Metodologia para pentest
| Deixe um comentário e acompanhe a discussão assinando a feed deste ou de todos os posts e comentários. |
A prática de análise de vulnerabilidade e/ou pentest em ambientes tecnológicos está longe de ser bem amparada por padrões e metodologias. Existe muito conteúdo disponível mas, no geral os profissionais acabam desenvolvendo um framework próprio com base em documentos como: OWASP Testing Guide; OSSTMM; ISSAF e vários outros documentos disponíveis na internet. Isso profissionais capacitados e com boa experiência, pois, a grande maioria executa como bem entende e sem um método estruturado.
A notícia boa é que o NIST publicou o Technical Guide to Security Testing. O documento está bem estruturado e utilizando todos os documentos citados como referência.
O documento trata desde, fases até ferramentas e cuidados que devem ser tomados por profissionais que desejam realizar testes de segurança em ambientes tecnológicos.
A estrutura do documento é a seguinte:
1 - Introdução
2 - Information Security Testing Overview
3 - Review Techniques
4 - Target Identification and Analysis Techniques
5 - Target Vulnerability Validation Techniques
6 - Information Security Test Planning
7 - Security Testing Execution
8 - Post-Testing Activities