Тестирование на проникновение - Написание отчетов

Необязательно, чтобы опытный тестировщик на проникновение мог написать хороший отчет, так как написание отчета о тестировании на проникновение - это искусство, которое нужно изучать отдельно.

Что такое написание отчетов?

При тестировании на проникновение написание отчета - это комплексная задача, которая включает в себя методологию, процедуры, надлежащее объяснение содержания и дизайна отчета, подробный пример отчета о тестировании и личный опыт тестировщика. После того, как отчет подготовлен, он передается высшему руководству и технической группе целевых организаций. Если в будущем возникнет такая необходимость, этот отчет используется в качестве справочного материала.

Этапы написания отчета

Из-за обширной письменной работы, написание отчета о проникновении подразделяется на следующие этапы:

  • Планирование отчетов
  • Сбор информации
  • Написание первого черновика
  • Обзор и доработка

Планирование отчетов

Планирование отчета начинается с целей, которые помогают читателям понять основные моменты тестирования на проникновение. В этой части описывается, почему проводится тестирование, каковы преимущества тестирования на проникновение и т. Д. Во-вторых, планирование отчета также включает время, затраченное на тестирование.

Основные элементы написания отчета:

  • Objectives - В нем описывается общая цель и преимущества проверки на проникновение.

  • Time- Время очень важно, так как оно дает точный статус системы. Предположим, что если что-то не так случится позже, этот отчет спасет тестировщика, так как отчет проиллюстрирует риски и уязвимости в области тестирования на проникновение в течение определенного периода времени.

  • Target Audience - Отчет о тестировании на проникновение также должен включать целевую аудиторию, такую ​​как менеджер по информационной безопасности, менеджер по информационным технологиям, главный специалист по информационной безопасности и техническая группа.

  • Report Classification- Поскольку IP-адреса серверов, информация о приложениях, уязвимости, угрозы являются строго конфиденциальными, их необходимо правильно классифицировать. Однако эта классификация должна выполняться на основе целевой организации, у которой есть политика классификации информации.

  • Report Distribution- Количество копий и распространение отчета следует указать в объеме работ. Также необходимо упомянуть, что печатными копиями можно управлять, распечатав ограниченное количество копий с указанием их номера и имени получателя.

Сбор информации

Из-за сложных и длительных процессов тестировщик проникновения обязан упоминать каждый шаг, чтобы убедиться, что он собрал всю информацию на всех этапах тестирования. Наряду с методами ему также необходимо упомянуть о системах и инструментах, результатах сканирования, оценках уязвимостей, деталях своих выводов и т. Д.

Написание первого черновика

Когда-то у тестировщика есть все инструменты и информация, теперь ему нужно запустить первый черновик. В первую очередь, ему нужно подробно написать первый черновик - упомянуть все, то есть все действия, процессы и опыт.

Обзор и доработка

После того, как отчет составлен, он должен быть рассмотрен сначала самим составителем, а затем его руководителями или коллегами, которые могли ему помочь. Ожидается, что во время проверки рецензент проверит каждую деталь отчета и найдет любые недостатки, которые необходимо исправить.

Содержание отчета о тестировании на проникновение

Ниже приводится типичное содержание отчета о тестировании на проникновение.

Управляющее резюме

  • Объем работ
  • Цели проекта
  • Assumption
  • Timeline
  • Резюме выводов
  • Резюме рекомендации

Методология

  • Planning
  • Exploitation
  • Reporting

Подробные выводы

  • Подробная информация о системах
  • Информация о сервере Windows

Рекомендации

  • Appendix