世界先进成熟的渗透测试标准方法

对于网络安全领域的攻击端, 进行渗透测试的方式几乎是无限多的。由于在进行渗透测试时需要考虑的重要事情数量非常庞大, 因此一般人很难进行覆盖面广且有效的渗透测试。

因此, 出现了越来越多的渗透测试框架来帮助人们完成各种测试需求, 在本文中, 将介绍一些比较先进成熟的渗透测试框架标准。

OWASP渗透测试指南简介

由于渗透测试的技术种类多种多样, 作为攻击端的测试者, 提供统一的产品非常困难, 而作为攻击端的安全从业人员, 标准化渗透测试可以帮助我们将测试标准化为可重复、一致的测试方法，但并非所有的渗透测试方法都专注于相同类型的测试, 因此需要分解一下顶级测试框架。

开放式Web应用程序安全项目(OWASP)基金会(https://owasp.org/)是一个非营利性、社区驱动的组织。它负责跟踪和发布最新的Web应用程序安全风险、漏洞和渗透测试方法。OWASP测试指南主要关注Web应用程序及其相关技术。它为Web应用程序测试人员提供了跨多种途径定义漏洞的分布式指南方针。

OWASP测试指南总体步骤包括以下内容:

• 信息收集
• 配置和部署管理测试
• 身份管理测试
• 认证测试
• 授权测试
• 会话管理测试
• 输入验证测试
• 错误处理测试
• 弱密码测试
• 业务逻辑测试
• 客户端测试
• API测试
• 生成专业报告

OWASP被认为是所有类型Web应用程序渗透测试的黄金标准。组织可以在Web应用程序的开发生命周期中受益于遵循OWASP指南,以确保安全性融入应用程序的配置当中。

当测试重点关注 Web 应用程序时，Web 应用程序测试的综合方法使 OWASP 指南比其他渗透测试方法具有显着优势。当要确保我们和客户端Web应用程序、审核和安全评估是处于安全状态时，执行该标准将非常有用。

此外，OWASP还为社区提供其他项目和指南。OWASP基金会每年会针对当年影响Web应用程序环境的漏洞维护和更新OWASP Top 10的漏洞列表,。除此之外, OWASP基金会还维护 SAMM、安全编码指南、OWASP 移动应用程序安全（移动应用程序测试指南）和 OWASP Zed 应用程序代理（开源 Web 应用程序扫描仪）等项目。

Top10:https://owasp.org/www-project-top-ten/

渗透测试执行标准(PTES)

渗透测试执行标准(PTES)(http://www.pentest-standard.org/index.php/Main_Page)是一个用于标准化渗透测试的开源框架。PTES由行业领先的安全从业者社区驱动, 使其对不同的测试项目具有广泛的适用性。

PTES的主要目的是为测试人员提供一个系统化的流程来识别和测试安全漏洞以及如何适当的减轻这些风险。

PTES在其框架内有七个主要阶段:

• 参与前互动
• 信息收集
• 威胁建模
• 漏洞分析
• 开发
• 后利用
• 生成报告

PTES可用于内部、外部和无线渗透测试。它对信息收集和威胁建模的关注可以让组织定制其渗透测试来解决其特定的基础设施, 这种方式可以提供非常有益的结果。

NIST特别出版物800-115

美国国家标准与技术研究所(NIST)(https://csrc.nist.gov/pubs/sp/800/115/final)是美国政府机构, 从攻击和防御的角度推动技术标准和指南, NIST特别出版物800-115是一项涵盖从参与设置到测试后活动的正确渗透测试指南。

NIST特别出版物800-115指导测试人员对组织环境进行全面彻底的安全评估, 它概述了测试安全控制的测试方法和不同技术。

其步骤包括:

• 规划和准备
• 测试的执行
• 分析和报告
• 基于风险的方法
• 与风险管理整合

当安全测试的目标是满足合规性或监管要求时，NIST SP 800-115 特别有利于目标组织。正式审核在评估组织时通常会参考NIST，利用 SP 800-115可以主动解决审核期间可能出现的任何问题。

NIST SP 800-115 被网络安全行业和国际政府广泛认可 为安全最佳实践的良好基准。熟悉这些准则甚至对其进行测试可以为组织的安全状况奠定坚实的基础。

ISSAF渗透测试框架

ISSAF渗透测试框架(https://untrustednetwork.net/files/issaf0.2.1.pdf)由OISSG组织牵头。尽管不再直接支持或维护它，但它提供了一种有效的渗透测试总体方法。

