it-swarm-es.com

¿Existe una guía de vulnerabilidades de TI generales / comunes?

Estoy buscando una guía actualizada y completa de vulnerabilidades de TI generales/comunes (información general).

No quiero que hagas el trabajo por mí, solo quiero señalarme en la dirección correcta: una recomendación de libro o sitio web sería genial.

Hay una gran cantidad de información disponible del motor de búsqueda de Google, pero no puedo reconocer qué información es valiosa.

23
Edgar

Consulte los recursos de referencia de seguridad/lista de verificación de:

http://cisecurity.org/
El Centro para la Seguridad de Internet (CIS) es una empresa sin fines de lucro cuya División de evaluación comparativa y métrica ayuda a las organizaciones a reducir el riesgo de interrupciones comerciales y de comercio electrónico como resultado de controles técnicos de seguridad inadecuados. La División proporciona a las empresas estándares consensuados de mejores prácticas para configuraciones de seguridad, así como recursos para medir el estado de seguridad de la información y para tomar decisiones racionales sobre inversiones en seguridad.

http://iase.disa.mil/stigs/checklist/
Agencia de Sistemas de Información de Defensa (DISA)

http://web.nvd.nist.gov/view/ncp/repository
http://csrc.nist.gov/fdcc/faq-common_security_configurations.html El Programa Nacional de Lista de Verificación (NCP), definido por el NIST SP = 800-70 Rev. 1, es el repositorio del gobierno de los EE. UU. De listas de verificación de seguridad (o puntos de referencia) disponibles públicamente que proporcionan una guía detallada de bajo nivel para establecer la configuración de seguridad de los sistemas operativos y aplicaciones.

Revisar algunas listas de verificación que pertenecen a su entorno puede darle una idea rápida de las cosas que debe vigilar.

10
Tate Hansen

No es exactamente una guía, pero creo que CWE - Common Weakness Enumeration es una excelente fuente de vulnerabilidades de software comunes (no solo web) y está actualizado. Y, por supuesto, para la aplicación web, el sitio OWASP contiene mucha información útil sobre las vulnerabilidades de la aplicación web.

14
bretik

Los cuatro principales a tener en cuenta (según los tipos que le interesen), se han mencionado algunos de estos:

8
AviD

Echa un vistazo a OWASP . No es exactamente un recurso general, ya que está orientado a la seguridad de las aplicaciones web, pero es un recurso valioso para cualquiera que cree una aplicación web o un sitio web. Específicamente, puede encontrar útil su lista Top 1 .

7
VirtuosiMedia

En mi opinión, conocer las vulnerabilidades específicas del software no es tan útil para mejorar la seguridad de su organización como realizar una evaluación completa evaluación de riesgos de TI . Después de la evaluación de riesgos, podrá evaluar, de manera más objetiva, si el principal problema para su infraestructura de TI son las vulnerabilidades de software, la seguridad física, las personas, los procedimientos u otros elementos.

Existen múltiples metodologías y marcos para realizar evaluaciones de riesgos Magerit , OCTAVA , Mehari y otros.

Aquí, en España, Magerit es muy utilizado porque se supone que las administraciones públicas deben usarlo para identificar y reducir los riesgos para la organización. Magerit incluye un catálogo de amenazas que puede usarse como una "guía completa de vulnerabilidades de TI generales/comunes" a medida que hace su pregunta.

0
kinunt

Yo uso este enlace: http://www.cvedetails.com

para buscar vulnerabilidades en cualquier producto

0
Mely