Red de conocimiento informático - Material del sitio web - Cómo escribir un informe de prueba de penetración

Cómo escribir un informe de prueba de penetración

Cuando llevabas varios días trabajando duro y finalmente cerraste tu portátil y quisiste salir a tomar un poco de aire, te surgió una pregunta familiar: "Hola, ¿cuándo te pueden entregar el informe?"

Hay miles de libros que explican qué es la seguridad de la información, qué son las pruebas de penetración y hay innumerables vídeos de cursos de formación. Sin embargo, apuesto a que menos del 10% de estos materiales tratan sobre la redacción de informes. Casi la mitad del tiempo durante una prueba de penetración completa se dedica a escribir informes. Esto puede parecer sorprendente, pero no lo es.

Enseñar a alguien a escribir un informe no es tan interesante como enseñarle a alguien a crear un desbordamiento de búfer perfecto. La mayoría de los evaluadores de penetración prefieren revisar cómo funciona la estructura de paquetes TCP 19 veces que escribir un informe.

No importa cuán alto sea nuestro nivel de pruebas de penetración, es extremadamente difícil explicar un punto técnico profundo de una manera fácil de entender para que incluso las personas que no entienden nada de seguridad puedan entenderlo. . desafíos. No sólo tienes que aprender a explicar de forma sencilla y clara los resultados de las pruebas de penetración, sino que también tienes que controlar tu tiempo. Hacer esto tiene muchos beneficios, incluido si los clientes continuarán comprando sus servicios. Una vez, conduje hasta un cliente a 350 millas de distancia para realizar una preventa y le volví a explicar cara a cara el contenido del informe de prueba de penetración. Si el informe de prueba pudiera escribirse de una manera simple y clara, no tendría que hacerlo. un viaje así, que ahorraría dinero un día completo y un tanque lleno de gasolina.

Por ejemplo:

Una explicación vaga: "La versión SSH debe desactivarse porque contiene una vulnerabilidad de alto riesgo que puede permitir a un atacante interceptar y descifrar comunicaciones en la red. Si bien el riesgo de que un atacante tome el control de la red es bajo, esto reduce la gravedad".

Explicación clara: "Se recomienda desactivar SSH en estos dispositivos; de no hacerlo, se corre el riesgo de que un atacante pueda obtener acceso local. Descifrado de red e interceptación de comunicaciones”

¿Por qué son tan importantes los informes de pruebas de penetración?

Recuerde: las pruebas de penetración son un proceso científico y, como todos los procesos científicos, deben ser independientes y repetibles. Cuando el cliente no está satisfecho con los resultados de la prueba, tiene derecho a pedir a otro evaluador que repita la prueba. Si el primer evaluador no detalla cómo llegó a su conclusión en el informe, el segundo evaluador no sabrá por dónde empezar y lo más probable es que llegue a una conclusión diferente. Peor aún, puede haber vulnerabilidades potenciales expuestas al mundo exterior que no se detectan.

Por ejemplo:

Una descripción vaga: "Utilicé un escáner de puertos para detectar un puerto TCP abierto".

Una descripción clara: "Utilicé Nmap 5.50 para realizar un escaneo SYN en un puerto y encontró un puerto TCP abierto.

El comando es: nmap –sS –p 7000-8000"

El informe es El resultado del El proceso de prueba real es la evidencia de los resultados reales de la prueba. El contenido del informe puede tener poco interés en el contenido del informe a la alta dirección del cliente (los que aprobaron los fondos para las pruebas), pero el informe es su única evidencia que demuestra el costo de las pruebas. Las pruebas de penetración no son como otros tipos de proyectos contractuales. El contrato finalizó, no se construyó ningún sistema nuevo y no se agregó ningún código nuevo a la aplicación. Sin un informe, es difícil explicarle a alguien lo que acaba de comprar.

¿A quién debería denunciarlo?

Hay al menos tres tipos de personas que leerán su informe: alta dirección, gestión de TI y técnicos de TI.

A la alta dirección simplemente no le importa, o no entiende lo que significa, si el servidor de pago utiliza conexiones cifradas SSL v2. La respuesta que quieren saber es "¿Qué tan seguros estamos ahora?"

La administración de TI está interesada en la seguridad general de la organización, pero también quiere asegurarse de que ninguno de sus departamentos específicos descubra nada significativo durante pregunta. Recuerdo haber dado un informe particularmente detallado a tres directores de TI. Dos personas palidecieron después de leer el informe, mientras que una tercera se rió y dijo: "Genial, no hay problemas de seguridad en la base de datos".

El personal de TI es el responsable de solucionar los problemas descubiertos durante las pruebas. Quieren saber tres cosas: el nombre del sistema afectado, la gravedad de la vulnerabilidad y cómo solucionarla. También quieren que la información se les presente de forma clara y organizada. El mejor enfoque es segmentar esta información por activo y gravedad.

Por ejemplo, el "Servidor A" tiene "vulnerabilidades X, Y y Z, y la vulnerabilidad Y es la más crítica. De esta manera, el personal de TI puede encontrar rápidamente la clave del problema y solucionarlo a tiempo.

