Metodologie di Testing

Le metodologie permettono di:

• Condurre il processo di penetration testing usando un approccio strutturato e ben definito.
• Eseguire efficacemente un compito impegnativo e critico in termini di tempo, indipendentemente dalle dimensioni e dalla complessità dell'asset.

Formalizzare il processo mediante un framework è estremamente importante, sia da un punto di vista tecnico che gestionale. Un processo condotto in accordo ad una metodologia consente di ereditare da essa caratteristiche, processi, conformità, vantaggi e svantaggi.

Come Scegliere la Metodologia Migliore?

• Alcune metodologie si concentrano su aspetti tecnici, altre su criteri manageriali. Pochissime su entrambi.
• La scelta richiede un'accurata selezione per stimare il costo e l'efficacia del processo.
• La scelta dipende da diversi fattori, tra cui:
  • Dettagli tecnici forniti sull'asset
  • Tipo di asset
  • Disponibilità di risorse (tempo, denaro, etc.)
  • Competenza del penetration tester
  • Obiettivi aziendali
  • Vincoli normativi
  • Etc.

Principali Metodologie

Esistono numerose metodologie. Alcune tra le principali sono:

1. OSSTMM (Open Source Security Testing Methodology Manual)
2. ISSAF (Information Systems Security Assessment Framework)
3. OWASP (Open Web Application Security Project)
4. WASC-TC (Web Application Security Consortium Threat Classification)
5. PTES (Penetration Testing Execution Standard)
6. NIST SP 800-115 (NIST Special Publication 800-115)

Metodologie di Testing: OSSTMM

Open Source Security Testing Methodology Manual (OSSTMM)