PTES
PTES (аббревиатура от англ. Penetration Testing Execution Standard) — это стандарт выполнения тестирования на проникновение, представляющий собой методологию, описывающую единый подход к проведению работ по оценке защищённости информационных систем. Разработан в 2009 году группой специалистов по информационной безопасности, включая экспертов из таких организаций, как NIST, OWASP, ISSA, и других. PTES не является официальным международным стандартом (в отличие, например, от ISO 27001), но широко используется в индустрии как практическое руководство для пентестеров.
История
Идея создания PTES возникла в ответ на отсутствие единого, общепринятого подхода к проведению тестирования на проникновение. До появления стандарта каждая компания или специалист использовали собственные методики, что приводило к несопоставимости результатов и сложностям в оценке качества работ. В 2009 году группа энтузиастов, в которую вошли Крис Никерсон, Дэвид Кеннеди, Джим О’Горман и другие, опубликовала первую версию документа. Стандарт был задуман как открытый, доступный для редактирования и дополнения сообществом. В последующие годы выходили обновления, однако к середине 2010-х годов активная разработка PTES замедлилась, и он уступил часть популярности более современным фреймворкам, таким как OWASP Testing Guide или NIST SP 800-115.
Структура и фазы
PTES состоит из семи основных фаз, каждая из которых детализирует конкретные этапы работы пентестера. Эти фазы охватывают весь цикл тестирования — от предварительного согласования до финального отчёта.
1. Предварительное взаимодействие (Pre-engagement Interactions)
На этом этапе устанавливаются границы и правила тестирования. Пентестер и заказчик согласовывают:
- объём работ (какие системы, сети, приложения тестируются);
- временные рамки (время начала, окончания, допустимые часы атак);
- ограничения (запрещённые методы, например, DoS-атаки);
- юридические аспекты (подписание соглашения о неразглашении, разрешение на тестирование);
- контактные лица для экстренной связи.
2. Сбор информации (Intelligence Gathering)
Фаза направлена на сбор максимального объёма данных о целевой системе. Используются как пассивные методы (поиск в открытых источниках, анализ DNS-записей, социальные сети), так и активные (сканирование портов, определение версий ПО). Цель — выявить потенциальные точки входа, уязвимости, а также понять архитектуру сети и используемые технологии.
3. Моделирование угроз (Threat Modeling)
На основе собранных данных строится модель угроз. Определяются:
- наиболее вероятные векторы атак;
- критичные активы (базы данных, серверы, учётные записи);
- сценарии атак (например, компрометация веб-приложения через SQL-инъекцию или фишинговая атака на сотрудников).
4. Анализ уязвимостей (Vulnerability Analysis)
Этап включает как автоматическое сканирование (с помощью инструментов вроде Nessus, OpenVAS), так и ручную проверку. Цель — выявить конкретные уязвимости: неисправленные обновления, слабые пароли, ошибки конфигурации, уязвимости в коде. Результаты фиксируются в виде списка с указанием критичности.
5. Эксплуатация (Exploitation)
На этом этапе пентестер пытается реализовать выявленные уязвимости для получения доступа к системе. Используются:
- эксплуатация известных уязвимостей (например, через Metasploit);
- социальная инженерия (фишинг, подбор паролей);
- атаки на веб-приложения (XSS, CSRF, SQL-инъекции);
- повышение привилегий (privilege escalation).
Успешная эксплуатация позволяет получить контроль над целевой системой, но не является конечной целью — важно продемонстрировать возможный ущерб.
6. Пост-эксплуатация (Post-Exploitation)
После получения доступа пентестер оценивает, какой ущерб может быть нанесён:
- доступ к конфиденциальным данным (базы данных, файлы);
- возможность перемещения по сети (lateral movement);
- закрепление в системе (persistence);
- возможность скрыть следы атаки.
Цель — показать, что даже после первоначального взлома атакующий может нанести серьёзный урон.
7. Отчётность (Reporting)
Финальная фаза — подготовка отчёта. Документ должен содержать:
- описание методологии;
- перечень найденных уязвимостей с указанием критичности;
- описание успешных атак (с доказательствами, например, скриншотами);
- рекомендации по устранению уязвимостей;
- оценку общего уровня защищённости.
Отчёт пишется на языке, понятном как техническим специалистам, так и руководству заказчика.
Применение
PTES используется в основном в коммерческих и государственных организациях, проводящих тестирование на проникновение. Стандарт применяется:
- как основа для внутренних регламентов компаний, оказывающих услуги пентеста;
- для обучения новых специалистов по информационной безопасности;
- при подготовке к аудитам и сертификации (например, PCI DSS, где требуется регулярное тестирование).
В России PTES не является обязательным, но часто упоминается в методических рекомендациях по проведению работ по оценке защищённости, например, в документах ФСТЭК России. Однако российские организации чаще ориентируются на национальные стандарты, такие как ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей» или методики Банка России.
Критика и ограничения
Несмотря на популярность, PTES имеет ряд недостатков:
- Устаревание. Стандарт не обновлялся с 2014 года, что делает его менее актуальным для современных угроз (например, атак на облачные инфраструктуры или IoT).
- Избыточность. Для небольших организаций или простых систем полное следование PTES может быть излишним и затратным по времени.
- Субъективность. Некоторые фазы (например, моделирование угроз) сильно зависят от опыта пентестера, что может приводить к разным результатам.
- Отсутствие сертификации. В отличие от, например, CISSP или OSCP, PTES не предусматривает официальной сертификации специалистов, что снижает его статус в глазах работодателей.
Сравнение с другими стандартами
PTES часто сравнивают с другими методологиями тестирования на проникновение:
| Стандарт | Особенности | Применение |
|---|---|---|
| PTES | Детализированная методология, 7 фаз, открытый | Широкое использование в коммерческих пентестах |
| OWASP Testing Guide | Фокус на веб-приложения, регулярно обновляется | Тестирование веб-приложений |
| NIST SP 800-115 | Официальный стандарт США, акцент на процедуры | Государственные и военные организации |
| OSSTMM | Акцент на метрики и количественную оценку | Академические исследования, аудит |
Интересные факты
- PTES был одним из первых стандартов, включивших в себя фазу «пост-эксплуатации», что ранее считалось необязательным.
- Исходный текст стандарта распространяется по лицензии Creative Commons, что позволяет свободно копировать и модифицировать его.
- В 2010 году на основе PTES был создан инструмент для автоматизации отчётности — PTE (Penetration Testing Execution), но он не получил широкого распространения.
Источники
- Penetration Testing Execution Standard (PTES) — официальный сайт проекта (ptes.org)
- NIST Special Publication 800-115. Technical Guide to Information Security Testing and Assessment
- OWASP Testing Guide v4.2
- ГОСТ Р 56545-2015. Защита информации. Уязвимости информационных систем. Правила описания уязвимостей
- Методические рекомендации ФСТЭК России по оценке защищённости информационных систем (2019)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →