conclusión del informe de prueba de lápiz

Cómo estructurar un informe de prueba de lápiz

Su informe de prueba de penetración debe provenir de una combinación de las herramientas que utiliza (algunas generan informes) y su propio trabajo escrito para explicar la salud general del medio ambiente. Un informe de prueba de penetración comprende las secciones descritas en el alcance del proyecto, pero esta lista muestra las secciones que aparecen comúnmente:

  • Resumen ejecutivo: El resumen ejecutivo resume brevemente todos los detalles clave del informe. Le hablará al lector de una manera que le permitirá saber qué pasos se tomaron, qué encontró el informe en última instancia y una descripción general o destacada de los próximos pasos, que podrían incluir recomendaciones.
  • Herramientas, métodos y vectores: esta sección cubre las herramientas que utilizó y los métodos que eligió para realizar la prueba de la pluma. Además de proporcionar un esquema general o una narrativa de sus hacks éticos, también detalle los caminos que siguió con patrones de ataque detallados paso a paso y vectores seleccionados.
  • Hallazgos detallados: aquí es donde enumerará todos los riesgos de seguridad, vulnerabilidades, puntos de penetración, amenazas y preocupaciones. Incluya los aspectos técnicos de cada hallazgo en detalle.
  • Conclusión: Esta sección del informe reitera el resumen ejecutivo pero con un enfoque en los próximos pasos.
  • Recomendaciones: aunque su trabajo es, en última instancia, realizar la prueba de penetración y evaluar la salud de la postura de seguridad general de la organización, es posible que también sea responsable de brindar orientación sobre las formas de mejorar la seguridad. Si es así, colóquelos en una sección separada y sea lo más detallado posible.
  • Apéndice: Incluya esta sección para gráficos, registros y cualquier información que esté fuera del alcance del proyecto pero que crea que podría ser útil.

Esta lista muestra cómo están estructurados algunos informes de pruebas de penetración para darle un punto de partida. Su empresa puede tener formas específicas en las que les gustaría que informara, o puede encontrar otros ejemplos en línea que pueden brindarle más ideas para elegir.

Resumen ejecutivo

La primera parte a considerar en su informe de prueba de penetración es su Resumen Ejecutivo. Un resumen se convierte en un resumen ejecutivo cuando se realiza una respuesta resumida en una organización que probablemente sea leída por el personal de liderazgo ejecutivo.

Para aquellos de ustedes que trabajan en pruebas de penetración y otros campos técnicos, muchas veces tienen muy poco tiempo para hablar y reunirse con altos ejecutivos, así que piensen en el resumen ejecutivo como un discurso de ascensor. Debe hablar de manera muy rápida y concisa sobre sus objetivos, resultados y proporcionar una vista de alto nivel de los hallazgos clave. Conserve los detalles para el cuerpo del informe, no en el resumen.

LEER  Cómo compartir imágenes de Photo Booth de Mac

En general, el objetivo del resumen es que el lector sepa qué pasos se tomaron, qué se encontró finalmente y los próximos pasos. Si estos son los detalles de una prueba de penetración, un resumen ejecutivo podría verse como se muestra a continuación:

Un problema de toda la empresa con todos los servidores web Apache a los que se puede acceder de forma remota sin un parche requerido (más adecuado para el cuerpo en los hallazgos).

Tiene o ha tenido el objetivo de identificar si la arquitectura web de su empresa era segura para las próximas vacaciones porque la empresa confía en la integridad de estos sistemas para ser rentable en el cuarto trimestre.

resumen ejecutivo del informe de prueba de pluma
Un ejemplo de resumen ejecutivo en un informe de prueba de penetración.

Esto (como se señaló) es solo una sugerencia; sin embargo, se adapta a todos los públicos. No entré en detalles sobre parches, proveedores, nombres de sistemas, jerga técnica o cualquier otra información, aunque importante, pero innecesaria para el resumen ejecutivo. Esos detalles se pueden agregar a otras secciones y apéndices.

Otro de los elementos más importantes a considerar para el resumen ejecutivo es el alcance. Esto debería leerse muy claramente en la primera parte de su informe. El informe de la prueba de penetración cubrió que se necesitaba y se completó un escaneo. El probador de lápiz no entró en qué vectores se eligieron, herramientas utilizadas, métodos, etc. El probador de lápiz tuvo que identificar la arquitectura web porque estaba dentro del alcance. El probador de lápiz no tuvo que escanear cada parte y probar el espacio técnico de toda la empresa.

El alcance de la prueba de lápiz fue identificar si la postura de seguridad era alta en la arquitectura web, y eso es lo que el probador de lápiz incluyó en el resumen.

