Testy penetracyjne - pisanie raportów

Nie jest konieczne, aby doświadczony tester penetracji mógł napisać dobry raport, ponieważ pisanie raportu z testów penetracyjnych jest sztuką, której trzeba się nauczyć osobno.

Co to jest pisanie raportów?

W testach penetracyjnych pisanie raportów jest kompleksowym zadaniem, które obejmuje metodologię, procedury, właściwe wyjaśnienie treści i projektu raportu, szczegółowy przykład raportu z testów oraz osobiste doświadczenie testera. Po przygotowaniu raportu jest on udostępniany kadrze kierowniczej wyższego szczebla i zespołowi technicznemu organizacji docelowych. Jeśli w przyszłości pojawi się taka potrzeba, niniejszy raport służy jako punkt odniesienia.

Etapy pisania raportów

Ze względu na kompleksową pracę związaną z pisaniem, pisanie raportu penetracyjnego jest podzielone na następujące etapy:

  • Planowanie raportów
  • Zbieranie informacji
  • Pisanie pierwszego szkicu
  • Przegląd i finalizacja

Planowanie raportów

Planowanie raportów rozpoczyna się od celów, które pomagają czytelnikom zrozumieć główne punkty testów penetracyjnych. W tej części opisano, dlaczego przeprowadzane są testy, jakie są korzyści płynące z testów za pomocą pióra itp. Po drugie, planowanie raportów obejmuje również czas poświęcony na testowanie.

Główne elementy pisania raportów to -

  • Objectives - Opisuje ogólny cel i korzyści płynące z testów piórkowych.

  • Time- Uwzględnienie czasu jest bardzo ważne, ponieważ daje dokładny stan systemu. Załóżmy, że jeśli później wydarzy się coś złego, ten raport uratuje testera, ponieważ raport zilustruje ryzyka i luki w zakresie testów penetracyjnych w określonym czasie.

  • Target Audience - Raport z testów pióra musi również obejmować docelowych odbiorców, takich jak kierownik ds. Bezpieczeństwa informacji, kierownik ds. Technologii informatycznych, dyrektor ds. Bezpieczeństwa informacji i zespół techniczny.

  • Report Classification- Ponieważ są wysoce poufne, które zawierają adresy IP serwerów, informacje o aplikacji, podatności, zagrożenia, należy je odpowiednio sklasyfikować. Jednak tej klasyfikacji należy dokonać na podstawie organizacji docelowej, która ma politykę klasyfikacji informacji.

  • Report Distribution- W zakresie pracy należy podać liczbę egzemplarzy i rozpowszechnianie raportu. Należy również wspomnieć, że wydruki można kontrolować, drukując ograniczoną liczbę kopii wraz z ich numerem i nazwą odbiorcy.

Zbieranie informacji

Ze względu na skomplikowane i długotrwałe procesy, tester piórkowy musi wspomnieć o każdym kroku, aby upewnić się, że zebrał wszystkie informacje na wszystkich etapach testowania. Oprócz metod powinien również wspomnieć o systemach i narzędziach, wynikach skanowania, ocenie podatności, szczegółach swoich ustaleń itp.

Pisanie pierwszego szkicu

Kiedyś tester jest gotowy ze wszystkimi narzędziami i informacjami, teraz musi rozpocząć pierwszą wersję roboczą. Przede wszystkim musi napisać pierwszy szkic w szczegółach - wspominając o wszystkim, tj. O wszystkich działaniach, procesach i doświadczeniach.

Przegląd i finalizacja

Po sporządzeniu raportu musi najpierw zostać przejrzany przez samego autora, a następnie przez jego seniorów lub współpracowników, którzy mogli mu pomagać. Podczas przeglądu od recenzenta oczekuje się sprawdzenia każdego szczegółu raportu i znalezienia wszelkich usterek, które należy poprawić.

Treść raportu z testów penetracyjnych

Poniżej znajduje się typowa treść raportu z testów penetracyjnych -

Streszczenie dla kierownictwa

  • Zakres prac
  • Cele projektu
  • Assumption
  • Timeline
  • Podsumowanie ustaleń
  • Podsumowanie rekomendacji

Metodologia

  • Planning
  • Exploitation
  • Reporting

Szczegółowe ustalenia

  • Szczegółowe informacje o systemach
  • Informacje o serwerze Windows

Bibliografia

  • Appendix