Во вчерашней статье мы подробно обсудили методология комплексного тестирования безопасности и соответствующие инструменты для этического хакера .
Даже если мы с вами в совершенстве овладеем техникой взлома и проведем тестирование на высшем уровне, но не сможем грамотно представить результаты заказчику, проект будет «так себе».
Как написать грамотный отчет по тестированию безопасности – вот о чем мы сегодня поговорим.
Читатели
Прежде чем мы начнем писать какой-либо отчет, нам необходимо задать себе следующие два важных вопроса:- Кто будет читать отчет?
- Чего читатели могут ожидать от этого документа?
- ГЕНЕРАЛЬНЫЙ ДИРЕКТОР;
- Начальник отдела информационной безопасности;
- Руководитель отдела информационных технологий.
Руководителя отдела информационной безопасности интересуют все аспекты проводимого тестирования безопасности:
- Какие уязвимости в каких системах были обнаружены?
- Сможет ли потенциальный злоумышленник ими воспользоваться?
- К какой информации можно получить доступ?
- Какие хакерские инструменты использовались?
- Что нужно сделать, чтобы закрыть уязвимости?
Писатели
Поняв потребности читателей нашего отчета, давайте подумаем о своих собственных.Специалисты по тестированию безопасности должны продемонстрировать в своем отчете, что:
- работа выполнена в полном объеме в соответствии с договоренностями с заказчиком;
- Данные проведенного тестирования безопасности достаточны для подтверждения сделанных выводов.
Для вашего удобства мы публикуем шаблон отчета , который мы используем уже несколько лет на нашем курсы этического взлома и структура которого соответствует описанной ниже.
Структура отчета о тестировании безопасности
Давайте посмотрим на ключевые элементы отчета о тестировании безопасности.Раздел «Резюме для руководства» Раздел на одну, максимум две страницы, в котором мы пишем, что и почему мы сделали, описываем основные результаты и выводы, даем ключевые рекомендации.
Мы стараемся не использовать технические термины, поскольку читатели — высшее руководство, не всегда обладающее хорошими знаниями в области ИТ/ИС.
Раздел «Границы проекта» В этом разделе мы описываем, какие виды тестирования проводились и относительно каких информационных ресурсов.
Детализация должна быть такой, чтобы читатели понимали, что вошло в проект, а что осталось за его пределами.
При необходимости мы можем указать адреса офисов и даже имена людей, участвующих в проекте на стороне заказчика.
Раздел «Наш подход» Некоторые этические хакеры не любят описывать свой подход, ссылаясь на свои ноу-хау.
Мы рекомендуем сохранять прозрачность в отношениях с клиентами и описывать хотя бы основные этапы тестирования в соответствии с принятой методологией тестирования безопасности.
Также будет полезно сравнить этапы тестирования безопасности с выявленными уязвимостями.
Одним из важных моментов при тестировании безопасности является оценка рисков, связанных с возможной эксплуатацией уязвимостей.
Если мы не руководствуемся методикой заказчика, а используем какую-то свою схему оценки, то ее лучше описать и здесь.
Описание выявленных уязвимостей Основная часть отчета о тестировании безопасности будет состоять из описаний обнаруженных уязвимостей.
Для отчетов по аудиту, а отчет по тестированию безопасности, несомненно, относится к этой категории, классическая структура представления информации следующая: наблюдение (вывод) – риск – рекомендация.
В подразделе «наблюдение» описывается, какая уязвимость в какой системе была обнаружена, и приводится демонстрация возможности ее эксплуатации с соответствующими скриншотами.
Иногда заказчики настаивают на передаче им журналов выполненных тестов; при этом желательно указать используемые инструменты и дать ссылку на соответствующий файл (как правило, он передается заказчику только в электронном виде).
В подразделе «риск» описывается ситуация, которая может возникнуть, если потенциальные злоумышленники воспользуются этой уязвимостью.
Чтобы провести правильную оценку, тестировщикам необходимо определить критичность скомпрометированного ресурса.
В подразделе «рекомендации» специалисты по тестированию безопасности дают советы, как исправить ситуацию.
В этом случае совет, как правило, состоит из двух частей: необходимая коррекция и необходимое корректирующее действие.
Исправление — это то, что необходимо сделать прямо сейчас (например, смена пароля), корректирующее действие — это то, что необходимо сделать в принципе для устранения причины выявленной проблемы (например, внедрение политики паролей, обучение пользователи и др.
).
Вместо заключения
Мы кратко рассмотрели структуру отчета, которая, безусловно, помогает при разработке документа, но любому составителю отчета все равно необходимо овладеть навыками структурирования информации.Одним из лучших учебников по этой теме является книга Барбары Минто «Принцип пирамиды Минто.
Золотые правила мышления, делового письма и устных презентаций», которую мы с радостью рекомендуем прочитать.
Полезные ссылки
- Шаблон отчета о тестировании безопасности от учебного центра «Шелон»
- Сбор отчетов по тестированию на проникновение
-
Ваш Путеводитель По Ssl-Сертификатам
19 Oct, 24 -
Czi2
19 Oct, 24 -
О Тестовых Заданиях
19 Oct, 24 -
Умный Дом С Веб-Интерфейсом На Perl Xs
19 Oct, 24 -
Как Добавить Функциональность Firefox В Ie7
19 Oct, 24 -
Json-Каналы В Оболочке
19 Oct, 24 -
Да :)
19 Oct, 24