Por supuesto, puede preguntarle a su cliente: ¿Quiere el cliente agrupar las vulnerabilidades? Después de todo, las pruebas son para su beneficio, ¡ellos son los que pagan! A algunos clientes les gusta tener una página que detalle cada vulnerabilidad e indique qué activos se ven afectados. it

Si bien he mencionado a los tres lectores más comunes de informes de pruebas de penetración, esta no es una lista exhaustiva, una vez que el informe se entrega al cliente, dependiendo de para qué lo usen, en última instancia. Presentarse a un auditor para su auditoría. Se puede presentar a los clientes potenciales a través del equipo de ventas. “Cualquiera puede decir que su producto es seguro, pero ¿puede demostrarlo? Podemos echar un vistazo al informe de pruebas de penetración aquí. "

El informe puede incluso terminar siendo compartido con toda la organización. Parece una locura, pero sucede. Realicé una prueba de ingeniería social y los resultados fueron inferiores a las expectativas del cliente. Indignado, el CEO aprobó la prueba. informar a toda la organización como una forma de crear conciencia contra los ataques de ingeniería social. Aún más interesante, cuando visité la misma empresa unas semanas después para realizar una capacitación sobre concientización sobre seguridad, dije: Era la persona que estaba a cargo de la. prueba de trabajo social antes. Con una mirada enojada y un tono burlón, se quejó de los muchos problemas que les había causado a todos. Yo respondí sin vacilar en mi corazón: "Es mejor que me des la contraseña a mí que a la real". hacker." . ”

¿Qué debe contener el informe?

A veces tendrás la suerte de ver que el cliente indica lo que quiere en el informe al inicio de la planificación del proyecto. algunos son requisitos más pequeños, como el tamaño de fuente y el espacio entre líneas, etc. Pero estos son solo algunos y la mayoría de los clientes aún no saben cuál es el resultado final, por lo que el procedimiento general de redacción del informe se detalla a continuación ><. p>La portada es la primera ventana del informe y los detalles incluidos en la portada pueden ser menos obvios, pero el nombre de la empresa de pruebas, el logotipo y el nombre del cliente deben mostrarse de manera destacada. También debe estar ahí para evitar confusión al realizar múltiples pruebas en el mismo cliente. El tiempo de prueba también debe escribirse para que los usuarios puedan entender claramente si su postura de seguridad ha mejorado con el tiempo. La portada también debe incluir el nivel de confidencialidad del documento y un acuerdo. con el cliente sobre cómo mantener confidencial este documento comercialmente sensible.

Explicación

He visto algunos que parecen historias cortas; de hecho, esta parte generalmente debería ser. Limitado a una página. No mencione ninguna herramienta o tecnología específica, porque a los clientes no les importa en absoluto, solo necesitan saber qué hizo, qué encontró y qué sucederá a continuación, por qué, la última línea. El resumen ejecutivo debe ser una conclusión que indique claramente si el sistema es seguro o no.

Por ejemplo:

Un resumen deficiente: "En resumen, descubrimos que las políticas de seguridad funcionaron bien en algunos lugares, pero no en otros. Esto supone un cierto riesgo, pero no es un riesgo mortal. ”

Un excelente resumen: “En resumen encontramos que algunas áreas no estaban cumpliendo con la política de seguridad, lo que generó un riesgo para la organización, por lo que debemos declarar que el sistema no es seguro. ”

Resumen de vulnerabilidades

Coloque la lista de vulnerabilidades en una página, para que los administradores de TI puedan saber de un vistazo qué hacer a continuación, cómo expresarla específicamente, en varias formas. Se pueden utilizar gráficos sofisticados (como tablas o gráficos), siempre que sean claros y concisos. Las vulnerabilidades se pueden agrupar por categoría (por ejemplo, problema de software, configuración del dispositivo de red, política de contraseñas), gravedad o puntuación CVSS; hay muchas maneras. , siempre que el trabajo esté terminado. Está bien, es fácil de entender.

Detalles del equipo de prueba

Registre el nombre de cada evaluador involucrado en el proceso de prueba. para informar al cliente quién está probando su red y proporcionar información de contacto para discutir problemas en informes posteriores. A algunos clientes y empresas de pruebas también les gusta asignar tareas a diferentes grupos de pruebas según el contenido de la prueba para tener un par adicional. ojos para ver el sistema desde una perspectiva diferente.

Lista de herramientas

Incluye una breve descripción de la versión y la funcionalidad. Esto es relevante si alguien quiere reproducir su prueba exactamente. Conozca las herramientas que utiliza.

Alcance del trabajo

Se ha acordado de antemano que la reimpresión es útil como referencia.

Cuerpo del informe

Esta parte es la esencia del informe. El cuerpo del informe debe incluir detalles de todas las vulnerabilidades detectadas, cómo descubrir la vulnerabilidad, cómo explotarla. y la posibilidad de explotar la vulnerabilidad. Hagas lo que hagas, asegúrate de dar una explicación clara. He visto innumerables informes que simplemente eran resultados de análisis de vulnerabilidades copiados y pegados, y eso no está bien. El informe también debe incluir recomendaciones de reparación prácticas y apropiadas.

Entrega Final

En cualquier caso cualquier informe deberá transmitirse cifrado. Aunque esto es de sentido común, la gente suele caer en este último eslabón.