침투 테스트-보고서 작성
침투 테스트 보고서를 작성하는 것은 개별적으로 배워야하는 기술이므로 숙련 된 침투 테스터가 좋은 보고서를 작성할 필요는 없습니다.
보고서 작성이란 무엇입니까?
침투 테스트에서 보고서 작성은 방법론, 절차, 보고서 내용 및 디자인에 대한 적절한 설명, 테스트 보고서의 자세한 예 및 테스터의 개인적인 경험을 포함하는 포괄적 인 작업입니다. 보고서가 준비되면 고위 경영진과 대상 조직의 기술 팀간에 공유됩니다. 향후 이러한 요구가 발생할 경우이 보고서를 참고 자료로 활용합니다.
보고서 작성 단계
포괄적 인 작문 작업으로 인해 침투 보고서 작성은 다음 단계로 분류됩니다.
- 보고서 계획
- 정보 수집
- 초안 작성
- 검토 및 마무리
보고서 계획
보고서 계획은 독자가 침투 테스트의 요점을 이해하는 데 도움이되는 목표에서 시작됩니다. 이 부분에서는 테스트가 수행되는 이유, 펜 테스트의 이점 등을 설명합니다. 둘째, 보고서 계획에는 테스트에 소요 된 시간도 포함됩니다.
보고서 작성의 주요 요소는 다음과 같습니다.
Objectives − 펜 테스트의 전반적인 목적과 이점을 설명합니다.
Time− 시간 포함은 시스템의 정확한 상태를 제공하므로 매우 중요합니다. 나중에 문제가 발생하면이 보고서가 특정 기간 동안 침투 테스트 범위의 위험과 취약성을 설명하므로 테스터를 구할 수 있다고 가정합니다.
Target Audience − 펜 테스트 보고서에는 정보 보안 관리자, 정보 기술 관리자, 최고 정보 보안 책임자 및 기술 팀과 같은 대상 독자도 포함되어야합니다.
Report Classification− 서버 IP 주소, 애플리케이션 정보, 취약성, 위협을 전달하는 것은 극비이기 때문에 적절하게 분류해야합니다. 그러나 이러한 분류는 정보 분류 정책을 가지고있는 대상 조직을 기준으로해야합니다.
Report Distribution− 작업 범위에 사본 수 및 보고서 배포를 명시해야합니다. 또한 하드 카피는 번호와 수신자 이름이 첨부 된 제한된 수의 사본을 인쇄하여 제어 할 수 있음을 언급해야합니다.
정보 수집
복잡하고 긴 프로세스 때문에 펜 테스터는 테스트의 모든 단계에서 모든 정보를 수집했는지 확인하기 위해 모든 단계를 언급해야합니다. 방법과 함께 그는 또한 시스템 및 도구, 스캔 결과, 취약성 평가, 발견 한 세부 사항 등에 대해 언급해야합니다.
초안 작성
테스터는 모든 도구와 정보를 사용할 준비가되었으므로 이제 첫 번째 초안을 시작해야합니다. 주로 그는 모든 활동, 프로세스 및 경험과 같은 모든 것을 언급하는 세부 사항에 첫 번째 초안을 작성해야합니다.
검토 및 마무리
보고서 초안이 작성되면 먼저 초안 작성자 자신이 검토 한 다음 그를 도왔을 수있는 선배 나 동료가 검토해야합니다. 검토하는 동안 검토자는 보고서의 모든 세부 사항을 확인하고 수정해야하는 결함을 찾아야합니다.
침투 테스트 보고서의 내용
다음은 침투 테스트 보고서의 일반적인 내용입니다.
요약
방법론
세부 결과
참고 문헌
|