OWASP опубликовала Autonomous Penetration Testing Standard — APTS, первый профильный стандарт управления автономными платформами для пентестов. Задача документа: описать, как такие системы должны соблюдать ограничения, когда останавливаться при возникновении рисков и передавать решения человеку, как вести журнал действий и чем подтверждать, что они не вышли за согласованный периметр.
Читайте также:
OWASP ZAP получил PTK-дополнение для Firefox
OWASP APTS вышел в версии 0.1.0 в апреле 2026 года. Стандарт опубликован под лицензией CC BY-SA 4.0 и содержит 173 обязательных требования по трём уровням соответствия, сгруппированных в восемь доменов. В приложении есть ещё 18 рекомендательных практик для повышенной уверенности.
APTS — это стандарт управления, а не методика тестирования. Он нужен для платформ, которые сами выбирают цели, тактику или шаги эксплуатации уязвимостей и работают против продакшн- или близких к продакшну сред. В зону действия попадают SaaS-платформы, локальные инструменты, внутренние корпоративные системы и оркестраторы безопасности с автономным тестирующим слоем. Ручной пентест, обычные SAST/DAST-сканеры, bug bounty и классические red team-учения в эту категорию не входят.
Автономный пентест-инструмент может строить цепочку атаки, менять маршрут, проверять эксплуатацию, собирать доказательства и принимать решения без команд оператора. Это быстрее, но опаснее. Ошибка в границах теста может привести к изменению данных, нагрузке на продакшн или утечке чувствительной информации.
APTS закрывает этот риск. Первый домен — принудительное соблюдение области работ. В требованиях есть проверка правил тестирования до старта, валидация IP-диапазонов и доменов, учёт временных окон, классификация критичных активов, проверка границ перед каждым сетевым действием, запрет тестирования запрещённых систем и защита производственных баз данных от изменений.
Стандарт также описывает домены Safety Controls & Impact Management, Human Oversight & Intervention, Graduated Autonomy Levels, Auditability & Reproducibility, Manipulation Resistance, Third-Party & Supply Chain Trust и Reporting. То есть, автономный инструмент должен иметь возможность быстрой остановки, понятные уровни автономности, проверяемые логи, защиту от манипуляций входными данными, контроль цепочки поставки и отчёты, которые можно воспроизвести и проверить.
OWASP указывает три аудитории: операторов платформ, заказчиков и специалистов, которые оценивают такие системы. Заказчику стандарт помогает понять, когда и каким образом системе запрещен выход за периметр на уровне каждого действия и что произойдёт в неоднозначной ситуации, кто утверждает потенциально опасные действия, как выглядит журнал решений модели и можно ли воспроизвести результат.
APTS также связывает автономные пентесты с уже существующими рамками. В приложениях есть сопоставление требований с NIST CSF 2.0, ISO 27001:2022, NIST AI RMF, SOC 2, PCI DSS и GDPR. Это важно для компаний, где покупка ИБ-инструмента проходит через комплаенс, риск-менеджмент и юристов, а не только через команду AppSec.
Существующие методики при этом никуда не исчезают. PTES по-прежнему описывает этапы пентеста: подготовку, сбор информации, моделирование угроз, анализ уязвимостей, эксплуатацию, постэксплуатацию и отчётность. OWASP WSTG остаётся практическим руководством по тестированию веб-приложений и сервисов. OSSTMM даёт методологию операционного измерения безопасности. APTS становится поверх этого слоя и отвечает на новый вопрос: как управлять системой, которая автономно принимает часть решений во время тестирования.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
