Свершилось. Проект по созданию Penetration Testing Execution Standard (сокращенно PTES) начинает приносить первые плоды. Вчера после яркого анонса в прямом эфире на Source Boston на www.pentest-standard.org был опубликован документ под названием PTES Technical Guidelines , следом за чем веб-сайт благополучно загнулся под неистовым потоком желающих поскорее ознакомиться с руководством. Был среди них и я, но что поделаешь, пришлось немного подождать.
Первое впечатление от руководства: это даже подробнее, чем на www.vulnerabilityassessment.co.uk . Как я и предполагал ранее, PTES не пошел по "высокоуровневому" пути OSSTMM и делает все возможное, чтобы как можно более детально описать и упорядочить процесс тестирования на проникновение. Не скрою, такой подход мне нравятся больше.
Хочется надеяться, что в связи с развитием PTES в скором будущем нас ждут существенные изменения в области пентестов . Как минимум пора прекратить называть этим словом сканирование на уязвимости и переформатирование отчетов Qualys. Вещи должны называться своими именами. И если аудитор не провел тестирование по социальному каналу с проверкой уязвимостей на стороне клиента (client side), то для того, чтобы гордо назвать свою работу тестом на проникновение, он должен сделать соответствующие замечания в описании области действия теста (test scope): так мол и так, тестирование было неполным по пожеланию клиента.
Слайды с презентации на Source Boston:
http://www.slideshare.net/iamit/pentest-standard-keynote-sourceboston
http://www.slideshare.net/iamit/pentest-standard-keynote-sourceboston