Metodologie Penetration Testing: PTES, OWASP i NIST – Kompendium Wiedzy

Ten przewodnik zawiera wszystko, co potrzebujesz, aby zrozumieć, określić zakres i przeprowadzić ten typ testów – wraz z praktycznymi wskazówkami, które możesz natychmiast zastosować.

PTES: Penetration Testing Execution Standard

PTES to kompleksowe ramy postępowania podczas testów penetracyjnych, obejmujące siedem faz: interakcje przed zaangażowaniem, zbieranie danych wywiadowczych, modelowanie zagrożeń, analizę podatności, wykorzystanie luk, działania poeksploatacyjne i raportowanie. Jest to najczęściej przywoływana metodologia w ogólnym pentestingu, zapewniająca szczegółowe wytyczne techniczne dla każdej fazy.

OWASP Testing Guide

OWASP Testing Guide to standardowy punkt odniesienia dla pentestingu aplikacji internetowych. Zawiera szczegółowe przypadki testowe uporządkowane według kategorii – zbieranie informacji, testowanie konfiguracji, zarządzanie tożsamością, uwierzytelnianie, autoryzacja, zarządzanie sesją, walidacja danych wejściowych, obsługa błędów, kryptografia, logika biznesowa i testowanie po stronie klienta. W przypadku pentestingu aplikacji internetowych i API, OWASP jest metodologią najczęściej oczekiwaną przez audytorów.

NIST SP 800-115

NIST Special Publication 800-115 zawiera wytyczne dotyczące testowania i oceny bezpieczeństwa informacji. Jest to metodologia najczęściej przywoływana w kontekście rządowym i opieki zdrowotnej i jest zgodna z wymogami HIPAA i FedRAMP. NIST SP 800-115 obejmuje planowanie, odkrywanie, przeprowadzanie ataków i raportowanie.

Którą metodologię wybrać?

Dla aplikacji internetowych i API: OWASP Testing Guide. Dla ogólnej infrastruktury i testowania sieci: PTES. Dla opieki zdrowotnej i sektora publicznego: NIST SP 800-115. Dla środowisk chmurowych: CSA Cloud Penetration Testing Playbook wraz z odpowiednią metodologią aplikacji/infrastruktury. Większość profesjonalnych dostawców pentestów łączy elementy z wielu frameworków w zależności od zakresu zlecenia.

Dokumentacja dla zgodności

Twój raport z pentestu powinien odwoływać się do zastosowanej metodologii. Audytorzy nie wymagają konkretnej metodologii w większości frameworków, ale oczekują udokumentowanego, rozpoznawalnego podejścia. Penetrify dokumentuje metodologię testowania w każdym raporcie, odwołując się do OWASP, PTES i NIST, w zależności od zakresu zlecenia.

Podsumowanie

Metodologia nie polega na wyborze „właściwego” frameworka – chodzi o przestrzeganie ustrukturyzowanego, udokumentowanego podejścia, które zapewnia kompleksowy zakres i spełnia wymagania audytora. Najlepsi dostawcy dostosowują wiele metodologii do Twojego konkretnego środowiska.

Często Zadawane Pytania

Czy mój framework zgodności wymaga konkretnej metodologii?

Większość frameworków (SOC 2, PCI DSS, ISO 27001) nie wymaga konkretnej metodologii, ale wymaga, aby została ona udokumentowana i przestrzegana. Proponowana aktualizacja HIPAA odwołuje się do „ogólnie przyjętych zasad cyberbezpieczeństwa”, nie wymieniając konkretnego standardu.

Czy mogę użyć wielu metodologii w jednym zleceniu?

Tak, i większość profesjonalnych dostawców to robi. Kompleksowe zlecenie może opierać się na OWASP w przypadku testowania aplikacji, PTES w przypadku testowania infrastruktury i NIST w przypadku dokumentacji zgodności.