El documento titulado “Una guía para las pruebas de penetración” es una guía completa publicada por CREST en diciembre de 2022. Proporciona asesoramiento detallado sobre el establecimiento y la gestión de un programa de pruebas de penetración, con el objetivo de ayudar a las organizaciones a realizar pruebas de penetración efectivas como parte de sus marcos de garantía de seguridad técnica. Resumen: Propósito y alcance: La guía está diseñada para ayudar a las organizaciones a prepararse, realizar y realizar un seguimiento de las pruebas de penetración. Enfatiza la importancia de realizar estas pruebas en toda la empresa para identificar vulnerabilidades en los sistemas y la infraestructura de TI. La guía es relevante para las organizaciones que realizan sus propias pruebas de penetración o adquieren estos servicios de proveedores externos. Conceptos clave: Definición e importancia: Una prueba de penetración, a menudo denominada «prueba de penetración», implica simular un ataque al sistema de seguridad de la información de una organización para identificar vulnerabilidades. Utiliza técnicas tanto manuales como automatizadas y generalmente la realiza un evaluador calificado e independiente. Tipos de pruebas: La guía diferencia entre varios tipos de pruebas de penetración, incluidas las pruebas de penetración de aplicaciones, infraestructura, móviles, inalámbricas y de telefonía. También explica las diferencias entre las pruebas de penetración y las evaluaciones de vulnerabilidad. Proceso de pruebas de penetración: Preparación: Establecer una estructura de gobernanza para las pruebas de penetración, identificar los entornos objetivo y seleccionar proveedores adecuados son pasos cruciales en la fase de preparación. La guía enfatiza la necesidad de un programa bien administrado que incluya marcos de garantía de seguridad técnica. Realización de pruebas: La guía describe la importancia de acordar el estilo y el tipo de prueba, identificar las limitaciones y utilizar metodologías de prueba efectivas. El proceso implica investigar, identificar y explotar las vulnerabilidades, seguido de informar los hallazgos clave. Seguimiento: Las actividades posteriores a las pruebas incluyen remediar las debilidades identificadas, abordar las causas raíz e iniciar programas de mejora. La guía enfatiza la importancia de aprender del proceso de prueba para mejorar las medidas de seguridad futuras. Desafíos y consideraciones: Complejidad y riesgos: La guía reconoce las complejidades de las pruebas de penetración, incluida la determinación del alcance de las pruebas, la gestión de los riesgos de posibles fallas del sistema y la garantía de que se aborden las vulnerabilidades sin dar una falsa sensación de seguridad. Evaluación de madurez: Se proporciona un modelo de madurez y herramientas de evaluación para ayudar a las organizaciones a evaluar la eficacia y madurez de sus programas de pruebas de penetración. Público objetivo: La guía está dirigida a los gerentes de TI, seguridad y proyectos responsables de gestionar programas de pruebas de penetración. Si bien inicialmente se diseñó para sectores con altas exigencias regulatorias, como el gobierno y las instituciones financieras, ahora es aplicable a una gama más amplia de organizaciones debido a la creciente prevalencia de amenazas cibernéticas. Conclusión: La guía concluye enfatizando la importancia de la mejora continua y la madurez en los programas de pruebas de penetración. Alienta a las organizaciones a aprovechar las lecciones aprendidas de las pruebas y a refinar continuamente sus medidas de seguridad para mantenerse a la vanguardia de las amenazas emergentes. Esta guía sirve como un recurso práctico para las organizaciones que buscan mejorar su postura de ciberseguridad a través de pruebas de penetración efectivas. Vistas: 0
Etiqueta: CRESTA
Esta guía ofrece una introducción a la inteligencia sobre amenazas cibernéticas (CTI, por sus siglas en inglés). Ofrece asesoramiento accesible sobre la teoría y la práctica de los productos y servicios de CTI. Describe los conceptos y principios clave que sustentan la inteligencia sobre amenazas cibernéticas, junto con las formas en que las organizaciones utilizan la inteligencia sobre amenazas cibernéticas para predecir, prevenir, detectar y responder a posibles amenazas de seguridad cibernética y reducir el nivel general de riesgo cibernético al que se enfrentan. Público destinatario El creciente deseo de adoptar un enfoque basado en el riesgo y basado en la inteligencia para gestionar las amenazas cibernéticas, en línea con las mejores prácticas establecidas, ha contribuido a la creciente prominencia de la inteligencia sobre amenazas cibernéticas. Esto a menudo significa que se requiere personal sin capacitación, calificaciones o experiencia formal en inteligencia para entregar y adquirir productos y servicios de inteligencia para su organización y supervisar y desarrollar un enfoque basado en la inteligencia para la seguridad cibernética. Esta guía está destinada a informar a una amplia audiencia de seguridad de la información, incluidos aquellos con y sin experiencia previa y comprensión de la inteligencia sobre amenazas cibernéticas como disciplina. Está destinada a organizaciones de los sectores público y privado. PropósitoEsta guía tiene como objetivo ayudar a los lectores a: Comprender los principios de la CTI, incluidos los tres niveles de inteligencia y los diferentes tipos de fuentes de inteligencia. Apreciar cómo se puede utilizar la inteligencia sobre amenazas cibernéticas, incluidas las aplicaciones organizacionales y departamentales. Comprender los cambios en la práctica de la CTI desde la iteración inicial de la guía y brindar una idea de lo que viene a continuación para la CTI. Versión actualizadaTras su publicación inicial en abril de 2019, se publicó una versión actualizada de esta guía en junio de 2022. Si bien las secciones centrales sobre la teoría que sustenta la CTI permanecen en gran medida sin cambios, además del rediseño cosmético, los cambios en la edición revisada incluyen: Actualizar la sección sobre fuentes para CTI Actualizar la sección sobre casos de uso para CTI Crear una sección de recursos adicionales Eliminación de las secciones sobre la adquisición de servicios de CTI, que se han abordado en una guía separada Agregar secciones sobre el desarrollo de la práctica de CTI desde la iteración inicial y una evaluación de la trayectoria futura de la disciplina. Vistas: 0
Esta guía presenta detalles sobre cómo monitorear y registrar eventos de seguridad cibernética, algunos de los cuales son indicadores potenciales de compromiso (IOC) que pueden conducir a incidentes de seguridad cibernética si no se abordan de manera rápida y eficaz. La guía le proporciona consejos prácticos sobre cómo administrar registros de manera eficaz, lidiar con eventos sospechosos, usar inteligencia de seguridad cibernética y abordar desafíos. Está diseñada para permitirle priorizar y administrar una gran cantidad de registros de eventos; crear un proceso de monitoreo de seguridad cibernética eficaz y aprender dónde y cómo puede obtener ayuda. La guía proporciona consejos y orientación sobre cómo: identificar indicadores potenciales de compromiso (IOC) en una etapa temprana; investigarlos de manera eficaz; y tomar las medidas adecuadas para reducir la frecuencia y el impacto de los incidentes de seguridad cibernética. El enfoque de la guía está en el proceso general de monitoreo de seguridad cibernética, respaldado por el análisis de eventos relacionados con la seguridad cibernética (generalmente generados a partir de uno o más registros) e inteligencia de amenazas cibernéticas, brindando contexto al proceso, como se muestra en la Figura 1 a continuación. Luego, la guía explora los beneficios de utilizar expertos en seguridad cibernética de proveedores comerciales y ejecutar centros de operaciones de seguridad, una tendencia emergente clave. También presenta un proceso sistemático y estructurado que puede ayudarle a seleccionar uno o más proveedores adecuados para satisfacer sus necesidades.