วิธีการประเมิน

ในช่วงไม่กี่ครั้งที่ผ่านมาองค์กรทั้งภาครัฐและเอกชนได้ให้ความสำคัญกับความปลอดภัยทางไซเบอร์เป็นสำคัญ อาชญากรไซเบอร์มักทำให้หน่วยงานของรัฐและเอกชนเป็นเป้าหมายโดยใช้เวกเตอร์โจมตีที่แตกต่างกัน เนื่องจากไม่มีนโยบายที่มีประสิทธิภาพมาตรฐานและความซับซ้อนของระบบข้อมูลอาชญากรไซเบอร์จึงมีเป้าหมายจำนวนมากและพวกเขาก็ประสบความสำเร็จในการใช้ประโยชน์จากระบบและขโมยข้อมูลด้วย

การทดสอบการเจาะเป็นกลยุทธ์หนึ่งที่สามารถใช้เพื่อลดความเสี่ยงของการโจมตีทางไซเบอร์ ความสำเร็จของการทดสอบการเจาะขึ้นอยู่กับวิธีการประเมินที่มีประสิทธิภาพและสม่ำเสมอ

เรามีวิธีการประเมินที่หลากหลายที่เกี่ยวข้องกับการทดสอบการเจาะ ประโยชน์ของการใช้ระเบียบวิธีคือช่วยให้ผู้ประเมินสามารถประเมินสภาพแวดล้อมได้อย่างสม่ำเสมอ ต่อไปนี้เป็นวิธีการที่สำคัญบางประการ -

  • คู่มือวิธีการทดสอบความปลอดภัยโอเพ่นซอร์ส (OSSTMM)

  • เปิดโครงการความปลอดภัยของเว็บแอปพลิเคชัน (OWASP)

  • สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST)

  • มาตรฐานการทดสอบการเจาะทะลุ (PTES)

PTES คืออะไร?

PTES ซึ่งเป็นมาตรฐานการดำเนินการทดสอบการเจาะเนื่องจากชื่อมีความหมายว่าเป็นวิธีการประเมินสำหรับการทดสอบการเจาะ ครอบคลุมทุกอย่างที่เกี่ยวข้องกับการทดสอบการเจาะ เรามีหลักเกณฑ์ทางเทคนิคจำนวนมากภายใน PTES ซึ่งเกี่ยวข้องกับสภาพแวดล้อมต่างๆที่ผู้ประเมินอาจพบ นี่เป็นข้อได้เปรียบที่ใหญ่ที่สุดของการใช้ PTES โดยผู้ประเมินใหม่เนื่องจากหลักเกณฑ์ทางเทคนิคมีคำแนะนำสำหรับการจัดการและประเมินสภาพแวดล้อมภายในเครื่องมือมาตรฐานอุตสาหกรรม

ในส่วนต่อไปนี้เราจะเรียนรู้เกี่ยวกับขั้นตอนต่างๆของ PTES

PTES เจ็ดขั้นตอน

มาตรฐานการดำเนินการทดสอบการเจาะ (PTES) ประกอบด้วยเจ็ดขั้นตอน ขั้นตอนเหล่านี้ครอบคลุมทุกอย่างที่เกี่ยวข้องกับการทดสอบการเจาะ - ตั้งแต่การสื่อสารเบื้องต้นและการให้เหตุผลเบื้องหลังการคุมขังผ่านขั้นตอนการรวบรวมข่าวกรองและขั้นตอนการสร้างแบบจำลองภัยคุกคามที่ผู้ทดสอบกำลังทำงานอยู่เบื้องหลัง สิ่งนี้นำไปสู่ความเข้าใจที่ดีขึ้นเกี่ยวกับองค์กรที่ผ่านการทดสอบผ่านการวิจัยช่องโหว่การแสวงหาประโยชน์และการโพสต์หาประโยชน์ ในที่นี้ความเชี่ยวชาญด้านความปลอดภัยทางเทคนิคของผู้ทดสอบจะรวมเข้ากับความเข้าใจทางธุรกิจเกี่ยวกับการมีส่วนร่วมและสุดท้ายคือการรายงานซึ่งรวบรวมกระบวนการทั้งหมดในลักษณะที่เหมาะสมกับลูกค้าและให้คุณค่าสูงสุด

