PTES Technical Guidelines

PTES Technical Guidelines
Свершилось. Проект по созданию Penetration Testing Execution Standard (сокращенно PTES) начинает приносить первые плоды. Вчера после яркого анонса в прямом эфире на Source Boston на  www.pentest-standard.org был опубликован документ под названием  PTES Technical Guidelines , следом за чем веб-сайт благополучно загнулся под неистовым потоком желающих поскорее ознакомиться с руководством. Был среди них и я, но что поделаешь, пришлось немного подождать.

Первое впечатление от руководства: это даже подробнее, чем на www.vulnerabilityassessment.co.uk . Как я и предполагал ранее, PTES не пошел по "высокоуровневому" пути OSSTMM и делает все возможное, чтобы как можно более детально описать и упорядочить процесс тестирования на проникновение. Не скрою, такой подход мне нравятся больше.

Хочется надеяться, что в связи с развитием PTES в скором будущем нас ждут существенные изменения в области пентестов. Как минимум пора прекратить называть этим словом сканирование на уязвимости и переформатирование отчетов Qualys. Вещи должны называться своими именами. И если аудитор не провел тестирование по социальному каналу с проверкой уязвимостей на стороне клиента (client side), то для того, чтобы гордо назвать свою работу тестом на проникновение, он должен сделать соответствующие замечания в описании области действия теста (test scope): так мол и так, тестирование было неполным по пожеланию клиента.

Слайды с презентации на Source Boston:
http://www.slideshare.net/iamit/pentest-standard-keynote-sourceboston
пентесты аудит стандарты
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

Vlad Styran

информационно. безопасно.*