Si una investigación requiere una tarea sea realizada por un proveedor externo, pueden existir muchos desafíos para realizar el trabajo. Usualmente se implementan procesos para los requerimientos laborales, los cuales pueden requerir planificar proyectos, aprobación, y otro tipo de trámites.

Cada etapa de la investigación realizada por un equipo durante una respuesta de incidentes es impactado por políticas, las cuales deben ser definidas mucho antes de ocurra la primera notificación. En muchas situaciones, las políticas para la seguridad de información son escritas y ejecutadas por el consejero legal de la organización, en cooperación con la oficina del CISO y oficiales de cumplimiento. Las políticas típicas incluyen:

Políticas de Uso Aceptable: Gobierna cual es el comportamiento esperado para cada usuario