เราจะเรียนรู้เกี่ยวกับ PTES เจ็ดขั้นตอนในส่วนต่อไปของเรา -

ขั้นตอนการโต้ตอบก่อนการมีส่วนร่วม

นี่เป็นขั้นตอนแรกและสำคัญมากของ PTES จุดมุ่งหมายหลักของขั้นตอนนี้คือการอธิบายเครื่องมือและเทคนิคที่มีอยู่ซึ่งช่วยในขั้นตอนก่อนการมีส่วนร่วมที่ประสบความสำเร็จของการทดสอบการเจาะ ความผิดพลาดใด ๆ ในขณะที่ใช้ขั้นตอนนี้อาจส่งผลกระทบอย่างมีนัยสำคัญต่อการประเมินที่เหลือ ขั้นตอนนี้ประกอบด้วยสิ่งต่อไปนี้ -

ขอรับการประเมิน

ส่วนแรกที่เริ่มขั้นตอนนี้คือการสร้างคำขอสำหรับการประเมินโดยองค์กร กRequest for Proposal (RFP) เอกสารที่มีรายละเอียดเกี่ยวกับสภาพแวดล้อมประเภทของการประเมินที่จำเป็นและความคาดหวังขององค์กรจัดให้แก่ผู้ประเมิน

การเสนอราคา

ตอนนี้ขึ้นอยู่กับ RFP เอกสาร บริษัท ประเมินหลายแห่งหรือ บริษัท รับผิด จำกัด (LLCs) แต่ละแห่งจะเสนอราคาและฝ่ายเสนอราคาที่ตรงกับงานที่ร้องขอราคาและพารามิเตอร์เฉพาะอื่น ๆ จะชนะ

การลงนามในจดหมายหมั้น (EL)

ตอนนี้องค์กรและฝ่ายที่ชนะการประมูลจะลงนามในสัญญาหมั้นจดหมาย (EL) ตัวอักษรจะมีstatement of work (SOW) และผลิตภัณฑ์ขั้นสุดท้าย

การกำหนดขอบเขตการประชุม

เมื่อลงนาม EL แล้วการปรับแต่งขอบเขตจะเริ่มขึ้น การประชุมดังกล่าวช่วยให้องค์กรและพรรคสามารถปรับขอบเขตเฉพาะได้ เป้าหมายหลักของการประชุมกำหนดขอบเขตคือเพื่อหารือเกี่ยวกับสิ่งที่จะทดสอบ

การจัดการการคืบของขอบเขต

Scope creep เป็นสิ่งที่ลูกค้าอาจพยายามเพิ่มหรือขยายระดับงานที่สัญญาไว้เพื่อให้ได้มากกว่าที่สัญญาว่าจะจ่ายให้ นั่นคือเหตุผลที่การปรับเปลี่ยนขอบเขตเดิมควรได้รับการพิจารณาอย่างรอบคอบเนื่องจากเวลาและทรัพยากร นอกจากนี้ยังต้องกรอกในรูปแบบเอกสารบางอย่างเช่นอีเมลเอกสารที่ลงนามหรือหนังสือมอบอำนาจเป็นต้น

แบบสอบถาม

ในระหว่างการสื่อสารเบื้องต้นกับลูกค้ามีคำถามมากมายที่ลูกค้าจะต้องตอบเพื่อการประมาณขอบเขตการมีส่วนร่วมที่เหมาะสม คำถามเหล่านี้ได้รับการออกแบบมาเพื่อให้ความเข้าใจที่ดีขึ้นเกี่ยวกับสิ่งที่ลูกค้าต้องการได้รับจากการทดสอบการเจาะ เหตุใดลูกค้าจึงต้องการทดสอบการเจาะกับสภาพแวดล้อม และไม่ว่าพวกเขาต้องการการทดสอบบางประเภทในระหว่างการทดสอบการเจาะหรือไม่

