ペンテストのフェーズ/ステージ/方法が異なるのはなぜですか？

あなたが持っているコレクションを批判的に見てみましょう：

1. WikiリストはCybraryの記事からのものです。これは基本的には1人の著者の意見であり、より一般的なアドバイスとの比較に含める必要があるかどうかはわかりません。 「アクセスの維持」と「トラックのカバー」は、ターゲットの検出機能に対して特定のテストを行わない限り、奇妙なステップです。システムにバックドアを導入したくない（忘れられる可能性がある）ため、「アクセスの維持」はペンテスト契約では禁止されていることがよくあります。
2. Imperviaリストは、「アクセスの維持」（APTの模倣）を含む点で、他のリストと異なります。これもまた、ステップの一般的なフレームワークに含めるべきではない非常に具体的なテストです。

共通の手順を一緒に実行し、非常に具体的な手順を排除すると、次のようになります。

1. [契約前のやり取り]
2. （計画と）偵察/情報収集
3. 走査
   1. 【脅威モデリング】
   2. 【脆弱性分析】
4. アクセス/搾取
5. 搾取後
6. 分析/レポート
7. [クリーンアップと修正]
8. [再テスト]

[]アイテムはオーバーヘッドと管理アイテムであり、ペンテスト自体に関するものではありません。

脅威のモデリングと脆弱性分析のステップは、「アクセスの獲得/悪用」の一般的なステップを可能にする明示的なステップです。これらの2つの手順を説明する必要はありませんが、ペンテストを実行していない場合は、これらの手順を強調することをお勧めします。

したがって、見つけたステップのコレクションが互いに非常に異なっている、またはある種の一般的な標準化されたリストが必要であるということではありません。それはすべて、ペンテストの目標とコンテキスト、および最初にステップのリストが必要な理由によって異なります。

cyber kill-chainと同様に、さまざまな組織からさまざまな反復が行われます。最も目立つのはロッキードマーティンがkill-chainを引き受けることです。

フレームワークを公開し、これらの参照の標準化を処理する「統治体」はありません。 （サイバーキルチェーン、テストフェーズ/サイクル）

既知のサイバーセキュリティフレームワークと標準のいくつかの例、

• NIST
• ISO/IEC
• IASME

ペンテストの「サイクル」を何度か繰り返したところ、すばらしいですね。これに基づいて、組織間でどれほど似ているか、どの程度異なるかを確認できました。

それは他の会社の手にあります

• 準拠する標準、モデル、サイクルに焦点を当てる
• 自社にとって何が最良かを判断するのは彼ら次第です
• 関連性を保ち、必要に応じてアプローチ/モデルを更新することが重要です。

ペンテスティングへの取り組みは非常に「本ごと」であり、この本は実務家の手に渡ることを理解する必要があります。私の本、私の方法は他のものと異なる場合があります！

短い答え：ペンテスト段階はガイドラインを意味します。厳密に適用する必要はありません。ペンテストの各演習は固有であり、攻撃をターゲットに合わせることが期待されます。ただし、首尾一貫したアプローチ（およびチェックリスト）を使用することをお勧めします。

• 実際には、あなたが提示したさまざまなモデル（興味深い比較BTW）はすべて非常に似ていますが、同じプロセスを説明するために異なる単語を使用することがあります
• 全体のプロセスについて全員が同意しているため、何らかの基準があるようです
• もちろん、標準から逸脱することもできますが、それには十分な理由があります。
• ステージ間にいくつかの重複があります
• 一部のベンダーはロードマップにプレエンゲージメントインタラクションを含めましたが、「テクニカル」タスクではなかったため、ロードマップの範囲外であると判断したベンダーもいます。ただし、言うまでもなく、クライアントと調整し、アクセス許可を保護し、テストの範囲を定義する必要があります。表示されているモデルは完全な操作手順ではなく、状況に合わせて調整する必要がある一般的なガイドラインです。

万能の監査はありません。監査ICSまたは組み込み機器は、監査のWebサーバーやモバイルデバイスとは異なるため、手順と手順は異なります。

実際、あなたがプロのペンテスター/ペンテスティング企業である場合、私は実際にあなたがあなた自身のモデルを思いつくことを期待します。これは明らかに既存のものとかなり似ているはずです。一貫したロードマップを持つことは重要です。