Metodológie Penetration Testing: Vysvetlenie PTES, OWASP a NIST

Táto príručka poskytuje všetko, čo potrebujete na pochopenie, stanovenie rozsahu a vykonanie tohto typu testovania – s praktickými radami, ktoré môžete okamžite využiť.

PTES: Penetration Testing Execution Standard

PTES poskytuje komplexný rámec pre vykonávanie penetračných testov, pokrývajúci sedem fáz: interakcie pred začatím testovania, zhromažďovanie informácií, modelovanie hrozieb, analýza zraniteľností, zneužitie, činnosti po zneužití a vytváranie reportov. Je to najčastejšie uvádzaná metodológia v oblasti všeobecného pentestingu a poskytuje podrobné technické pokyny pre každú fázu.

OWASP Testing Guide

OWASP Testing Guide je štandardná referencia pre pentesting webových aplikácií. Poskytuje podrobné testovacie prípady usporiadané podľa kategórií – zhromažďovanie informácií, testovanie konfigurácie, správa identity, autentifikácia, autorizácia, správa relácií, validácia vstupu, spracovanie chýb, kryptografia, obchodná logika a testovanie na strane klienta. Pre webové aplikácie a API pentesting je OWASP metodológiou, ktorú audítori najčastejšie očakávajú.

NIST SP 800-115

NIST Special Publication 800-115 poskytuje usmernenia pre testovanie a hodnotenie informačnej bezpečnosti. Je to metodológia, ktorá sa najčastejšie uvádza vo vládnom a zdravotníckom kontexte a je v súlade s požiadavkami HIPAA a FedRAMP. NIST SP 800-115 pokrýva plánovanie, zisťovanie, vykonávanie útokov a reporting.

Ktorú metodológiu si vybrať

Pre webové aplikácie a API: OWASP Testing Guide. Pre všeobecné testovanie infraštruktúry a siete: PTES. Pre zdravotníctvo a štátnu správu: NIST SP 800-115. Pre cloudové prostredia: CSA Cloud Penetration Testing Playbook spolu s príslušnou metodológiou pre aplikácie/infraštruktúru. Väčšina profesionálnych poskytovateľov pentestov kombinuje prvky z viacerých rámcov na základe rozsahu zákazky.

Dokumentácia pre účely zhody

Váš pentest report by mal odkazovať na použitú metodológiu. Audítori v rámci väčšiny rámcov nemajú stanovenú špecifickú metodológiu, očakávajú však zdokumentovaný a uznávaný prístup. Penetrify dokumentuje metodológiu testovania v každom reporte, pričom odkazuje na OWASP, PTES a NIST, podľa toho, ako je to relevantné pre rozsah zákazky.

Záver

Metodológia nie je o výbere "správneho" rámca – je o dodržiavaní štruktúrovaného, zdokumentovaného prístupu, ktorý zaisťuje komplexné pokrytie a uspokojuje vášho audítora. Najlepší poskytovatelia prispôsobujú viacero metodológií vášmu konkrétnemu prostrediu.

Často kladené otázky

Vyžaduje môj rámec pre zabezpečenie zhody špecifickú metodológiu?

Väčšina rámcov (SOC 2, PCI DSS, ISO 27001) neukladá špecifickú metodológiu, ale vyžaduje, aby bola zdokumentovaná a dodržiavaná. Navrhovaná aktualizácia HIPAA odkazuje na "všeobecne uznávané zásady kybernetickej bezpečnosti" bez uvedenia konkrétneho štandardu.

Môžem použiť viacero metodológií v rámci jednej zákazky?

Áno, a väčšina profesionálnych poskytovateľov to robí. Komplexná zákazka môže dodržiavať OWASP pre testovanie aplikácií, PTES pre testovanie infraštruktúry a NIST pre dokumentáciu zhody.