วิธีดำเนินการทดสอบ

ส่วนสุดท้ายของขั้นตอนก่อนการมีส่วนร่วมคือการตัดสินใจขั้นตอนในการดำเนินการทดสอบ มีกลยุทธ์การทดสอบต่างๆเช่น White Box, Black Box, Grey Box, Double-blind testing ให้เลือก

ต่อไปนี้เป็นตัวอย่างบางส่วนของการประเมินที่อาจร้องขอ -

  • การทดสอบการเจาะเครือข่าย
  • การทดสอบการเจาะโปรแกรมบนเว็บ
  • การทดสอบการเจาะเครือข่ายไร้สาย
  • การทดสอบการเจาะทางกายภาพ
  • วิศวกรรมสังคม
  • Phishing
  • Voice Over Internet Protocol (VOIP)
  • เครือข่ายภายใน
  • เครือข่ายภายนอก

ขั้นตอนการรวบรวมข่าวกรอง

การรวบรวมข่าวกรองซึ่งเป็นขั้นตอนที่สองของ PTES คือที่ที่เราทำการสำรวจเบื้องต้นกับเป้าหมายเพื่อรวบรวมข้อมูลให้มากที่สุดเท่าที่จะเป็นไปได้เพื่อนำไปใช้เมื่อเจาะเข้าไปในเป้าหมายในระหว่างขั้นตอนการประเมินช่องโหว่และการแสวงหาประโยชน์ ช่วยองค์กรในการพิจารณาการเปิดรับภายนอกโดยทีมประเมิน เราสามารถแบ่งการรวบรวมข้อมูลออกเป็นสามระดับดังต่อไปนี้ -

การรวบรวมข้อมูลระดับ 1

เครื่องมืออัตโนมัติสามารถรับข้อมูลระดับนี้ได้เกือบทั้งหมด ความพยายามในการรวบรวมข้อมูลระดับ 1 ควรเหมาะสมเพื่อให้เป็นไปตามข้อกำหนด

การรวบรวมข้อมูลระดับ 2

ข้อมูลระดับนี้สามารถหาได้โดยใช้เครื่องมืออัตโนมัติจากระดับ 1 พร้อมกับการวิเคราะห์ด้วยตนเอง ระดับนี้ต้องการความเข้าใจที่ดีเกี่ยวกับธุรกิจรวมถึงข้อมูลเช่นสถานที่ตั้งทางกายภาพความสัมพันธ์ทางธุรกิจแผนผังองค์กรเป็นต้นความพยายามในการรวบรวมข้อมูลระดับ 2 ควรเหมาะสมเพื่อให้เป็นไปตามข้อกำหนดพร้อมกับความต้องการอื่น ๆ เช่นกลยุทธ์การรักษาความปลอดภัยในระยะยาว การหาผู้ผลิตรายย่อย ฯลฯ

การรวบรวมข้อมูลระดับ 3

การรวบรวมข้อมูลระดับนี้ใช้ในการทดสอบการเจาะขั้นสูงสุด ข้อมูลทั้งหมดจากระดับ 1 และระดับ 2 พร้อมกับการวิเคราะห์ด้วยตนเองจำนวนมากจำเป็นสำหรับการรวบรวมข้อมูลระดับ 3

ระยะการสร้างแบบจำลองภัยคุกคาม

นี่คือระยะที่สามของ PTES ต้องใช้วิธีการสร้างแบบจำลองภัยคุกคามเพื่อดำเนินการทดสอบการเจาะที่ถูกต้อง การสร้างแบบจำลองภัยคุกคามสามารถใช้เป็นส่วนหนึ่งของการทดสอบการเจาะหรืออาจต้องเผชิญกับปัจจัยหลายประการ ในกรณีที่เราใช้การสร้างแบบจำลองภัยคุกคามเป็นส่วนหนึ่งของการทดสอบการเจาะข้อมูลที่รวบรวมในระยะที่สองจะถูกย้อนกลับไปในขั้นตอนแรก

