Organizzazione come OWASP per la sicurezza della rete?

5

C'è qualcosa come OWASP per la sicurezza della rete? Oppure qualcuno di voi ha trovato una guida di test per la sicurezza della rete, su come avviare un audit e quindi il numero minimo di test da eseguire e gli strumenti da utilizzare?

Sto cercando di mettere insieme un documento e sembra che il numero di test da eseguire sia infinito con molte combinazioni.

    
posta aRun 19.04.2013 - 08:05
fonte

3 risposte

6

Se stai cercando l'equivalente di OWASP per la sicurezza della rete, ti suggerisco di testare metodologie come OSSTMM o PTES (sebbene il PTES sia ancora piuttosto incompleto), sono un buon posto dove cercare informazioni.

Tuttavia, come dici tu, entrambi avranno una grande quantità di informazioni al loro interno. Questo perché la sicurezza della rete è una proposizione meno ben definita rispetto alla sicurezza delle applicazioni web. Comprende una vasta gamma di argomenti (sicurezza del sistema operativo Unix, sicurezza del sistema operativo Windows, dispositivi di rete, database, ecc.) Quindi la gamma di controlli necessari per completare una revisione approfondita sarà molto più ampia di quanto lo sarà per una singola applicazione web. / p>

Detto questo se stai cercando una serie di controlli di base per la sicurezza della rete che consiglierei.

  • Scansione della porta di tutti gli host nelle reti di destinazione per stabilire quali servizi offrono
  • Scansione delle vulnerabilità delle porte aperte utilizzando uno strumento come Nessus o OpenVAS . Gli scanner di vulnerabilità dispongono di un numero enorme di controlli pre-programmati per problemi di sicurezza comuni, pertanto rappresentano un buon modo per identificare i problemi di base. Inoltre, se fornisci le credenziali per l'autenticazione ai tuoi server, possono eseguire un controllo più approfondito su elementi come i livelli di patch
  • Oltre a ciò, ti consigliamo di controllare tutte le interfacce di gestione per le credenziali predefinite. Questo è un problema molto comune e causa di molte violazioni. Fare ciò può essere semplice come connettersi a ciascuno e provare le combinazioni predefinite comuni (ad es. Admin / admin). Puoi anche consultare la documentazione del sistema in esame per vedere se menziona gli account predefiniti (che spesso fanno)

Pur facendo questo non troverai tutti i problemi in una rete, è un buon primo passo e se puoi risolvere tutti i problemi sollevati da questo tipo di scansione, la tua rete si sta dirigendo nella giusta direzione da un punto di vista della sicurezza.

    
risposta data 19.04.2013 - 08:35
fonte
2

Quando dici di voler "un'organizzazione come OWASP per la sicurezza della rete", presumo che tu stia cercando un'organizzazione che fornisce risorse facilmente digeribili per darti una buona panoramica delle migliori pratiche, delle minacce comuni e delle contromisure, come contrario ad alcuni set di prodotti progettati per aiutarti a raggiungere questi obiettivi.

L'Istituto SANS è proprio una tale organizzazione. Offrono molti corsi di formazione e risorse a pagamento, nonché alcune buone risorse gratuite che coprono una vasta gamma di informazioni relative alla sicurezza.

    
risposta data 19.04.2013 - 20:09
fonte
0

Una delle migliori risorse per impostare una buona sicurezza di rete è la linea guida PCI DSS v3.0. Questi sono gli standard di sicurezza dei dati dell'industria delle carte di pagamento e sono applicati alle organizzazioni che memorizzano i dati delle carte di credito.

link

Non penso che questo fornirà il livello di dettagli del test che stai cercando, ma è una panoramica concettuale estremamente completa con le linee guida per aiutarti a raggiungere ogni misura.

    
risposta data 09.12.2013 - 06:27
fonte

Leggi altre domande sui tag