Hace unos días veíamos en la lista de pentest, de Securityfocus, el anuncio del lanzamiento de OSSTMM 3.0, versión LITE. Es un pequeño avance de lo que será el OSSTM 3.0, cuando salga al público. Sin pagar, se entiende, los usuarios registrados han visto eso y más desde hace mucho.
Para el que no lo sepa, el OSSTM es una metodología de auditoría, que incluye entre otras cosas un listado super completo de pruebas a realizar, una definición de métricas (los llamados RAVs), o nos indica cómo presentar el informe que se genera como resultado.
Dicho formalmente (esto lo saco del mismo manual, apartado "Purpose"), la razón de ser de OSSTMM es proporcionar una metodología científica para la caracterización correcta de las medidas de seguridad de una organización, a través del examen y correlación de los resultados de una serie de pruebas que se demuestre sena consistentes y repetibles.
Como objetivo secundario, OSSTMM proporciona guías que permitan al auditor realizar una auditoría OSSTM, y existen para asegurar:
- que las pruebas fueron realizadas con la profundidad requerida
- que se incluyeron todas las fuentes de información necesarias
- que la auditoría realizada es conforme a la legislación vigente
- que los resultados pueden ser medidos
- que los resultados son consistentes, y si se repiten las pruebas, se obtendrán resultados similares
- que los resultados indican hechos derivados únicamente de las mismas pruebas realizadas
- ¿Cuándo va a salir la versión definitiva? Llevamos tanto tiempo escuchando sobre el advenimiento de la versión 3.0, que va a ser apropiado que "nazca" el 25 de diciembre...
- ¿De verdad habrá tanta diferencia con la versión 2, como para que sea necesario esperar tanto?
No hay comentarios:
Publicar un comentario