Открыть сервис

PTES

PTES (аббревиатура от англ. Penetration Testing Execution Standard) — это стандарт выполнения тестирования на проникновение, представляющий собой методологию, описывающую единый подход к проведению работ по оценке защищённости информационных систем. Разработан в 2009 году группой специалистов по информационной безопасности, включая экспертов из таких организаций, как NIST, OWASP, ISSA, и других. PTES не является официальным международным стандартом (в отличие, например, от ISO 27001), но широко используется в индустрии как практическое руководство для пентестеров.

История

Идея создания PTES возникла в ответ на отсутствие единого, общепринятого подхода к проведению тестирования на проникновение. До появления стандарта каждая компания или специалист использовали собственные методики, что приводило к несопоставимости результатов и сложностям в оценке качества работ. В 2009 году группа энтузиастов, в которую вошли Крис Никерсон, Дэвид Кеннеди, Джим О’Горман и другие, опубликовала первую версию документа. Стандарт был задуман как открытый, доступный для редактирования и дополнения сообществом. В последующие годы выходили обновления, однако к середине 2010-х годов активная разработка PTES замедлилась, и он уступил часть популярности более современным фреймворкам, таким как OWASP Testing Guide или NIST SP 800-115.

Структура и фазы

PTES состоит из семи основных фаз, каждая из которых детализирует конкретные этапы работы пентестера. Эти фазы охватывают весь цикл тестирования — от предварительного согласования до финального отчёта.

1. Предварительное взаимодействие (Pre-engagement Interactions)

На этом этапе устанавливаются границы и правила тестирования. Пентестер и заказчик согласовывают:

  • объём работ (какие системы, сети, приложения тестируются);
  • временные рамки (время начала, окончания, допустимые часы атак);
  • ограничения (запрещённые методы, например, DoS-атаки);
  • юридические аспекты (подписание соглашения о неразглашении, разрешение на тестирование);
  • контактные лица для экстренной связи.

2. Сбор информации (Intelligence Gathering)

Фаза направлена на сбор максимального объёма данных о целевой системе. Используются как пассивные методы (поиск в открытых источниках, анализ DNS-записей, социальные сети), так и активные (сканирование портов, определение версий ПО). Цель — выявить потенциальные точки входа, уязвимости, а также понять архитектуру сети и используемые технологии.

3. Моделирование угроз (Threat Modeling)

На основе собранных данных строится модель угроз. Определяются:

  • наиболее вероятные векторы атак;
  • критичные активы (базы данных, серверы, учётные записи);
  • сценарии атак (например, компрометация веб-приложения через SQL-инъекцию или фишинговая атака на сотрудников).

4. Анализ уязвимостей (Vulnerability Analysis)

Этап включает как автоматическое сканирование (с помощью инструментов вроде Nessus, OpenVAS), так и ручную проверку. Цель — выявить конкретные уязвимости: неисправленные обновления, слабые пароли, ошибки конфигурации, уязвимости в коде. Результаты фиксируются в виде списка с указанием критичности.

5. Эксплуатация (Exploitation)

На этом этапе пентестер пытается реализовать выявленные уязвимости для получения доступа к системе. Используются:

  • эксплуатация известных уязвимостей (например, через Metasploit);
  • социальная инженерия (фишинг, подбор паролей);
  • атаки на веб-приложения (XSS, CSRF, SQL-инъекции);
  • повышение привилегий (privilege escalation).

Успешная эксплуатация позволяет получить контроль над целевой системой, но не является конечной целью — важно продемонстрировать возможный ущерб.

6. Пост-эксплуатация (Post-Exploitation)

После получения доступа пентестер оценивает, какой ущерб может быть нанесён:

  • доступ к конфиденциальным данным (базы данных, файлы);
  • возможность перемещения по сети (lateral movement);
  • закрепление в системе (persistence);
  • возможность скрыть следы атаки.

Цель — показать, что даже после первоначального взлома атакующий может нанести серьёзный урон.

7. Отчётность (Reporting)

Финальная фаза — подготовка отчёта. Документ должен содержать:

  • описание методологии;
  • перечень найденных уязвимостей с указанием критичности;
  • описание успешных атак (с доказательствами, например, скриншотами);
  • рекомендации по устранению уязвимостей;
  • оценку общего уровня защищённости.

Отчёт пишется на языке, понятном как техническим специалистам, так и руководству заказчика.

Применение

PTES используется в основном в коммерческих и государственных организациях, проводящих тестирование на проникновение. Стандарт применяется:

  • как основа для внутренних регламентов компаний, оказывающих услуги пентеста;
  • для обучения новых специалистов по информационной безопасности;
  • при подготовке к аудитам и сертификации (например, PCI DSS, где требуется регулярное тестирование).

В России PTES не является обязательным, но часто упоминается в методических рекомендациях по проведению работ по оценке защищённости, например, в документах ФСТЭК России. Однако российские организации чаще ориентируются на национальные стандарты, такие как ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей» или методики Банка России.

Критика и ограничения

Несмотря на популярность, PTES имеет ряд недостатков:

  • Устаревание. Стандарт не обновлялся с 2014 года, что делает его менее актуальным для современных угроз (например, атак на облачные инфраструктуры или IoT).
  • Избыточность. Для небольших организаций или простых систем полное следование PTES может быть излишним и затратным по времени.
  • Субъективность. Некоторые фазы (например, моделирование угроз) сильно зависят от опыта пентестера, что может приводить к разным результатам.
  • Отсутствие сертификации. В отличие от, например, CISSP или OSCP, PTES не предусматривает официальной сертификации специалистов, что снижает его статус в глазах работодателей.

Сравнение с другими стандартами

PTES часто сравнивают с другими методологиями тестирования на проникновение:

СтандартОсобенностиПрименение
PTESДетализированная методология, 7 фаз, открытыйШирокое использование в коммерческих пентестах
OWASP Testing GuideФокус на веб-приложения, регулярно обновляетсяТестирование веб-приложений
NIST SP 800-115Официальный стандарт США, акцент на процедурыГосударственные и военные организации
OSSTMMАкцент на метрики и количественную оценкуАкадемические исследования, аудит

Интересные факты

  • PTES был одним из первых стандартов, включивших в себя фазу «пост-эксплуатации», что ранее считалось необязательным.
  • Исходный текст стандарта распространяется по лицензии Creative Commons, что позволяет свободно копировать и модифицировать его.
  • В 2010 году на основе PTES был создан инструмент для автоматизации отчётности — PTE (Penetration Testing Execution), но он не получил широкого распространения.

Источники

  • Penetration Testing Execution Standard (PTES) — официальный сайт проекта (ptes.org)
  • NIST Special Publication 800-115. Technical Guide to Information Security Testing and Assessment
  • OWASP Testing Guide v4.2
  • ГОСТ Р 56545-2015. Защита информации. Уязвимости информационных систем. Правила описания уязвимостей
  • Методические рекомендации ФСТЭК России по оценке защищённости информационных систем (2019)

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →