Frameworks & Metodologias¶
Fonte: javascript/pentest/pentest.js — PentestModule.FRAMEWORKS (aba 📐 FRAMEWORKS). 6 padrões internacionais, todos mapeados para controles ISO 27001.
| Framework | Escopo | Nível | ISO 27001 |
|---|---|---|---|
| PTES | Geral | Universal | A.8.8 · A.12.6 |
| OWASP Testing Guide | Web App | Web | A.14.2 · A.14.3 |
| OSSTMM | Geral + Físico | Científico | A.18.2 · A.5.29 |
| NIST SP 800-115 | Governamental | Compliance | A.12.7 · A.18.2.3 |
| MITRE ATT&CK | Red Team | Avançado | A.5.7 · A.12.6 |
| TIBER-EU | Financeiro | Regulatório | A.5.7 · A.16.1 |
PTES · Penetration Testing Execution Standard¶
Padrão mais adotado globalmente para testes de intrusão. Define 7 fases com entregáveis específicos, metodologia técnica e ética profissional.
Fases: Pre-Engagement → Intelligence Gathering → Threat Modeling → Vulnerability Analysis → Exploitation → Post-Exploitation → Reporting
Mapeamento ISO 27001: A.8.8 · A.12.6 · A.18.2.3 · pentest-standard.org
OWASP Testing Guide v4.2¶
Guia definitivo para testes de segurança em aplicações web. 11 categorias, 80+ testes documentados com casos de teste específicos.
Fases: Information Gathering → Configuration & Deployment → Identity Management → Authentication → Authorization → Session Management → Input Validation → Error Handling → Cryptography → Business Logic → Client-Side
Mapeamento ISO 27001: A.14.2 · A.14.3 · A.12.6 · owasp.org/www-project-web-security-testing-guide
OSSTMM · Open Source Security Testing Methodology Manual¶
Metodologia científica para testes de segurança. Introduz o RAV (Risk Assessment Value) — métrica quantitativa de segurança. Cobre segurança física, wireless, telecomunicações e redes.
Fases: Scope Definition → Channel Identification → Index → Trust Mapping → Target Analysis → Security Test → Results Analysis → Reporting
Mapeamento ISO 27001: A.18.2 · A.5.29 · A.12.7 · isecom.org/OSSTMM.3.pdf
NIST SP 800-115 · Technical Guide to Information Security Testing¶
Guia técnico do NIST para testes de segurança em sistemas de informação do governo americano. Adotado globalmente para compliance SOC2, FedRAMP e FISMA.
Fases: Planning → Discovery → Attack → Reporting
Mapeamento ISO 27001: A.12.7 · A.18.2.3 · A.5.36 · csrc.nist.gov/publications/detail/sp/800-115/final
MITRE ATT&CK · Adversarial Tactics, Techniques & Common Knowledge¶
Base de conhecimento de táticas e técnicas de adversários reais. 14 táticas, 200+ técnicas, 400+ sub-técnicas. Usado para Red Team avançado e threat intelligence.
Fases (táticas): Reconnaissance → Resource Development → Initial Access → Execution → Persistence → Privilege Escalation → Defense Evasion → Credential Access → Discovery → Lateral Movement → Collection → C2 → Exfiltration → Impact
Mapeamento ISO 27001: A.5.7 · A.12.6 · A.16.1 · attack.mitre.org
TIBER-EU · Threat Intelligence-Based Ethical Red Teaming¶
Framework europeu para simulações de ameaças avançadas no setor financeiro. Criado pelo Banco Central Europeu. Exige Threat Intelligence real e Red Team externo certificado.
Fases: Preparation → Threat Intelligence → Red Team Test → Closure & Remediation
Mapeamento ISO 27001: A.5.7 · A.8.8 · A.16.1 · A.18.2 · ecb.europa.eu/pub/pdf/other/ecb.tiber_eu_framework.en.pdf
Qual framework usar?¶
- Teste geral de infraestrutura ou aplicação → PTES (universal, cobre todo o ciclo)
- Foco em aplicação web → combine PTES com OWASP Testing Guide
- Auditoria científica/quantitativa, incluindo físico → OSSTMM (métrica RAV)
- Cliente governamental ou compliance FedRAMP/SOC2 → NIST SP 800-115
- Red Team avançado / simulação de adversário real → MITRE ATT&CK como taxonomia de técnicas
- Setor financeiro regulado na União Europeia → TIBER-EU