La integración de estándares de seguridad probados y universales es la mejor forma de garantizar una defensa sólida y efectiva para las amenazas a las que se enfrentan las empresas actualmente, especialmente en entornos en la nube, como Microsoft Azure. La protección de redes virtuales, la seguridad de cargas de trabajo y la correcta administración de identidades son elementos críticos en este contexto.
En este entorno, el Manual de Pruebas de Seguridad de Código Abierto (OSSTMM) se presenta como un estándar de alcance universal, proporcionando un fundamento sólido para llevar a cabo pruebas de penetración en cualquier contexto, ayudando a mitigar los riesgos de seguridad en infraestructuras que utilizan grupos de seguridad y controles de seguridad robustos. OSSTMM es crucial para auditorías de seguridad en Microsoft Azure, ya que cubre aspectos como la seguridad en nubes públicas, centros de datos, redes sociales y dispositivos móviles.
Así, los evaluadores pueden confiar en las directrices proporcionadas por OSSTMM al ajustar un proceso de evaluación de seguridad según las necesidades particulares de un cliente, incorporando sus procedimientos comerciales y las características específicas de la tecnología e industria involucradas, incluyendo servicios SaaS, IaaS, y entornos DevOps que involucren bases de datos como SQL Server y Oracle, o aplicaciones desarrolladas en .NET y Java.
A continuación le mostraremos todo sobre OSSTMM y por qué es importante para los servicios gestionados en la nube de Azure.
El OSSTMM se ha concebido con el propósito de establecer una metodología científica que permita la caracterización precisa de seguridad operativa (OpSec) mediante la evaluación coherente y fiable de los resultados de las pruebas. Esta metodología incluye el análisis de vulnerabilidades en aplicaciones web, la revisión de código fuente, y la verificación de la seguridad en sistemas operativos como Windows y Linux. Este enfoque es especialmente relevante para proteger cargas de trabajo en la nube de Microsoft y gestionar de manera segura direcciones IP, VPNs, y APIs expuestas en Microsoft Azure.
Este manual resulta aplicable a una amplia gama de auditorías, abarcando pruebas de penetración, piratería ética, evaluaciones de seguridad y de vulnerabilidad, equipos rojos, equipos azules, entre otras. Su enfoque está alineado con las mejores prácticas de OWASP y ISO, y cubre desde la mitigación de riesgos hasta la compilación de resultados para una auditoría de seguridad exhaustiva.
Su diseño está orientado hacia la verificación objetiva de seguridad y la presentación de métricas a nivel profesional, abordando tanto entornos locales como aquellos desplegados en la nube de Azure. OSSTMM también abarca la gestión de incidentes de seguridad, la implementación de copias de seguridad seguras y el uso de herramientas avanzadas como Defender for Cloud para asegurar la continuidad del negocio a largo plazo.
El manual, considerado un producto de código abierto, ha sido sometido a revisiones por parte de expertos en ciberseguridad de todo el mundo. Su desarrollo y mantenimiento recae en el Instituto de Seguridad y Metodologías Abiertas (ISECOM), una comunidad de investigación de seguridad abierta que proporciona recursos, herramientas y certificaciones originales en el ámbito de la seguridad de la información. Además, este manual es relevante para el cumplimiento de normativas y estándares exigidos por organismos como CISA y otras entidades regulatorias.
Esta sección abarca de manera exhaustiva y constituye una de las partes más importantes de la metodología. Al iniciar un proyecto de prueba de penetración en Microsoft Azure, OSSTMM sugiere un conjunto de actividades para generar documentos que aborden los siguientes aspectos:
Alcance del proyecto.
Garantía de confidencialidad y no divulgación.
Información de contacto en caso de emergencia.
Proceso de cambio de declaración de trabajo.
Plan de prueba.
Proceso de prueba.
Estándares de informes.
Además, hay otros documentos (de índole no técnica) que OSSTMM no aborda, pero que podrían incluir:
Obtención.
Identificación de riesgos del proyecto.
Análisis de riesgos cualitativos y cuantitativos.
Recursos humanos.
Estimaciones y controles de costos.
Los casos de prueba de OSSTMM abarcan la mayoría de los 10 dominios de seguridad identificados por el Consorcio Internacional de Certificación de Sistemas de Información (ISC), incluyendo aspectos clave de la seguridad de red y la gestión de tráfico de red.
