Esistono diverse metodologie per i test di penetrazione come OSSTMM, NIST e altri framework. Quali sono le differenze tra loro? Chi è il pubblico previsto e dov'è il luogo / settore previsto per queste metodologie? Ho letto le loro documentazioni, ma non ho potuto decidere.
Il PTES - link - ha un aspetto che gli altri framework non hanno, l'efficacia dagli strumenti - link
Una versione aggiornata degli strumenti per eseguire un test penna basato su PTES, inclusa l'analisi MSF, è disponibile qui: link
OSSTMM ha un componente strumento, ma disponibile solo dal costoso corso di formazione . SANS ha sviluppato criteri simili per stabilire strutture di test attraverso costosi corsi di formazione, ma hanno una grande GPWN mailing list è aperto al pubblico.
I pub speciali IMO e NIST non coprono di per sé i test delle penne, perché anche SP 800-115 non tiene conto delle complessità necessarie per definire o organizzare il pensiero delle migliori pratiche intorno al test delle penne come eseguito da Veris Group, Silent Interrompi la sicurezza, Mandiant o abiti simili. Le linee guida PCI-DSS vanno molto oltre rispetto a ciò che fornisce il NIST, ma è ancora poco brillante: link
Per rispondere direttamente alla tua domanda, direi che gli standard per i test delle penne a cui fai riferimento sono obsoleti, mentre il PTES è lo standard mondiale 2016 comunemente adottato. Esistono anche norme per il Regno Unito, ovvero CHECK , CREST e CBEST .
Leggi altre domande sui tag penetration-test