ISSAF 框架旨在为测试人员提供全面的方法来识别漏洞、测试漏洞以及清理测试后留下的任何痕迹。

ISSAF 将其渗透步骤分为三个不同的阶段，每个阶段都有特定的步骤列表。这些包括：

第一阶段：规划和准备

• 与利益相关者和测试团队的沟通
• 确定范围和方法
• 关于测试用例和升级路径的协议

第二阶段：评估

• 信息收集
• 网络映射
• 漏洞识别
• 渗透
• 初始访问和权限升级
• 后利用
• 路线覆盖

第三阶段：报告、清理和痕迹销毁

• 生成报告
• 删除渗透测试工具包
• 清除痕迹(文件/目录)

与其他渗透测试框架一起，ISSAF 可用于评估组织环境的安全性。然而，ISSAF 在对现有系统进行重大更改后特别有用，因为它强调清理遗留的痕迹 ，以确保系统在评估期间和之后仍然安全地保持正常运行。

ISSAF 还通过将步骤分解为分阶段的方法，提供独特的渗透测试布局；如果喜欢这种类型的分解，那么遵循指南可能会更容易。

ISSAF 确定渗透测试期间要解决的不同测试层，可以在整个评估过程中提供结构良好的方法。即使在经过强大的渗透测试后，它还可以帮助确保网络保持安全。

CREST渗透测试方法

CREST团队设计了CREST渗透测试方法（CPTM）；CREST 代表注册道德安全测试员委员会。这个非营利性国际组织提供内部和外部渗透测试的培训和指导。(https://www.crest-approved.org/wp-content/uploads/2022/04/CREST-Penetration-Testing-Guide-1.pdf)

CPTM 旨在提供标准且全面的渗透测试方法，特别是针对CREST注册渗透测试人员。(https://www.crest-approved.org/skills-certifications-careers/crest-registered-penetration-tester/)它可以指导您对网络和应用程序进行全面评估。

CREST的渗透测试方法包括以下步骤：

• 事前参与
• 情报收集
• 威胁建模
• 漏洞分析
• 开发
• 后利用
• 报告
• 审查

**CPTM 可以为内部、外部和无线测试提供可靠的渗透测试指导，而这些测试在其他渗透测试方法中并没有得到太多关注。

MITRE（ATT&CK)

MITRE 公司多年来为道德黑客世界提供了充足的支持，其对抗策略、技术和常识 (ATT&CK)(https://attack.mitre.org/） 框架可以说是最著名的。MITRE ATT&CK 可以从侦察到后利用的整个过程中分解当前和之前的进攻性安全攻击。

MITRE ATT&CK 旨在提供一个全面且结构化的模型来理解对抗策略和技术。此外，它还可以对不同攻击进行准确分类，以更好地了解攻击杀伤链。

MITRE ATT&CK 框架是独特的，因为它不像其他方法那样遵循既定的步骤。相反，它更多地充当信息矩阵，涵盖网络攻击在影响组织时可能经历的大量阶段。

可以在渗透测试的每个攻击阶段使用 MITRE ATT&CK 作为参考点。参考特定攻击技术、采用不熟悉的策略或探索其他攻击选项的能力能够进行真正全面的评估。

MITRE ATT&CK 可以为渗透测试人员，特别是红队人员，提供对不同攻击类型的极其详细的知识。这使得渗透测试人员能够针对可能在其他测试类型中被忽视的更专业的技术进行测试。其相对较新的 MITRE D3FEND 框架(https://d3fend.mitre.org/) 还为网络安全领域的防御方提供指导。

OSSTMM开源安全测试方法手册

OSSTMM开源安全测试方法手册(https://www.isecom.org/OSSTMM.3.pdf) 由安全与开放方法研究所 (ISECOM) 开发。OSSTMM 的开发是全面的、定量的、透明的和教育性的。

尽管OSSTMM提供了进行结构化和标准化安全评估的指导，但OSSTMM侧重于在测试后生成可行的指标。这可以提供一个很好的起点，为组织提供有意义的测试后报告和建议。

OSSTMM 的框架为：

• 事前参与
• 情报收集
• 威胁分析
• 漏洞分析
• 开发
• 后利用
• 分析和报告

可以使用OSSTMM作为指导来进行结构化、完整的渗透测试。此外，当测试的目标是为组织提供详细的结果报告以进行彻底的测试后活动时，OSSTMM 会特别有用。

对道德、测量和指标的重视为测试团队和组织利益相关者之间的信任奠定了坚实的基础。如果团队是外部/第三方的，这一点尤其重要。OSSTMM 还提供有关物理安全的指导 ，并且可以极大地有益于涉及此类活动的参与。

总结

遵循渗透测试方法为人们提供了一种标准化形式，这对于在组织内继续实践攻击技术非常重要。方法还可以防止由于渗透测试中涉及许多不同的活动而错过关键测试或领域。