Hay varias metodologías para las pruebas de penetración como OSSTMM, NIST y otros marcos. ¿Cuáles son las diferencias entre ellos? ¿Quién es el público al que se dirige y dónde está el lugar / sector previsto para estas metodologías? Leí sus documentaciones, pero no pude decidir.
El PTES - enlace - tiene un aspecto que los otros marcos no tienen, la capacidad de acción de las herramientas - enlace
Una versión actualizada de las herramientas para realizar una prueba de lápiz basada en PTES, incluido el análisis de MSF, está disponible aquí: enlace
OSSTMM tiene un componente de herramienta, pero solo está disponible en la costosa capacitación . SANS ha desarrollado criterios similares para establecer marcos de prueba a través de una capacitación costosa, pero tienen una excelente lista de correo GPWN que está abierto al público.
OMI, NIST Pubs especiales no cubren las pruebas de lápiz per se, porque incluso SP 800-115 no tiene en cuenta las complejidades necesarias para definir u organizar la mejor práctica pensada en las pruebas de lápiz realizadas por Veris Group, Silent Break Security, Mandiant , o trajes similares. Las pautas de PCI-DSS van mucho más allá de lo que proporciona el NIST, pero todavía es un poco mediocre: enlace
Para responder a su pregunta directamente, diría que los estándares de prueba de pluma a los que hizo referencia están desactualizados, mientras que PTES es el estándar mundial de 2016 más común. También hay estándares para el Reino Unido, a saber CHECK , CREST y CBEST .
Lea otras preguntas en las etiquetas penetration-test