Penetration Testing - Penulisan Laporan

Tidak perlu seorang penguji penetrasi yang berpengalaman dapat menulis laporan yang baik, karena menulis laporan pengujian penetrasi adalah seni yang perlu dipelajari secara terpisah.

Apa itu Penulisan Laporan?

Dalam pengujian penetrasi, penulisan laporan merupakan tugas komprehensif yang mencakup metodologi, prosedur, penjelasan yang tepat tentang konten dan desain laporan, contoh laporan pengujian secara rinci, dan pengalaman pribadi penguji. Setelah laporan disiapkan, laporan tersebut akan dibagikan kepada staf manajemen senior dan tim teknis organisasi sasaran. Jika ada kebutuhan semacam itu di kemudian hari, laporan ini digunakan sebagai referensi.

Tahapan Penulisan Laporan

Karena pekerjaan penulisan komprehensif yang terlibat, penulisan laporan penetrasi diklasifikasikan ke dalam tahapan berikut -

  • Laporan Perencanaan
  • Pengumpulan Informasi
  • Menulis Draf Pertama
  • Review dan Finalisasi

Laporan Perencanaan

Perencanaan laporan dimulai dengan tujuan, yang membantu pembaca untuk memahami poin utama dari pengujian penetrasi. Bagian ini menjelaskan mengapa pengujian dilakukan, apa manfaat dari pengujian pena, dll. Kedua, perencanaan laporan juga mencakup waktu yang dibutuhkan untuk pengujian.

Elemen utama penulisan laporan adalah -

  • Objectives - Ini menjelaskan tujuan dan manfaat keseluruhan dari pengujian pena.

  • Time- Pencantuman waktu sangat penting, karena memberikan status akurat dari sistem. Misalkan, jika terjadi kesalahan kemudian, laporan ini akan menyelamatkan penguji, karena laporan tersebut akan menggambarkan risiko dan kerentanan dalam lingkup pengujian penetrasi selama periode waktu tertentu.

  • Target Audience - Laporan pengujian pena juga perlu menyertakan audiens target, seperti manajer keamanan informasi, manajer teknologi informasi, kepala petugas keamanan informasi, dan tim teknis.

  • Report Classification- Karena sangat rahasia yang membawa alamat IP server, informasi aplikasi, kerentanan, ancaman, itu perlu diklasifikasikan dengan benar. Namun klasifikasi ini perlu dilakukan atas dasar organisasi sasaran yang memiliki kebijakan klasifikasi informasi.

  • Report Distribution- Jumlah salinan dan distribusi laporan harus disebutkan dalam ruang lingkup pekerjaan. Perlu juga disebutkan bahwa hardcopy dapat dikontrol dengan mencetak sejumlah salinan yang dilampirkan dengan nomornya dan nama penerima.

Pengumpulan Informasi

Karena proses yang rumit dan panjang, penguji pena harus menyebutkan setiap langkah untuk memastikan bahwa dia mengumpulkan semua informasi di semua tahap pengujian. Selain metodenya, dia juga perlu menyebutkan tentang sistem dan alat, hasil pemindaian, penilaian kerentanan, detail temuannya, dll.

Menulis Draf Pertama

Setelah, penguji siap dengan semua alat dan informasi, sekarang dia perlu memulai draf pertama. Pada dasarnya, dia perlu menulis draf pertama secara rinci - menyebutkan segala sesuatu, yaitu semua aktivitas, proses, dan pengalaman.

Review dan Finalisasi

Setelah laporan dibuat, laporan tersebut harus direview terlebih dahulu oleh drafter sendiri dan kemudian oleh senior atau rekannya yang mungkin telah membantunya. Saat mereview, reviewer diharapkan dapat memeriksa setiap detail laporan dan menemukan kekurangan yang perlu diperbaiki.

Isi Laporan Pengujian Penetrasi

Berikut ini adalah konten khas dari laporan pengujian penetrasi -

Ringkasan bisnis plan

  • Lingkup pekerjaan
  • Tujuan proyek
  • Assumption
  • Timeline
  • Ringkasan temuan
  • Ringkasan rekomendasi

Metodologi

  • Planning
  • Exploitation
  • Reporting

Temuan Detail

  • Informasi sistem terperinci
  • Informasi server Windows

Referensi

  • Appendix