Pular para conteúdo

Frameworks & Metodologias

Fonte: javascript/pentest/pentest.jsPentestModule.FRAMEWORKS (aba 📐 FRAMEWORKS). 6 padrões internacionais, todos mapeados para controles ISO 27001.

Framework Escopo Nível ISO 27001
PTES Geral Universal A.8.8 · A.12.6
OWASP Testing Guide Web App Web A.14.2 · A.14.3
OSSTMM Geral + Físico Científico A.18.2 · A.5.29
NIST SP 800-115 Governamental Compliance A.12.7 · A.18.2.3
MITRE ATT&CK Red Team Avançado A.5.7 · A.12.6
TIBER-EU Financeiro Regulatório A.5.7 · A.16.1

PTES · Penetration Testing Execution Standard

Padrão mais adotado globalmente para testes de intrusão. Define 7 fases com entregáveis específicos, metodologia técnica e ética profissional.

Fases: Pre-Engagement → Intelligence Gathering → Threat Modeling → Vulnerability Analysis → Exploitation → Post-Exploitation → Reporting

Mapeamento ISO 27001: A.8.8 · A.12.6 · A.18.2.3 · pentest-standard.org

OWASP Testing Guide v4.2

Guia definitivo para testes de segurança em aplicações web. 11 categorias, 80+ testes documentados com casos de teste específicos.

Fases: Information Gathering → Configuration & Deployment → Identity Management → Authentication → Authorization → Session Management → Input Validation → Error Handling → Cryptography → Business Logic → Client-Side

Mapeamento ISO 27001: A.14.2 · A.14.3 · A.12.6 · owasp.org/www-project-web-security-testing-guide

OSSTMM · Open Source Security Testing Methodology Manual

Metodologia científica para testes de segurança. Introduz o RAV (Risk Assessment Value) — métrica quantitativa de segurança. Cobre segurança física, wireless, telecomunicações e redes.

Fases: Scope Definition → Channel Identification → Index → Trust Mapping → Target Analysis → Security Test → Results Analysis → Reporting

Mapeamento ISO 27001: A.18.2 · A.5.29 · A.12.7 · isecom.org/OSSTMM.3.pdf

NIST SP 800-115 · Technical Guide to Information Security Testing

Guia técnico do NIST para testes de segurança em sistemas de informação do governo americano. Adotado globalmente para compliance SOC2, FedRAMP e FISMA.

Fases: Planning → Discovery → Attack → Reporting

Mapeamento ISO 27001: A.12.7 · A.18.2.3 · A.5.36 · csrc.nist.gov/publications/detail/sp/800-115/final

MITRE ATT&CK · Adversarial Tactics, Techniques & Common Knowledge

Base de conhecimento de táticas e técnicas de adversários reais. 14 táticas, 200+ técnicas, 400+ sub-técnicas. Usado para Red Team avançado e threat intelligence.

Fases (táticas): Reconnaissance → Resource Development → Initial Access → Execution → Persistence → Privilege Escalation → Defense Evasion → Credential Access → Discovery → Lateral Movement → Collection → C2 → Exfiltration → Impact

Mapeamento ISO 27001: A.5.7 · A.12.6 · A.16.1 · attack.mitre.org

TIBER-EU · Threat Intelligence-Based Ethical Red Teaming

Framework europeu para simulações de ameaças avançadas no setor financeiro. Criado pelo Banco Central Europeu. Exige Threat Intelligence real e Red Team externo certificado.

Fases: Preparation → Threat Intelligence → Red Team Test → Closure & Remediation

Mapeamento ISO 27001: A.5.7 · A.8.8 · A.16.1 · A.18.2 · ecb.europa.eu/pub/pdf/other/ecb.tiber_eu_framework.en.pdf

Qual framework usar?

  • Teste geral de infraestrutura ou aplicação → PTES (universal, cobre todo o ciclo)
  • Foco em aplicação web → combine PTES com OWASP Testing Guide
  • Auditoria científica/quantitativa, incluindo físico → OSSTMM (métrica RAV)
  • Cliente governamental ou compliance FedRAMP/SOC2 → NIST SP 800-115
  • Red Team avançado / simulação de adversário real → MITRE ATT&CK como taxonomia de técnicas
  • Setor financeiro regulado na União Europeia → TIBER-EU