Metodologie Penetration Testing: PTES, OWASP a NIST – Co potřebujete vědět

Tato příručka poskytuje vše, co potřebujete k pochopení, vymezení rozsahu a provedení tohoto typu testování – s praktickými radami, které můžete okamžitě aplikovat.

PTES: Penetration Testing Execution Standard

PTES poskytuje komplexní rámec pro provádění Penetration Testing, který zahrnuje sedm fází: interakce před zahájením, sběr informací, modelování hrozeb, analýza zranitelností, zneužití, fáze po zneužití a reporting. Jedná se o nejčastěji zmiňovanou metodologii v obecném pentestingu a poskytuje podrobné technické pokyny pro každou fázi.

OWASP Testing Guide

OWASP Testing Guide je standardní referencí pro web application pentesting. Poskytuje podrobné testovací případy uspořádané podle kategorií – sběr informací, testování konfigurace, správa identit, autentizace, autorizace, správa relací, validace vstupu, zpracování chyb, kryptografie, obchodní logika a testování na straně klienta. Pro web application a API pentesting je OWASP metodologie, kterou auditoři nejčastěji očekávají.

NIST SP 800-115

NIST Special Publication 800-115 poskytuje pokyny pro testování a hodnocení informační bezpečnosti. Je to metodologie, která je nejčastěji zmiňována ve vládním a zdravotnickém kontextu a je v souladu s požadavky HIPAA a FedRAMP. NIST SP 800-115 zahrnuje plánování, průzkum, provedení útoku a reporting.

Jakou metodologii zvolit

Pro webové aplikace a API: OWASP Testing Guide. Pro obecné testování infrastruktury a sítí: PTES. Pro zdravotnictví a státní správu: NIST SP 800-115. Pro cloudová prostředí: CSA Cloud Penetration Testing Playbook společně s příslušnou metodologií pro aplikace/infrastrukturu. Většina profesionálních poskytovatelů pentestů kombinuje prvky z více rámců na základě rozsahu zakázky.

Dokumentace pro zajištění shody

Vaše zpráva o pentestu by měla odkazovat na použitou metodologii. Auditoři ve většině rámců nepředepisují konkrétní metodologii, ale očekávají dokumentovaný, uznávaný přístup. Penetrify dokumentuje metodologii testování v každé zprávě a odkazuje na OWASP, PTES a NIST podle toho, jak je to relevantní pro rozsah zakázky.

Závěr

Metodologie není o výběru "správného" rámce – je to o dodržování strukturovaného, dokumentovaného přístupu, který zajišťuje komplexní pokrytí a uspokojí vašeho auditora. Nejlepší poskytovatelé přizpůsobí více metodologií vašemu konkrétnímu prostředí.

Často kladené otázky

Vyžaduje můj rámec pro zajištění shody konkrétní metodologii?

Většina rámců (SOC 2, PCI DSS, ISO 27001) nepředepisuje konkrétní metodologii, ale vyžaduje, aby byla jedna zdokumentována a dodržována. Navrhovaná aktualizace HIPAA odkazuje na "obecně přijímané principy kybernetické bezpečnosti", aniž by jmenovala konkrétní standard.

Mohu použít více metodologií v jedné zakázce?

Ano, a většina profesionálních poskytovatelů to dělá. Komplexní zakázka může následovat OWASP pro application testing, PTES pro infrastructure testing a NIST pro dokumentaci shody.