Metodologie di test di penetrazione

13

Esistono diverse metodologie per i test di penetrazione come OSSTMM, NIST e altri framework. Quali sono le differenze tra loro? Chi è il pubblico previsto e dov'è il luogo / settore previsto per queste metodologie? Ho letto le loro documentazioni, ma non ho potuto decidere.

    
posta etooo 28.03.2016 - 22:19
fonte

1 risposta

13

Il PTES - link - ha un aspetto che gli altri framework non hanno, l'efficacia dagli strumenti - link

Una versione aggiornata degli strumenti per eseguire un test penna basato su PTES, inclusa l'analisi MSF, è disponibile qui: link

OSSTMM ha un componente strumento, ma disponibile solo dal costoso corso di formazione . SANS ha sviluppato criteri simili per stabilire strutture di test attraverso costosi corsi di formazione, ma hanno una grande GPWN mailing list è aperto al pubblico.

I pub speciali IMO e NIST non coprono di per sé i test delle penne, perché anche SP 800-115 non tiene conto delle complessità necessarie per definire o organizzare il pensiero delle migliori pratiche intorno al test delle penne come eseguito da Veris Group, Silent Interrompi la sicurezza, Mandiant o abiti simili. Le linee guida PCI-DSS vanno molto oltre rispetto a ciò che fornisce il NIST, ma è ancora poco brillante: link

Per rispondere direttamente alla tua domanda, direi che gli standard per i test delle penne a cui fai riferimento sono obsoleti, mentre il PTES è lo standard mondiale 2016 comunemente adottato. Esistono anche norme per il Regno Unito, ovvero CHECK , CREST e CBEST .

    
risposta data 28.03.2016 - 22:40
fonte

Leggi altre domande sui tag