Metodología OSSTMM

🛡️ Metodología OSSTMM (Open Source Security Testing Methodology Manual)

OSSTMM está diseñado para proporcionar resultados medibles, repetibles y confiables en pruebas de seguridad. Se enfoca en analizar las interacciones entre personas, procesos, tecnologías y comunicaciones en un entorno.

📋 Principios Fundamentales de OSSTMM

Ciencia de la Seguridad:
OSSTMM se basa en principios científicos, asegurando que los resultados de las pruebas sean verificables y objetivos.
5 Canales de Interacción:
- Humanos (personas).
- Información (datos).
- Físico (infraestructura).
- Redes (comunicaciones).
- Espectro inalámbrico (radiofrecuencias).
Reglas de Engaño (Rules of Engagement):
Todo test debe tener un alcance claro y ser consensuado con el cliente.

Fases de OSSTMM

Definición del Alcance 🗂️
- Objetivo: Establecer los límites, reglas y objetivos de la prueba.
- Acciones clave:
  - Identificar las áreas a evaluar (red, aplicaciones, personas, etc.).
  - Asegurar que las reglas de interacción sean claras y firmadas por ambas partes.
- Ejemplo práctico: Crear un documento que indique:
  Alcance: Redes internas y sistemas web. Exclusión: Sistemas de producción. Horario: De lunes a viernes, 9:00 a 18:00.

Reconocimiento (Recopilación de Información) 🕵️
- Objetivo: Obtener información pasiva y activa sobre los sistemas objetivo.
- Métodos:
  - Reconocimiento pasivo: Buscar información pública.
    Herramienta: theHarvester:
    theHarvester -d example.com -b google
  - Reconocimiento activo: Escanear redes y servicios.
    Herramienta: nmap:
    nmap -sS -sV -oN resultados.txt example.com

Análisis de Seguridad 🔍
- Objetivo: Identificar interacciones inseguras entre los canales definidos.
- Canales analizados:
  1. Redes: Configuraciones incorrectas o servicios inseguros.
  2. Personas: Ingeniería social o brechas en la capacitación.
  3. Físico: Acceso no autorizado a instalaciones.
- Ejemplo práctico:
  - Redes: Usar OpenVAS para encontrar vulnerabilidades.
    openvas-start
  - Personas: Intentar un ataque de phishing controlado.
    Herramienta: Gophish.

Pruebas de Seguridad (Ataque Controlado) 💥
- Objetivo: Evaluar la efectividad de las protecciones mediante pruebas reales.
- Herramientas comunes:
  - Metasploit: Para exploits controlados.
    msfconsole use exploit/windows/smb/ms17_010_eternalblue set RHOSTS <IP> run
  - SQLmap: Para ataques de inyección SQL.
    sqlmap -u "<https://example.com?id=1>" --dbs

Validación de Resultados y Riesgos ⚖️
- Objetivo: Evaluar los hallazgos y asignar un nivel de riesgo.
- Pasos clave:
  - Validar si las vulnerabilidades encontradas son explotables.
  - Clasificar los riesgos según el impacto y la probabilidad.
- Ejemplo práctico: Asignar un puntaje CVSS a las vulnerabilidades detectadas.

Informe y Presentación 📄
- Objetivo: Documentar los hallazgos de forma clara y detallada.
- Estructura:
  1. Resumen Ejecutivo: Explicación del impacto en términos no técnicos.
  2. Hallazgos Técnicos: Descripción detallada de vulnerabilidades.
  3. Recomendaciones: Soluciones específicas para mitigar riesgos.
- Ejemplo:
  Vulnerabilidad: Falta de autenticación en API REST. Impacto: Acceso no autorizado a datos sensibles. Recomendación: Implementar autenticación basada en tokens JWT.

🌐 Recursos Adicionales

Documentación oficial OSSTMM:
ISSA España - OSSTMM
Herramientas recomendadas:
- Kali Linux (suite completa de pruebas de seguridad).
- OWASP ZAP (para aplicaciones web).

🤓 Ejemplo práctico: Evaluación de Seguridad Física

Con herramientas como Wireshark puedes analizar tráfico en una red interna expuesta:

wireshark -i eth0

Objetivo: Detectar si hay datos sensibles transmitidos sin cifrar.

AnteriorMetodología ISSAF SiguienteRecopilación Pasiva de Información

Última actualización hace 4 meses

¿Te fue útil?