Vamos a presentar algunas de las metodologías que existen hoy en día para la auditoría de vulnerabilidades, ya que mucha gente solo conoce OSSTMM de Isecom. La que por cierto, me parece más sobre valorada que Cristiano Ronaldo el verano pasado.
- NIST SP800-42, es del año 2003, será remplazada por la SP800-115 que actualmente está en versión borrador.
- ISSAF de OSSIG, en versión borrador con fecha del 2006. Desgraciadamente, parece un proyecto abandonado.
- OSSTMM de ISECOM, existe versión final y actualmente se trabaja en la 3.0, de la que ya hay una versión "lite" libre para descarga genérica.
- Vulnerability Assessment Methodology, de Electronic Power Infrastructure, documento en borrador del 2002.
- "A Method to Assess The Vulnerability of U.S Chemical Facilities" del Departamento de Justicia de U.S. versión de Noviembre 2002. Complementado con "Vulnerability Assessment Methodologies Report: Phase I, Final Report". De julio del 2003.
- "Security Vulnerability Assesment Methodology for the Petroleum and Petrochemical Industries, Second Edition", de API, Octubre 2004
- Del Departamento de Defensa: Criticial Infrastructure Protection: "Developing a Comprehensive and Integrated Vulnerability Assessment Methodology for the Defense Department's Critical Infrastructure Protection (CIP) Program"
- Finalmente, para auditoría web tenemos la archiconocida OWASP.
1 comentarios:
Yago, me parto con lo de "me parece más sobre valorada que Cristiano Ronaldo el verano pasado"
El traidor
Publicar un comentario en la entrada