PTES
Was ist PTES?
PTESVon der Community entwickelte Penetration-Testing-Methodik, die Engagements in sieben Phasen vom Pre-Engagement bis zum Reporting und Remediation-Empfehlungen gliedert.
Der Penetration Testing Execution Standard (PTES) ist ein von der Community gepflegtes Rahmenwerk, das beschreibt, wie ein professioneller Penetrationstest geplant, durchgefuhrt und berichtet wird. Die Arbeit wird in sieben Phasen gegliedert: Pre-Engagement Interactions, Intelligence Gathering, Threat Modeling, Vulnerability Analysis, Exploitation, Post-Exploitation und Reporting. Begleitend gibt es Technical Guidelines mit Tools und Taktiken je Phase. PTES wird von Beratungshausern und internen Red Teams stark genutzt, weil es Scope, Rules of Engagement und Deliverables vereinheitlicht und sich gut mit OSSTMM, NIST SP 800-115 und OWASP-Testleitfaden kombinieren lasst.
● Beispiele
- 01
Ein Beratungshaus referenziert jeden Pentest-Auftrag auf die Pre-Engagement-Anforderungen des PTES.
- 02
Ein Red Team bewertet die Auswirkungen anhand der PTES-Post-Exploitation-Hinweise fur den Vorstand.
● Häufige Fragen
Was ist PTES?
Von der Community entwickelte Penetration-Testing-Methodik, die Engagements in sieben Phasen vom Pre-Engagement bis zum Reporting und Remediation-Empfehlungen gliedert. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet PTES?
Von der Community entwickelte Penetration-Testing-Methodik, die Engagements in sieben Phasen vom Pre-Engagement bis zum Reporting und Remediation-Empfehlungen gliedert.
Wie funktioniert PTES?
Der Penetration Testing Execution Standard (PTES) ist ein von der Community gepflegtes Rahmenwerk, das beschreibt, wie ein professioneller Penetrationstest geplant, durchgefuhrt und berichtet wird. Die Arbeit wird in sieben Phasen gegliedert: Pre-Engagement Interactions, Intelligence Gathering, Threat Modeling, Vulnerability Analysis, Exploitation, Post-Exploitation und Reporting. Begleitend gibt es Technical Guidelines mit Tools und Taktiken je Phase. PTES wird von Beratungshausern und internen Red Teams stark genutzt, weil es Scope, Rules of Engagement und Deliverables vereinheitlicht und sich gut mit OSSTMM, NIST SP 800-115 und OWASP-Testleitfaden kombinieren lasst.
Wie schützt man sich gegen PTES?
Schutzmaßnahmen gegen PTES kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für PTES?
Übliche alternative Bezeichnungen: Ausfuhrungsstandard fur Penetrationstests.
● Verwandte Begriffe
- compliance№ 770
OSSTMM
Offene, peer-reviewte Sicherheitstest-Methodik des ISECOM, die wissenschaftliche und reproduzierbare Messungen der operativen Sicherheit uber funf Kanale hinweg definiert.
- compliance№ 768
OSCP
Praxisorientierte Offensive-Security-Zertifizierung von Offensive Security, die durch das Kompromittieren eines Labornetzwerks in einer 24-stundigen beaufsichtigten Prufung erworben wird.
- compliance№ 152
CEH
Ethical-Hacking-Zertifizierung von EC-Council, die Werkzeuge und Techniken der Angreifer in den Bereichen Aufklarung, Exploitation sowie Web-, Funk- und Cloud-Tests vermittelt.
- defense-ops№ 813
Penetrationstest
Autorisierter, simulierter Cyberangriff auf Systeme, Anwendungen oder Personen, um ausnutzbare Schwächen vor echten Angreifern zu finden.
- compliance№ 735
NIST SP 800-30
NIST Special Publication mit Leitfaden zur Durchfuhrung von Risikobewertungen fur Informationssysteme und die von ihnen unterstutzten Missionen.