Para executar os serviços de Segurança ofensiva normalmente empresas utilizam metodologias para se basear em quais testes executar e como eles devem ser feitos, com padrões já desenvolvidos e validados.
Para entender melhor sobre isso listamos algumas metodologias muito utilizadas na área de Segurança Cibernética:
- Metodologia OSSTMM
A metodologia OSSTMM (Open Source Security Testing Methodology Manual) é uma das mais conhecidas e utilizadas na realização de testes de segurança. Ela é baseada em cinco áreas de testes: informação, pessoal, processo, tecnologia e física. A metodologia enfatiza a necessidade de testes em várias camadas e abordagens diferentes para garantir a segurança geral de um sistema.
- Metodologia WSTG da OWASP
A WSTG (Web Security Testing Guide) é uma metodologia de segurança ofensiva específica para testes em aplicações web, desenvolvida pela OWASP (Open Web Application Security Project). Ela é baseada em uma série de etapas que incluem coleta de informações, modelagem de ameaças, análise de vulnerabilidades e exploração de falhas de segurança. A WSTG é um guia abrangente que explica todos os aspectos da segurança em aplicações web, desde a identificação de vulnerabilidades até a correção das falhas encontradas. Ela é frequentemente utilizada por desenvolvedores e equipes de segurança para avaliar a segurança de aplicações web e garantir que elas estejam mais protegidas contra ameaças potenciais. A WSTG é uma metodologia muito respeitada na comunidade de segurança cibernética e é frequentemente atualizada para se adaptar às novas ameaças e vulnerabilidades.
- Metodologia PTES
A PTES (Penetration Testing Execution Standard) é uma metodologia de segurança ofensiva que fornece um padrão para realizar testes de segurança em qualquer ambiente. Ela se concentra em cinco fases: pré-teste, inteligência, ameaça de modelo, exploração e pós-teste. A metodologia PTES é uma abordagem abrangente que visa garantir que todos os aspectos do sistema sejam testados.
- Metodologia NIST
A NIST (National Institute of Standards and Technology) é uma agência do governo dos Estados Unidos que publicou a metodologia NIST SP 800-115. Ela fornece um guia detalhado para testes de penetração, incluindo processos de planejamento, execução, análise e relatórios de resultados. A NIST é frequentemente utilizada por empresas e organizações governamentais devido ao seu foco na conformidade e segurança regulatória.
Conclusão
As metodologias mencionadas acima são algumas das mais utilizadas na realização de testes de segurança. Cada uma dessas metodologias possui suas próprias vantagens e desvantagens, e a escolha da metodologia a ser utilizada dependerá das necessidades específicas de cada organização. Independentemente da metodologia escolhida, é fundamental que os testes de segurança sejam realizados de forma regular para garantir a proteção contra ameaças potenciais.
A Level Two utiliza atualmente aspectos das metodologias PTES e NIST para o desenvolvimento das suas avaliações e relatórios, porém a equipe técnica da empresa está se adequando a WSTG e começará em breve a utilizá-la como padrão para Análises de Vulnerabilidades em ambientes Web.