ขั้นตอนต่อไปนี้เป็นขั้นตอนการสร้างแบบจำลองภัยคุกคาม -

  • รวบรวมข้อมูลที่จำเป็นและเกี่ยวข้อง

  • ต้องระบุและจัดหมวดหมู่เนื้อหาหลักและรอง

  • จำเป็นต้องระบุและจัดหมวดหมู่ภัยคุกคามและชุมชนที่คุกคาม

  • ต้องทำแผนที่ชุมชนคุกคามกับทรัพย์สินหลักและรอง

ชุมชนและตัวแทนภัยคุกคาม

ตารางต่อไปนี้แสดงรายชื่อชุมชนและตัวแทนภัยคุกคามที่เกี่ยวข้องพร้อมกับตำแหน่งของพวกเขาในองค์กร -

สถานที่ ภายใน ภายนอก
Threat agents/communities พนักงาน คู่ค้าทางธุรกิจ
ผู้บริหาร ผู้รับเหมา
ผู้ดูแลระบบ (เครือข่ายระบบ) คู่แข่ง
วิศวกร ซัพพลายเออร์
ช่างเทคนิค รัฐชาติ
ชุมชนผู้ใช้ทั่วไป แฮกเกอร์

ขณะทำการประเมินแบบจำลองภัยคุกคามเราต้องจำไว้ว่าตำแหน่งของภัยคุกคามสามารถอยู่ภายในได้ ใช้อีเมลฟิชชิ่งเพียงอีเมลเดียวหรือพนักงานที่น่ารำคาญเพียงคนเดียวที่รักษาความปลอดภัยขององค์กรโดยการเผยแพร่ข้อมูลรับรอง

ระยะการวิเคราะห์ช่องโหว่

นี่เป็นขั้นตอนที่สี่ของ PTES ซึ่งผู้ประเมินจะระบุเป้าหมายที่เป็นไปได้สำหรับการทดสอบต่อไป ในสามขั้นตอนแรกของ PTES จะมีการแยกเฉพาะรายละเอียดเกี่ยวกับองค์กรและผู้ประเมินไม่ได้สัมผัสทรัพยากรใด ๆ สำหรับการทดสอบ เป็นช่วงที่ใช้เวลานานที่สุดของ PTES

ขั้นตอนต่อไปนี้เป็นการวิเคราะห์ช่องโหว่ -

การทดสอบช่องโหว่

อาจถูกกำหนดให้เป็นกระบวนการค้นหาข้อบกพร่องเช่นการกำหนดค่าผิดพลาดและการออกแบบแอปพลิเคชันที่ไม่ปลอดภัยในระบบและแอปพลิเคชันของโฮสต์และบริการ ผู้ทดสอบต้องกำหนดขอบเขตการทดสอบและผลลัพธ์ที่ต้องการอย่างเหมาะสมก่อนที่จะทำการวิเคราะห์ช่องโหว่ การทดสอบช่องโหว่สามารถเป็นประเภทต่อไปนี้ -

  • การทดสอบที่ใช้งานอยู่
  • การทดสอบแบบพาสซีฟ

เราจะพูดถึงรายละเอียดทั้งสองประเภทในส่วนต่อไปของเรา

การทดสอบที่ใช้งานอยู่

มันเกี่ยวข้องกับการโต้ตอบโดยตรงกับส่วนประกอบที่กำลังทดสอบช่องโหว่ด้านความปลอดภัย ส่วนประกอบสามารถอยู่ในระดับต่ำเช่นสแต็ก TCP บนอุปกรณ์เครือข่ายหรือในระดับสูงเช่นอินเทอร์เฟซบนเว็บ การทดสอบที่ใช้งานอยู่สามารถทำได้สองวิธีดังต่อไปนี้ -

