viernes, 10 de julio de 2009

Framework para asesoría de seguridad - ISAAF

Que tal, típicamente las asesorías de seguridad recaen en la experiencia de los especialistas para asegurar su correcta implementación y para implementar métricas objetivas con las cuales evaluar los resultados del trabajo.

ISSAF es un framewok que busca estandarizar procedimientos y permitir a especialistas y clientes medir fehacientemente resultados y tener datos concretos de qué se evalúa y cómo.

Es importante ya que los costos típicos de consultoría de seguridad son altos y entre los clientes usuales sin perfil técnico informático está afianzado el mito de que no puede determinarse con exactitud qué cosas se "tocan" en un trabajo así y mayormente se termina confiando en la experiencia del consultor de seguridad a la vez que el trabajo de seguridad realizado queda "fuera de alcance" del personal IT local, que por ende no puede evaluar el trabajo y finalmente, los directivos no tienen más que confiar en un tercero externo en cuanto a que tan bien se realizó el trabajo, cuantas cosas y cuales fueron testeadas, etc. etc.

ISSAF puede ser adoptada por una organización como una forma de guía para llevar control sobre asesorías de seguridad recibidas de terceros; igualmente puede ser adoptada por especialistas para ir trabajando sobre una metodología neutral - no propia, como es común - y pública, lo que conlleva el beneficio de poder mostrar e incluso vender distintos niveles de asesorías por especialidad.

Al momento muchas asesorías se cotizan en el mercado con categorizaciones sin mucho detalle de que trabajo incluyen, por ejemplo "estándar", "empresarial", "premium", etc. Utilizando ISSAF se puede controlar - como contratante de los servicios - o implementar - como prestador de los servicios - técnicas puntuales empleadas y por áreas concretas, algunas por ejemplo:

SWITCH SECURITY, ROUTER SECURITY, FIREWALL SECURITY,INTRUSION DETECTION SYSTEM SECURITY, VPN SECURITY,STORAGE AREA NETWORK (SAN) SECURITY, etc. etc.

En un área particular, por ejemplo Storage Area Network (SAN) Security se puede ir viendo algunos ítems puntuales a evaluar :

"1.6 SAN Attack Points" : Out of band management, LAN connection, Control terminals interfaces, Inter switch links, Remote sites, Hosts/servers, LAN interfaces, etc.

Lo que en efecto elimina mucho del "misterio" que pueda ver un cliente en cuanto a la asesoría realizada sobre la infraestructura SAN.

Es necesario aclarar que el framework establece también lineamientos típicos relativos a registro de datos, resultados y conclusiones; y es interesante apuntar que las recomendaciones de hardening se deben ir dando punto por punto dentro de cada área y con detalles de procedimientos técnicos puntuales.

El framework crece continuamente y es enriquecido por la experiencia de muchos especialistas en seguridad IT que colaboran para mejorarlo, sin embargo ya provee una base concisa sobre la cual ir aplicando diferente material preexistente, por ejemplo, en el caso de SANs existen varios papers importantes (y decenas de artículos), de vulnerabilidades infraestructurales típicas y sus soluciones.

Todo el material de ISSAF (incluyendo procedimientos concretos y herramientas a utilizar), está públicamente disponible y el proceso de aporte de nuevos contenidos está disponible en la web vía wiki.

Hay varios frameworks de seguridad al momento, de distintos entes y organizaciones, este sería un ejemplo concreto más que nada, pero hay que reconocer la tendencia en la industria de la seguridad IT que lleva a este tipo de servicios a ajustarse lo más posible a una metodología concreta y concisa, tal que permita a los clientes evaluar el trabajo realizado y determinar - o al menos estimar - el ROI resultante de su inversión en asesoría de seguridad IT.

Referencias
Information Systems Security Assessment Framework (ISSAF)
http://www.oissg.org/information-systems-security-assessment-framework-issaf.html

El framework en sí:
http://www.oissg.org/wiki/index.php/ISAAF-PENETRATION_TESTING_FRAMEWORK

No hay comentarios: