标准的高级组织

渗透测试执行标准由7个主要部分组成。这些内容涵盖了与渗透测试相关的所有内容:从最初的沟通和背后的推理,到测试人员在幕后工作的情报收集和威胁建模阶段,以便测试人员的安全技术专业知识发挥作用,并与对业务的理解相结合,通过漏洞研究、开发和后期利用更好地了解被测组织,最后以一种对客户有意义的方式捕获整个过程并提供最有价值的报告。

这个版本可以被认为是v1.0,因为该标准的核心要素已经固化,并且已经通过行业进行了一年多的实际测试。 v2.0很快就会投入使用,它将提供更多关于“级别”的细粒度工作 ——就像在强度等级中可以执行渗透测试的每个元素一样。由于每个渗透测试都是不一样的,并且测试将包含从更普通的Web应用程序或网络测试,到全面的红队参与,所述级别将使组织能够定义他们期望他们的对手展示多少复杂性,并启用测试人员加强组织最需要的领域的强度。关于“级别”的一些初步工作可以在情报收集部分看到。

作为渗透测试执行的基础,以下是标准定义的主要部分:

由于标准没有在如何执行实际的测试中提供任何技术指导,我们还创建了一个技术指南,以配合标准本身。可以通过以下链接访问技术指导:

有关此标准的更多信息,请访问:

标签: 渗透测试, ptes

添加新评论