Metodologie di Penetration Testing: PTES, OWASP e NIST a Confronto

Questa guida fornisce tutto ciò che serve per comprendere, definire l'ambito ed eseguire questo tipo di test, con indicazioni pratiche da mettere in atto immediatamente.

PTES: Penetration Testing Execution Standard

PTES fornisce un framework completo per condurre i Penetration Test, che copre sette fasi: interazioni pre-engagement, raccolta di informazioni, threat modeling, analisi delle vulnerabilità, exploitation, post-exploitation e reporting. È la metodologia più comunemente citata nel pentesting generale e fornisce linee guida tecniche dettagliate per ogni fase.

OWASP Testing Guide

La OWASP Testing Guide è la guida di riferimento standard per il pentesting di applicazioni web. Fornisce test case dettagliati organizzati per categoria: raccolta di informazioni, test di configurazione, gestione dell'identità, autenticazione, autorizzazione, gestione della sessione, convalida dell'input, gestione degli errori, crittografia, logica di business e test lato client. Per il pentesting di applicazioni web e API, OWASP è la metodologia che gli auditor si aspettano più comunemente.

NIST SP 800-115

La pubblicazione speciale NIST SP 800-115 fornisce linee guida per i test e la valutazione della sicurezza delle informazioni. È la metodologia più comunemente citata in contesti governativi e sanitari ed è allineata ai requisiti HIPAA e FedRAMP. NIST SP 800-115 copre la pianificazione, la discovery, l'esecuzione degli attacchi e il reporting.

Quale metodologia seguire

Per applicazioni web e API: OWASP Testing Guide. Per test generali di infrastruttura e rete: PTES. Per il settore sanitario e governativo: NIST SP 800-115. Per ambienti cloud: CSA Cloud Penetration Testing Playbook insieme alla metodologia applicativa/infrastrutturale pertinente. La maggior parte dei fornitori di Penetration Test professionali combinano elementi di più framework in base all'ambito dell'engagement.

Documentazione per la conformità

Il report del Penetration Test deve fare riferimento alla metodologia seguita. Gli auditor non impongono una metodologia specifica nella maggior parte dei framework, ma si aspettano un approccio documentato e riconosciuto. Penetrify documenta la metodologia di test in ogni report, facendo riferimento a OWASP, PTES e NIST a seconda dei casi e dell'ambito dell'engagement.

In Sintesi

La metodologia non riguarda la scelta del framework "giusto", ma il seguire un approccio strutturato e documentato che garantisca una copertura completa e soddisfi il tuo auditor. I migliori fornitori adattano più metodologie al tuo ambiente specifico.

Domande frequenti

Il mio framework di conformità richiede una metodologia specifica?

La maggior parte dei framework (SOC 2, PCI DSS, ISO 27001) non impone una metodologia specifica, ma richiede che ne venga documentata e seguita una. L'aggiornamento proposto di HIPAA fa riferimento a "principi di cybersecurity generalmente accettati" senza nominare uno standard specifico.

Posso utilizzare più metodologie in un unico engagement?

Sì, e la maggior parte dei fornitori professionali lo fa. Un engagement completo potrebbe seguire OWASP per il test delle applicazioni, PTES per il test dell'infrastruttura e NIST per la documentazione di conformità.