PT methodologiesTerminology

Методики за тестване на сигурността

wordle

Съществуват редица методики с отворен код, които се използват за нуждите на оценката на сигурността. Използвайки ги, специалистите имат възможност да подходят стратегически към всяка критична задача, свързана с оценката на сигурността, независимо от нейната сложност. Някои от методите се фокусират изцяло върху техническите аспекти, докато други – върху управлението на цялостния процес от мениджърска гледна точка. Много малко от тях съчетават двете позиции. Основната цел е да бъдат извършвани различни типове тестове стъпка по стъпка, с оглед точно да се оразмери сигурността на тествания обект.

Представяме ви няколко от най-често употребяваните и добре познати методики, подчертавайки техните ключови характеристики и предимства. Те са:

  • OSSTMM (Open Source Security Testing Methodology Manual);
  • ISSAF (Information Systems Security Assessment Framework);
  • OWASP (Open Web Application Security Project);
  • WASC (Web Application Security Consortium Threat Classification);
  • NIST;
  • PTES (Penetration Testing Execution Standard).

Първите две включват основни насоки и положения за тестване на сигурността за почти всички типове информационни активи. Рамките, описани в OWASP и WASC включват информация, касаеща главно оценката на сигурността на приложенията. PTES предлага насоки за извършването на тестове за проникване (PT) от различен характер. Важно е да се отбележи, че сигурността е един непрекъснато променящ се процес и PT сам по себе си представлява само моментна снимка (snapshot) на нейното състояние. Всяка минимална промяна в изследваната среда може да се отрази на цялостният процес по тестване на сигурността и да доведе до грешен краен резултат. В допълнение, адаптирането на някоя от горепосочените методики не гарантира напълно получаването на цялостна картина за състоянието на сигурността след края на теста. Поради тази причина специалистите по сигурност и одиторите избират индивидуално най-добрата стратегия спрямо специфичната ситуация.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *