eJPT
  • 👋Welcome
  • Tools
    • 🔭Escaneo y Enumeración
  • SECTION 1: Assessment Methodologies
    • Assessment Methodologies: Information Gathering
      • Introducción a la Recopilación de Información
        • Start Quiz
      • Passive Information Gathering
      • Active Information Gathering
    • Assessment Methodologies: Footprinting & Scanning
      • Introduction
      • Networking Primer
      • Host Discovery
      • Port Scanning
      • Evasion, Scan Performance & Output
      • Page
      • Challenges
    • Assessment Methodologies: Enumeration
      • Overview
      • SMB Lesson
      • FTP Lesson
      • SSH Lesson
      • HTTP Lesson
      • SQL Lesson
    • Assessment Methodologies: Vulnerability Assessment
      • Vulnerability Assessment
      • Course Labs
  • SECTION 2: Host & Networking Auditing
    • Assessment Methodologies: Auditing Fundamentals
      • Assessment Methodologies
      • Practice
  • SECTION 3: Host & Network Penetration Testing
    • Host & Network Penetration Testing: System/Host Based Attacks
      • Introduction to Attacks
      • Windows Vulnerabilities
      • Exploiting Windows Vulnerabilities
      • Windows Privilege Escalation
      • Windows File System Vulnerabilities
      • Windows Credential Dumping
      • Linux Vulnerabilities
      • Exploiting Linux Vulnerabilities
      • Linux Privilege Escalation
      • Linux Credential Dumping
      • Conclusion
    • Host & Network Penetration Testing: Network-Based Attacks
      • Network-Based Attacks
    • Host & Network Penetration Testing: The Metasploit Framework (MSF)
      • Metasploit
        • Metasploit Fundamentals
      • Information Gathering & Enumeration
        • Nmap
        • Enumeration
      • Vulnerability Scanning
        • MSF
        • Nessus
        • Web Apps
      • Client-Side Attacks
        • Payloads
        • Automating
      • Exploitation
        • Windows Exploitation
        • Linux Exploitation
        • Post Exploitation Fundamentals
        • Windows Post Exploitation
        • Linux Post Exploitation
      • Armitage
        • Metasploit GUIs
    • Host & Network Penetration Testing: Exploitation
      • Introduction To Exploitation
      • Vulnerability Scanning Overview
      • Exploits
        • Searching For Exploits
        • Fixing Exploits
      • Shells
      • Frameworks
      • Windows
      • Linux
      • Obfuscation
    • Host & Network Penetration Testing: Post-Exploitation
      • Introduction
      • Windows Enumeration
      • Linux Enumeration
      • Transferring Files
      • Shells
      • Escalation
        • Windows Privilege Escalation
        • Linux Privilege Escalation
      • Persistence
        • Windows Persistence
        • Linux Persistence
      • Dumping & Cracking
        • Windows Password Hashes
        • Linux Password Hashes
      • Pivoting Lesson
      • Clearing
  • Host & Network Penetration Testing: Social Engineering
    • Social Engineering
  • SECTION 4: Web Application Penetration Testing
    • Introduction to the Web & HTTP Protocol
      • Web Applications
      • HTTP Protocol
        • HTTP/S Protocol Fundamentals
        • Website Crawling & Spidering
Powered by GitBook
On this page
  • Cybersecurity Basics
  • Que es la ciberseguridad?
  • Que estamos protegindo?
  • Asegurarlos de quien?
  • La Triada CIA
  • Defense in Depth
  • Busines Needs
  • Risk Managment
  • Compliance
  • Frameworks and Maturity
  • Auditing
  1. SECTION 2: Host & Networking Auditing
  2. Assessment Methodologies: Auditing Fundamentals

Assessment Methodologies

Cybersecurity Basics

Que es la ciberseguridad?

Es la protección de sistemas informaticos y redes de informacion, divulgacion, robo, o dano a su software/hardware o datos electronicos

Que estamos protegindo?

