PTES
PTES 是什么?
PTES社区构建的渗透测试方法论,将一次项目划分为七个阶段,从前期沟通直至报告与修复建议。
渗透测试执行标准(PTES)是由社区维护的框架,定义了专业渗透测试的规划、执行与报告方式。它将工作划分为七个阶段:前期沟通、情报收集、威胁建模、漏洞分析、漏洞利用、后渗透与报告。PTES 配套有 Technical Guidelines 文档,对每个阶段推荐了具体工具与战术。咨询公司和内部红队广泛采用 PTES,因为它在不同环境下统一了范围、交战规则与交付物,并能与 OSSTMM、NIST SP 800-115 以及 OWASP 测试指南良好对接。
● 示例
- 01
咨询公司将每份渗透测试委托函与 PTES 的前期沟通要求一一对应。
- 02
红队按照 PTES 的后渗透阶段对影响进行评级,以汇报给董事会。
● 常见问题
PTES 是什么?
社区构建的渗透测试方法论,将一次项目划分为七个阶段,从前期沟通直至报告与修复建议。 它属于网络安全的 合规与框架 分类。
PTES 是什么意思?
社区构建的渗透测试方法论,将一次项目划分为七个阶段,从前期沟通直至报告与修复建议。
PTES 是如何工作的?
渗透测试执行标准(PTES)是由社区维护的框架,定义了专业渗透测试的规划、执行与报告方式。它将工作划分为七个阶段:前期沟通、情报收集、威胁建模、漏洞分析、漏洞利用、后渗透与报告。PTES 配套有 Technical Guidelines 文档,对每个阶段推荐了具体工具与战术。咨询公司和内部红队广泛采用 PTES,因为它在不同环境下统一了范围、交战规则与交付物,并能与 OSSTMM、NIST SP 800-115 以及 OWASP 测试指南良好对接。
如何防御 PTES?
针对 PTES 的防御通常结合技术控制与运营实践,详见上方完整定义。
PTES 还有哪些其他名称?
常见的别称包括: 渗透测试执行标准。
● 相关术语
- compliance№ 770
OSSTMM
由 ISECOM 维护的开源、同行评审的安全测试方法,定义了跨五个通道、科学且可重复的运营安全度量。
- compliance№ 768
OSCP
Offensive Security 颁发的实操型攻击安全认证,需要在 24 小时的监考实战考试中攻陷实验网络。
- compliance№ 152
CEH
EC-Council 颁发的道德黑客认证,系统讲解攻击者使用的工具与技术,涵盖侦察、漏洞利用、Web、无线和云端测试。
- defense-ops№ 813
渗透测试
对系统、应用或人员进行的经授权的模拟网络攻击,在真实攻击者之前发现可被利用的弱点。
- compliance№ 735
NIST SP 800-30
NIST 特别出版物,提供对信息系统及其支撑业务进行风险评估的方法指南。