渗透测试过程的前几步之一是决定采用哪种方法。
下面,我们将深入探讨五种最常用的渗透测试框架和渗透测试方法,以帮助指导利益相关者和各组织找到满足其特定需求的最佳方法,并确保它涵盖所有必需的领域。
1. 开源安全测试方法手册
开源安全测试方法手册 (OSSTMM) 是最流行的渗透测试标准之一。该方法经过同行评审,用于安全测试,由安全和开放方法研究所 (ISECOM) 创建。
该方法基于一种科学的渗透测试方法,为测试人员提供了可访问且适应性强的指南。OSSTMM 包括其方法中的运营重点、渠道测试、指标和信任分析等关键功能。
OSSTMM 为渗透测试专业人员提供了一个进行网络渗透测试和漏洞评估的框架。它旨在成为一个框架,供提供商查找和解决漏洞,如敏感数据以及与身份验证有关的问题。
2. 开放式 Web 应用程序安全项目 (OWASP)
OWASP 是开放网络应用安全项目的简称,是一个致力于网络应用安全的开源组织。
该非营利组织的目标是让任何想要提高自身 Web 应用程序安全性的人都可以免费且轻松地获取所有材料。OWASP 有自己的 10 大安全漏洞(ibm.com 外部链接),这是一份妥善维护的报告,概述了 Web 应用程序面临的最大安全问题和风险,例如跨站脚本、失效的身份验证以及防火墙之后的安全问题。OWASP 使用 10 大安全漏洞列表作为其 OWASP 测试指南的基础。
该指南分为三部分:用于 Web 应用程序开发的 OWASP 测试框架、Web 应用程序测试方法以及报告。Web 应用程序方法可单独使用,也可作为 Web 应用程序渗透测试、移动应用程序渗透测试、API 渗透测试和 IoT 渗透测试的 Web 测试框架的一部分。
3. 渗透测试执行标准
PTES 即渗透测试执行标准,是一种综合渗透测试方法。
PTES 由信息安全专家团队设计,由七个主要部分组成,涵盖渗透测试的各个方面。PTES 的目的是制定技术指南,概述各组织应预期从渗透测试中得到什么,并从前期交互阶段开始,在整个过程中提供指导。
PTES 旨在成为渗透测试的基准,并为安全专业人员和组织提供标准化的方法。该指南提供了一系列资源,例如渗透测试流程从开始到结束的每个阶段的最佳实践。PTES 的一些主要特点是开发和后期开发。开发是指通过社会工程学和密码破解等渗透技术获取系统访问权限的过程。漏洞开发是指从被入侵的系统中提取数据并保持访问权限。
4. 信息系统安全评估框架
信息系统安全评估框架 (ISSAF) 是信息系统安全组 (OISSG) 支持的渗透测试框架。
此方法已不再维护,并且可能不是最新信息的最佳来源。但是,它的主要优势之一是,将各个渗透测试步骤与特定的渗透测试工具联系起来。此类格式可以成为创建个性化方法的良好基础。
5. 美国国家标准与技术研究院 (NIST)
NIST 是美国国家标准与技术研究院的缩写,是一个网络安全框架,为联邦政府和外部组织提供了一套渗透测试标准。NIST 是美国商务部下属的一个机构,应被视为要遵循的最低标准。
NIST 渗透测试与 NIST 发布的指南保持一致。为了遵守此类指南,各组织必须按照预先确定的一组指南执行渗透测试。