  • Información de indentificacion personal

  • Informacion de atencion medica

  • Datos financieros

  • Propiedad Intelectual

  • Secretos comerciales

  • Operaciones comerciales

Asegurarlos de quien?

  • Criminales

  • Competidores

  • Amenazas internas

  • Actores maliciosos

La Triada CIA

Un modelo para describir la seguridad, se mueve y fluctua con las necesidades del negocio.

  • Confidencialidad: Solo para tus ojos

  • Integridad: Solo se producen cambios autorizados, la informacion no cambia

  • Disponibilidad: Informacion a disposicion de las personas adecuadas cuando lo requieres

  • Balance (Equilibrio): Equilibra los 3 compoennetes para satisfacer las necesidades comerciales.

Defense in Depth

Este concepto depende de lo que estes asegurdando, que tan importante sea y lo que esta pasando detras de el. Por lo cual uno debe de construir diferentes capas de seguridad.

Busines Needs

La seguridad depende de las necesidades del negocio y los objetivos de la misma, la empresa puede ser pequena, grande o un hospital, y sis objtivos son diferentes para cada empresa.

Risk Managment

El dinero llega aser un factor muy importante para un negocio,

  • Cuanto costara asegurar algo?, contra que?

  • Cual sera el costo si lo aseguramos de manera eficiente?

  • Puede reducir el seguro?

  • Puede reducirse a posibles juicios?

  • Puede reducirse ante una perdidas de la propuedad intelectual?

No solo es la ciberseguridad la que forma parte de la gestión de riesgos. Todas las decisiones comerciales en una organización se mezclaran con la gestión de riesgos.

  • Vamos a sacar este producto?

  • Vamos a continuar con esta campana de marketing?

  • Cual es el análisis de costo beneficio?, esa es una parte normal de las operaciones comerciales.

Compliance

Frameworks and Maturity

Auditing

Una empresa puede estar realizando una auditoria de cumplimiento. La auditoria es la forma en que una empresa puede verificar y ver si la organizacion estan en cumplimiento o un tercero puede venir y realizar una auditoria, para ver si estan siguiendo las pautas.

  1. Comenzar con entrevistas: Las entrevistas pueden ser al CISAO, a los administradores, o a cualquier persona quien esta creando usando informacion. Preguntas que se les puede hacer:

    a. Recibio algun entrenamiento de concientizacion sobre seguridad este ano?

    b. Que practicas conoces?

    c. Se puede conectar USB?

    d. Tiene acceso al edificio atraves de algun tipo de authenticacion multifactor?

    e. Tiene acceso a su maquina atraves de algun tipo de authenticacion multifactor?

    Al hacer estrevistas no solo obtiene la opnion de una persona, obtiene el alcance completo, imagen del todo el entorno.

  2. Review Paperwork: Revision de politicas, como almacenan la informacion, etc

  3. Assessments (Evaluacion - Pentest): Revision de Firewall, Antivirus, los cuales se puede completar con las herramientas, como un analisis de Nessus o herramientas de Auditoria Solar Winds. Para encontrar las vulnerabilidades correspondientes.

Como pentester, de una auditoria, evaluacion, o una prueba de penetracion. Es necesario tomar algunas buenas notas. Puede utilizar alguna de las siguientes herramientas

  • Joplin

  • Onenote

  • Sublimetext

Otra forma de compartir informacion, es utilizar un mapa mental "Mind Map"

  1. Reportes: No se recibe pago de la prueba de penetracion, si no del informa que proporciona valor para la organizacion. Escaneos, vulnerabilidades de cero dia, exploits. El informe debe de contener y provine de la experiencia tecnica, tambien de de tener algo de perspicacia y comprension de su negocio (necesidades), cuales son los marcos, cual es su cumplimineto y regulaciones. Convirtiendo en un paquete muy util para ellos.

PreviousAssessment Methodologies: Auditing FundamentalsNextPractice

Last updated 8 months ago