Estos casos se dividen en cinco canales, también denominados secciones o áreas de seguridad:
Enfocado en evaluar la concientización sobre la seguridad del personal y la eficacia de la información en seguridad. Incluye métodos relacionados con ataques de ingeniería social y la evaluación de la exposición de información confidencial sobre la organización y sus empleados.
Evalúa los controles de acceso, procesos de seguridad y ubicaciones físicas como edificios, perímetros y bases militares, esenciales para entornos de gran escala y nubes públicas como AWS.
Cubre diversas formas de conexión inalámbrica susceptibles de ser interceptadas o interrumpidas, como redes Wifi, RFID, entre otras.
Incluye diferentes canales de comunicación de la organización, como VoIP, PBX y correo de voz.
Se centra en la seguridad informática y de redes, describiendo actividades como el levantamiento de redes, identificación, proceso de acceso, identificación del servicio, autenticación, suplantación de identidad y abuso de recursos, todo dentro de un marco seguro en Microsoft Azure.
OSSTMM utiliza el concepto de módulos, definiéndolos como conjuntos de procesos o fases aplicables a cada canal. Estos módulos se describen a un nivel de detalle relativamente alto, y la implementación de cada uno en los diversos canales será específica del dominio real, así como las limitaciones técnicas y reguladoras.
Los cuatro módulos establecidos por OSSTMM son los siguientes:
Revisión de postura: examina los marcos y estándares regulatorios y legislativos pertinentes.
Logística: identifica cualquier limitación física y técnica de los procesos en el canal.
Verificación de detección activa: evalúa la capacidad de detección de interacciones y la respuesta correspondiente.
Auditoría de visibilidad: evalúa la visibilidad de la información, sistemas y procesos relevantes para el objetivo.
Verificación de acceso: evalúa los puntos de acceso al objetivo.
Verificación de confianza: evalúa la relación de confianza entre sistemas o individuos.
Verificación de controles: evalúa los controles para mantener la confidencialidad, integridad, privacidad y no repudio dentro de los sistemas.
Verificación de proceso: revisa los procesos de seguridad de la organización.
Verificación de la configuración: evalúa los procesos bajo diversas condiciones de nivel de seguridad.
Validación de propiedad: examina la propiedad física o intelectual disponible en la organización.
Revisión de segregación: determina los niveles de filtración de información personal.
Revisión de exposición: evalúa la exposición a información confidencial.
Inteligencia competitiva: identifica fugas de información que podrían beneficiar a los competidores.
Verificación cuarentenaria: evalúa la eficacia de las funciones de cuarentena en el objetivo.
Auditoría de privilegios: revisa la eficacia de la autorización y el impacto potencial de la escalada de privilegios no autorizada.
Validación de la capacidad de supervivencia: evalúa la resiliencia y recuperación de los sistemas.
Revisión de alertas y registros: examina las actividades de auditoría para asegurar un seguimiento confiable en los eventos.
OSSTMM se centra en qué elementos deben someterse a prueba, qué acciones realizar antes, durante y después de una prueba de seguridad, así como en la medición de los resultados.
Además, OSSTMM cuenta sección particularmente valiosa que abarca las mejores prácticas, leyes, regulaciones y estándares éticos internacionales.
En definitiva, la integración de OSSTMM en entornos en la nube, especialmente en plataformas críticas líderes como Microsoft Azure, es un paso fundamental cuando se trata de evitar ser víctima de los ciberdelincuentes.
La adaptabilidad de OSSTMM, al proporcionar un estándar universal, permite a las organizaciones personalizar sus auditorias de seguridad, teniendo en cuenta los procesos comerciales específicos y las complejidades tecnológicas inherentes a sus operaciones en la nube.
Asimismo, contar con un partner especializado, como ne Digital que gestione los servicios de ciberseguridad en su empresa, también puede ser de gran ayuda para establecer un plan de ruta y una estrategia que le ayuden a reducir los incidentes de seguridad y a garantizar la integridad de sus datos.
Considerando que la autenticación de correos electrónicos, lo invitamos a conocer las diferencias entre DKIM y SPF como protocolos esenciales que protegen a su empresa contra amenazas como correos electrónicos no deseados, spam y fraudes.