Skip to content
Incydent bezpieczeństwa? Zadzwoń: +48 732 059 711
Cydefen
pl en
Jak pracujemy

Metodologia testów i audytów

OWASP WSTG, PTES, OSSTMM, TIBER-EU, NIST CSF i ISO 27005. Międzynarodowe standardy zamiast domysłów.

Ramy i standardy

Które metodyki stosujemy

OWASP WSTG (Web Security Testing Guide)

Międzynarodowy standard testowania bezpieczeństwa aplikacji webowych. Obejmuje skanowanie, testowanie autentykacji, autoryzacji, logiki biznesowej i transmisji danych.

PTES (Penetration Testing Execution Standard)

Siedmioetapowy framework testów penetracyjnych. Od gromadzenia informacji i modelowania zagrożeń, przez wykonanie, do raportu i usuwania luk.

OSSTMM (Open Source Security Testing Methodology Manual)

Metodyka testowania bezpieczeństwa operacyjnego. Obejmuje testowanie bezpieczeństwa fizycznego, socjologicznego i bezpieczeństwa sieci.

TIBER-EU (Threat Intelligence-Based Ethical Red Team)

Standard europejski dla red teamu finansowego. Łączy testowanie penetracyjne z analizą zagrożeń i wskaźnikami kompromitacji.

NIST CSF (Cybersecurity Framework)

Ramy NIST do pomiaru i poprawy bezpieczeństwa cybernetycznego. Pięć funkcji: Identify, Protect, Detect, Respond, Recover.

ISO 27005 Risk Assessment

Metoda oceny ryzyka zgodna z ISO 27001. Identyfikacja zasobów, zagrożeń, luk, ocena wpływu i wdrażanie kontroli.

Proces testów penetracyjnych

Sześć faz od zrozumienia do raportu

  1. 01

    1. Gromadzenie informacji

    Zrozumienie architektury, mapa zasobów, publiczne informacje o organizacji, zmapowanie potencjalnych ścieżek ataku.

  2. 02

    2. Modelowanie zagrożeń

    Analiza STRIDE/PASTA, zidentyfikowanie scenariuszy ataku, ustalenie priorytetów testów.

  3. 03

    3. Testowanie wykonawcze

    Skanowanie luk, exploity, testowanie autentykacji, analiza kodu źródłowego, post-exploitation.

  4. 04

    4. Analiza i weryfikacja

    Potwierdzenie każdej luki, ocena wpływu biznesowego, klasyfikacja ryzyka.

  5. 05

    5. Raportowanie

    Dokumentacja luk w zrozumiałej formie, wskazówki naprawcze, szacunkowy wysiłek implementacji.

  6. 06

    6. Wsparcie remediacji

    Przeglądy post-fix, testy ponowne, wsparcie drużyny technicznej w implementacji poprawek.

Chcesz wiedzieć więcej?

Opowiemy szczegółowo, jak metodologia będzie zastosowana do Twoich systemów.

Umów konsultację Wróć do O nas