การทดสอบที่ใช้งานอยู่โดยอัตโนมัติ

ใช้ซอฟต์แวร์เพื่อโต้ตอบกับเป้าหมายตรวจสอบการตอบสนองและพิจารณาจากการตอบสนองเหล่านี้ว่ามีช่องโหว่ในส่วนประกอบหรือไม่ ความสำคัญของการทดสอบแอ็คทีฟอัตโนมัติเมื่อเปรียบเทียบกับการทดสอบแอ็คทีฟด้วยตนเองสามารถรับรู้ได้จากข้อเท็จจริงที่ว่าหากมีพอร์ต TCP หลายพันพอร์ตในระบบและเราจำเป็นต้องเชื่อมต่อทั้งหมดด้วยตนเองเพื่อทำการทดสอบจะต้องใช้เวลามากพอสมควร อย่างไรก็ตามการใช้เครื่องมืออัตโนมัติสามารถลดเวลาและความต้องการแรงงานได้มาก การสแกนช่องโหว่ของเครือข่ายการสแกนพอร์ตการจับแบนเนอร์การสแกนเว็บแอปพลิเคชันสามารถทำได้ด้วยความช่วยเหลือของเครื่องมือทดสอบอัตโนมัติที่ใช้งานอยู่

การทดสอบที่ใช้งานด้วยตนเอง

การทดสอบประสิทธิภาพด้วยตนเองมีประสิทธิภาพมากกว่าเมื่อเปรียบเทียบกับการทดสอบอัตโนมัติที่ใช้งานอยู่ ขอบของข้อผิดพลาดมักเกิดขึ้นกับกระบวนการหรือเทคโนโลยีอัตโนมัติ นั่นคือเหตุผลที่แนะนำให้ดำเนินการเชื่อมต่อโดยตรงแบบแมนนวลกับแต่ละโปรโตคอลหรือบริการที่มีอยู่ในระบบเป้าหมายเพื่อตรวจสอบผลลัพธ์ของการทดสอบอัตโนมัติ

การทดสอบแบบพาสซีฟ

การทดสอบแบบพาสซีฟไม่เกี่ยวข้องกับการโต้ตอบโดยตรงกับส่วนประกอบ สามารถใช้งานได้ด้วยความช่วยเหลือของสองเทคนิคต่อไปนี้ -

การวิเคราะห์ข้อมูลเมตา

เทคนิคนี้เกี่ยวข้องกับการดูข้อมูลที่อธิบายไฟล์มากกว่าข้อมูลของไฟล์เอง ตัวอย่างเช่นไฟล์ MS word มีข้อมูลเมตาในรูปแบบของชื่อผู้แต่งชื่อ บริษัท วันที่และเวลาที่แก้ไขและบันทึกเอกสารครั้งล่าสุด จะมีปัญหาด้านความปลอดภัยหากผู้โจมตีสามารถเข้าถึงข้อมูลเมตาแบบพาสซีฟได้

การตรวจสอบการจราจร

อาจถูกกำหนดให้เป็นเทคนิคในการเชื่อมต่อกับเครือข่ายภายในและเก็บข้อมูลสำหรับการวิเคราะห์แบบออฟไลน์ ส่วนใหญ่จะใช้เพื่อจับภาพ“leaking of data” เข้าสู่เครือข่ายที่เปลี่ยน

การตรวจสอบ

หลังจากการทดสอบช่องโหว่การตรวจสอบความถูกต้องของสิ่งที่ค้นพบเป็นสิ่งที่จำเป็นมาก สามารถทำได้ด้วยความช่วยเหลือของเทคนิคต่อไปนี้ -

ความสัมพันธ์ระหว่างเครื่องมือ

หากผู้ประเมินทำการทดสอบช่องโหว่ด้วยเครื่องมืออัตโนมัติหลายตัวเพื่อตรวจสอบความถูกต้องของสิ่งที่ค้นพบจำเป็นอย่างยิ่งที่จะต้องมีความสัมพันธ์ระหว่างเครื่องมือเหล่านี้ การค้นพบอาจกลายเป็นเรื่องซับซ้อนหากไม่มีความสัมพันธ์ระหว่างเครื่องมือเช่นนี้ สามารถแบ่งออกเป็นความสัมพันธ์เฉพาะของรายการและความสัมพันธ์เชิงหมวดหมู่ของรายการ

