Отчет по пентесту: краткое руководство и шаблон

Во вчерашней статье мы подробно разобрали методологию комплексного тестирования защищенности и соответствующий инструментарий этичного хакера ^[1]. Даже если мы с вами в совершенстве овладеем методикой взлома и проведем тестирование на самом высоком уровне, но не сможем грамотно представить результаты заказчику, то проект будет «так себе». Как написать грамотный отчет по тестированию защищенности – об этом мы и поговорим сегодня.

Читатели

Прежде чем браться за написание любого отчета нам нужно самим себе задать следующие два важных вопроса:

• Кто будет читать отчет?
• Что читатели ждут от данного документа?

В случае отчета по тестированию защищенности в качестве читателей выступают:

• Генеральный директор;
• Руководитель департамента информационной безопасности;
• Руководитель департамента информационных технологий.

Генеральный директор оплачивает наши услуги по тестированию защищенности и ожидает увидеть в отчете основные результаты: можно ли проникнуть в сеть его компании и какую информацию можно таким образом получить.

Руководителю департамента информационной безопасности интересны все аспекты проведенного тестирования защищенности:

• Какие уязвимости и в каких системах были обнаружены?
• Сможет ли потенциальный злоумышленник их использовать?
• К какой информации возможен доступ?
• Какие инструменты взлома использовались?
• Что необходимо делать для закрытия уязвимостей?

Руководителю департамента информационных технологий интересно, что его людям придется сделать для закрытия обнаруженных уязвимостей и не повлияет ли это на работоспособность информационных систем.

Писатели

Разобравшись с потребностями читателей нашего отчета, давайте подумаем и о наших собственных.

Специалистам по тестированию защищенности в отчете необходимо продемонстрировать что:

• работы были выполнены в полном объеме в соответствии с договоренностями с заказчиком;
• свидетельства проведенного тестирования защищенности достаточны для подтверждения сделанных заключений.

Теперь мы можем разработать соответствующую структуру отчета.

Для вашего удобства выкладываем шаблон отчета ^[2], который мы используем уже несколько лет на наших курсах по этичному хакингу ^[3] и структура которого соответствует описываемой ниже.

Структура отчета по тестированию защищенности

Разберем ключевые элементы отчета по тестированию защищенности.

Раздел «Резюме для руководства»

Раздел на одну, максимум, две страницы в котором пишем, что и зачем мы делали, описываем основные результаты и выводы, приводим ключевые рекомендации. Технические термины стараемся не использовать, так как читатели – высшее руководство, которое не всегда обладает хорошими познаниями в области ИТ/ИБ.

Раздел «Границы проекта»

В данном разделе мы описываем, какие виды тестирования проводились и относительно каких информационных ресурсов. Детализация должна быть такая, чтобы читатели понимали, что вошло в проект, а что осталось за его рамками. При необходимости можем указывать адреса офисов и даже имена людей, задействованных в проекте со стороны заказчика.

Раздел «Наш подход»

Некоторые специалисты по этичному хакингу не любят описывать свой подход, ссылаясь на свои ноу-хау. Мы же рекомендуем придерживаться прозрачности в отношениях с заказчиками и описать хотя бы основные шаги тестирования в соответствии с принятой методологией тестирования защищенности.

Полезным будет и сопоставление этапов тестирования защищенности с выявленными уязвимостями.

Одним из важных моментов в ходе проведения тестирования защищенности является оценка рисков, связанных с возможной эксплуатацией уязвимостей. Если мы не руководствуемся методикой заказчика, а используем некую свою схему оценки, то ее лучше также здесь описать.

Описание выявленных уязвимостей

Основной объем отчета о тестировании защищенности составят описания обнаруженных уязвимостей. Для аудиторских отчетов, а отчет о тестировании защищенности без сомнения относится к данной категории, классической является следующая структура представления информации: наблюдение(finding) – риск – рекомендация.

В подразделе «наблюдение» описывается, какая уязвимость была обнаружена, в какой системе, приводится демонстрация возможности ее эксплуатации с соответствующими скриншотами. Иногда заказчики настаивают на передаче им логов проведенных тестов, в этом случае целесообразно указать использованный инструментарий и дать ссылку на соответствующий файл (как правило, передается заказчику только в электронном виде).

В подразделе «риск» дается описание ситуации, которая может произойти в случае использования потенциальными злоумышленниками данной уязвимости. Для правильной оценки специалистам по тестированию необходимо выяснить критичность скомпрометированного ресурса.

В подразделе «рекомендации» эксперты по тестированию защищенности дают советы, как исправить ситуацию. При этом совет, как правило, состоит из двух частей: необходимой коррекции и необходимого корректирующего действия. Коррекция – это то, что нужно сделать прямо сейчас (например, изменить пароль), корректирующее действие – это то, что нужно сделать в принципе для устранения причины выявленной проблемы (например, внедрить парольную политику, обучить пользователей и т.п.).

Вместо заключения

Мы кратко рассмотрели структуру отчета, которая, конечно, помогает разрабатывать документ, но любому составителю отчетов нужно еще освоить навык структурирования информации.

Одним из самых лучших учебников по этой теме является книга Барбары Минто «Принцип пирамиды Минто. Золотые правила мышления ^[4], делового письма и устных выступлений», которую с удовольствием рекомендуем к прочтению.

Полезные ссылки

1. Шаблон отчета по тестированию защищенности от учебного центра «Эшелон» ^[2]
2. Коллекция отчетов по тестированию на проникновение ^[5]

Автор: alexdorofeeff

Источник ^[6]