Organizzazione come OWASP per la sicurezza della rete?

Se stai cercando l'equivalente di OWASP per la sicurezza della rete, ti suggerisco di testare metodologie come OSSTMM o PTES (sebbene il PTES sia ancora piuttosto incompleto), sono un buon posto dove cercare informazioni.

Tuttavia, come dici tu, entrambi avranno una grande quantità di informazioni al loro interno. Questo perché la sicurezza della rete è una proposizione meno ben definita rispetto alla sicurezza delle applicazioni web. Comprende una vasta gamma di argomenti (sicurezza del sistema operativo Unix, sicurezza del sistema operativo Windows, dispositivi di rete, database, ecc.) Quindi la gamma di controlli necessari per completare una revisione approfondita sarà molto più ampia di quanto lo sarà per una singola applicazione web. / p>

Detto questo se stai cercando una serie di controlli di base per la sicurezza della rete che consiglierei.

• Scansione della porta di tutti gli host nelle reti di destinazione per stabilire quali servizi offrono
• Scansione delle vulnerabilità delle porte aperte utilizzando uno strumento come Nessus o OpenVAS . Gli scanner di vulnerabilità dispongono di un numero enorme di controlli pre-programmati per problemi di sicurezza comuni, pertanto rappresentano un buon modo per identificare i problemi di base. Inoltre, se fornisci le credenziali per l'autenticazione ai tuoi server, possono eseguire un controllo più approfondito su elementi come i livelli di patch
• Oltre a ciò, ti consigliamo di controllare tutte le interfacce di gestione per le credenziali predefinite. Questo è un problema molto comune e causa di molte violazioni. Fare ciò può essere semplice come connettersi a ciascuno e provare le combinazioni predefinite comuni (ad es. Admin / admin). Puoi anche consultare la documentazione del sistema in esame per vedere se menziona gli account predefiniti (che spesso fanno)

Pur facendo questo non troverai tutti i problemi in una rete, è un buon primo passo e se puoi risolvere tutti i problemi sollevati da questo tipo di scansione, la tua rete si sta dirigendo nella giusta direzione da un punto di vista della sicurezza.

Quando dici di voler "un'organizzazione come OWASP per la sicurezza della rete", presumo che tu stia cercando un'organizzazione che fornisce risorse facilmente digeribili per darti una buona panoramica delle migliori pratiche, delle minacce comuni e delle contromisure, come contrario ad alcuni set di prodotti progettati per aiutarti a raggiungere questi obiettivi.

L'Istituto SANS è proprio una tale organizzazione. Offrono molti corsi di formazione e risorse a pagamento, nonché alcune buone risorse gratuite che coprono una vasta gamma di informazioni relative alla sicurezza.

Una delle migliori risorse per impostare una buona sicurezza di rete è la linea guida PCI DSS v3.0. Questi sono gli standard di sicurezza dei dati dell'industria delle carte di pagamento e sono applicati alle organizzazioni che memorizzano i dati delle carte di credito.

link

Non penso che questo fornirà il livello di dettagli del test che stai cercando, ma è una panoramica concettuale estremamente completa con le linee guida per aiutarti a raggiungere ogni misura.