การตรวจสอบเฉพาะโปรโตคอล

การตรวจสอบสามารถทำได้ด้วยความช่วยเหลือของโปรโตคอลด้วย สามารถใช้ VPN, Citrix, DNS, เว็บ, เซิร์ฟเวอร์อีเมลเพื่อตรวจสอบความถูกต้องของสิ่งที่ค้นพบ

การวิจัย

หลังจากการค้นหาและการตรวจสอบความถูกต้องของช่องโหว่ในระบบจำเป็นอย่างยิ่งที่จะต้องกำหนดความถูกต้องของการระบุปัญหาและการวิจัยความสามารถในการใช้ประโยชน์จากช่องโหว่ภายในขอบเขตของการทดสอบการเจาะ การวิจัยสามารถทำได้ทั้งแบบสาธารณะหรือแบบส่วนตัว ในขณะทำการวิจัยสาธารณะสามารถใช้ฐานข้อมูลช่องโหว่และคำแนะนำของผู้ขายเพื่อตรวจสอบความถูกต้องของปัญหาที่รายงานได้ ในทางกลับกันในขณะที่ทำการวิจัยส่วนตัวสามารถตั้งค่าสภาพแวดล้อมแบบจำลองและใช้เทคนิคต่างๆเช่นการกำหนดค่าฟัซซี่หรือการทดสอบเพื่อตรวจสอบความถูกต้องของปัญหาที่รายงาน

เฟสการแสวงหาผลประโยชน์

นี่เป็นระยะที่ห้าของ PTES ระยะนี้มุ่งเน้นไปที่การเข้าถึงระบบหรือทรัพยากรโดยข้ามข้อ จำกัด ด้านความปลอดภัย ในขั้นตอนนี้งานทั้งหมดที่ทำในขั้นตอนก่อนหน้าจะนำไปสู่การเข้าถึงระบบ มีคำศัพท์ทั่วไปดังต่อไปนี้ที่ใช้เพื่อเข้าถึงระบบ -

  • Popped
  • Shelled
  • Cracked
  • Exploited

การเข้าสู่ระบบในขั้นตอนการหาประโยชน์สามารถทำได้ด้วยความช่วยเหลือของรหัสการหาประโยชน์จากระยะไกลการสร้างช่องโหว่การข้ามโปรแกรมป้องกันไวรัสหรืออาจทำได้ง่ายเพียงแค่บันทึกผ่านข้อมูลประจำตัวที่อ่อนแอ หลังจากได้รับการเข้าถึงกล่าวคือหลังจากระบุจุดเข้าหลักแล้วผู้ประเมินจะต้องมุ่งเน้นไปที่การระบุสินทรัพย์เป้าหมายที่มีมูลค่าสูง หากขั้นตอนการวิเคราะห์ช่องโหว่เสร็จสมบูรณ์อย่างถูกต้องควรปฏิบัติตามรายการเป้าหมายที่มีมูลค่าสูง ท้ายที่สุดแล้วเวกเตอร์การโจมตีควรคำนึงถึงความน่าจะเป็นของความสำเร็จและผลกระทบสูงสุดต่อองค์กร

โพสต์เฟสหาประโยชน์

นี่คือระยะที่หกของ PTES ผู้ประเมินดำเนินกิจกรรมต่อไปนี้ในระยะนี้ -

การวิเคราะห์โครงสร้างพื้นฐาน

การวิเคราะห์โครงสร้างพื้นฐานทั้งหมดที่ใช้ในระหว่างการทดสอบการเจาะจะทำในขั้นตอนนี้ ตัวอย่างเช่นการวิเคราะห์การกำหนดค่าเครือข่ายหรือเครือข่ายสามารถทำได้ด้วยความช่วยเหลือของอินเทอร์เฟซการกำหนดเส้นทางเซิร์ฟเวอร์ DNS รายการ DNS ที่แคชพร็อกซีเซิร์ฟเวอร์เป็นต้น

การปล้นสะดม

อาจหมายถึงการได้รับข้อมูลจากโฮสต์เป้าหมาย ข้อมูลนี้เกี่ยวข้องกับเป้าหมายที่กำหนดไว้ในช่วงก่อนการประเมิน ข้อมูลนี้สามารถหาได้จากโปรแกรมที่ติดตั้งเซิร์ฟเวอร์เฉพาะเช่นเซิร์ฟเวอร์ฐานข้อมูลเครื่องพิมพ์ ฯลฯ ในระบบ

การกรองข้อมูล

ภายใต้กิจกรรมนี้ผู้ประเมินจะต้องทำแผนที่และทดสอบเส้นทางการกรองที่เป็นไปได้ทั้งหมดเพื่อให้สามารถควบคุมการวัดความแข็งแรงเช่นการตรวจจับและบล็อกข้อมูลที่ละเอียดอ่อนจากองค์กรได้

การสร้างความคงอยู่

กิจกรรมนี้รวมถึงการติดตั้งแบ็คดอร์ที่ต้องมีการพิสูจน์ตัวตนการรีบูตแบ็คดอร์เมื่อจำเป็นและการสร้างบัญชีสำรองที่มีรหัสผ่านที่ซับซ้อน

ทำความสะอาด

ตามชื่อที่แนะนำกระบวนการนี้ครอบคลุมข้อกำหนดในการทำความสะอาดระบบเมื่อการทดสอบการเจาะเสร็จสิ้น กิจกรรมนี้รวมถึงการกลับสู่การตั้งค่าระบบค่าดั้งเดิมพารามิเตอร์คอนฟิกูเรชันแอ็พพลิเคชันและการลบแบ็คดอร์ทั้งหมดที่ติดตั้งและบัญชีผู้ใช้ที่สร้างขึ้น

การรายงาน

นี่คือขั้นตอนสุดท้ายและสำคัญที่สุดของ PTES ที่นี่ลูกค้าจะจ่ายตามรายงานขั้นสุดท้ายหลังจากเสร็จสิ้นการทดสอบการเจาะ รายงานโดยทั่วไปเป็นภาพสะท้อนของการค้นพบที่ทำโดยผู้ประเมินเกี่ยวกับระบบ ต่อไปนี้เป็นส่วนสำคัญของรายงานที่ดี -

บทสรุปสำหรับผู้บริหาร

นี่คือรายงานที่สื่อสารให้ผู้อ่านทราบเกี่ยวกับเป้าหมายเฉพาะของการทดสอบการเจาะและข้อค้นพบระดับสูงของแบบฝึกหัดการทดสอบ กลุ่มเป้าหมายสามารถเป็นสมาชิกของคณะกรรมการที่ปรึกษาของหัวหน้าชุดได้

โครงเรื่อง

รายงานต้องมีโครงเรื่องซึ่งจะอธิบายถึงสิ่งที่ทำในระหว่างการมีส่วนร่วมการค้นพบด้านความปลอดภัยที่แท้จริงหรือจุดอ่อนและการควบคุมเชิงบวกที่องค์กรได้กำหนดขึ้น

หลักฐานแนวคิด / รายงานทางเทคนิค

การพิสูจน์แนวคิดหรือรายงานทางเทคนิคต้องประกอบด้วยรายละเอียดทางเทคนิคของการทดสอบและแง่มุม / ส่วนประกอบทั้งหมดที่ตกลงกันเป็นตัวชี้วัดความสำเร็จที่สำคัญในแบบฝึกหัดก่อนการมีส่วนร่วม ส่วนรายงานทางเทคนิคจะอธิบายรายละเอียดขอบเขตข้อมูลเส้นทางการโจมตีผลกระทบและคำแนะนำในการแก้ไขของการทดสอบ