Herramientas, métodos y vectores

Esta sección del informe es donde puede obtener más detalles, cubriendo las herramientas que se utilizaron, qué métodos se eligieron para realizar la prueba de penetración, rutas tomadas, patrones de ataque, vectores seleccionados. También puede escribir un esquema general o una narrativa de los trucos éticos.

La siguiente imagen muestra un ejemplo. Puede detallar o mapear los detalles de qué rutas o vectores tomó, qué herramientas usó y cualquier método específico de ataque. Esto puede considerarse la narrativa del ataque.

vectores de ataque
Documentar e informar los vectores de ataque es parte de su narrativa.

Esta imagen muestra un ejemplo de cómo puede verse esta sección.

informe de prueba de penetración
Un ejemplo de una sección de herramientas, métodos y vectores.

Dependiendo de la longitud y complejidad de la prueba de penetración, esta sección puede continuar con un diseño paso a paso (o salto a salto) de la narrativa del ataque y cómo se encontró cierta información según la evaluación. Los detalles aquí realmente pueden ayudar a construir un mapa técnico para otros equipos con los que podría colaborar para abordar los riesgos.

LEER  Cambiar la apariencia de los botones, menús y ventanas de Mountain Lion

Siempre debe asumir que otros equipos técnicos (con permiso, por supuesto) pueden estar leyendo su informe para ayudar a mitigar los riesgos. Usted es el probador de lápiz, pero es probable que el administrador del sistema sea el que necesite parchear el servidor DNS que proporciona transferencias de zona. Es posible que los hallazgos del informe deban dirigirse al administrador (o desarrolladores) de la base de datos SQL, quien puede ayudar a arreglar las bases de datos para detener la inyección. Estas personas trabajan con el registro de riesgos para cerrar los elementos antes de volver a realizar la prueba.

Hallazgos detallados

Todos los riesgos de seguridad, vulnerabilidades , puntos de penetración, amenazas e inquietudes con una lista de todos los aspectos técnicos de cada hallazgo se proporcionan en detalle. Esta es la parte del informe que le permite profundizar realmente en los detalles de sus hallazgos.

Si pudo penetrar un puerto específico y una combinación de dirección IP o frustrar la seguridad de un enrutador, todo eso debería incluirse en hallazgos detallados. También puede utilizar las notas creadas y el informe de herramientas y el resultado de la auditoría como ayuda para crear su informe principal.

resultados principales de la prueba de penetración
Incluya sus principales hallazgos en su informe.

La mayor diferencia entre esta sección y la anterior es que aquí es donde puede colocar los elementos identificados y los resultados de la narrativa del ataque. En este ejemplo, es posible que desee utilizar los registros de auditoría de Metasploit para mostrar todas las vulnerabilidades identificadas.

Es posible que desee mostrar los detalles de los registros (en detalle minucioso) donde encontró el problema de transferencia de zona. Debería mostrar todos los detalles; sin embargo, si parece que hay demasiada información, puede optar por resumir en aras de la brevedad. Tenga cuidado para no eliminar la información necesaria para su informe.

Son estos detalles los que permiten a los equipos técnicos no solo corregir lo que encontró en la prueba de penetración, sino también identificar cualquier otro problema que pueda ser (o no) relevante para la prueba de penetración realizada. Por ejemplo, su objetivo (dentro del alcance) puede haber sido proteger la arquitectura web, pero los equipos técnicos encontraron que a todos los servidores Windows les faltan parches críticos que ayudan a mitigar otros problemas que las herramientas pueden haber encontrado.

No desea abrumar a nadie, confundir el informe o desviarse demasiado del objetivo / alcance, pero está obligado a informar a todos de todas y cada una de las infracciones de seguridad que identifique en el camino. Cubre los detalles que quedan fuera del alcance del proyecto en los apéndices.

Conclusión

La sección Conclusión toma todo lo que recopiló en su informe y lo resume sucintamente con un enfoque en los próximos pasos, si corresponde. Puede estar bien repetir lo que escribió en el resumen ejecutivo, siempre que cambie el enfoque a los siguientes pasos. Por supuesto, puede esbozar los próximos pasos en el cuerpo o en cualquier otro lugar del informe, pero la conclusión al final debe dar una última mirada a los próximos pasos de manera integral y decidida.

conclusión del informe de prueba de lápiz
Un ejemplo de una conclusión de informe de prueba de penetración.

Como puede ver, el siguiente paso es realizar una nueva prueba para asegurarse de que los cambios, correcciones, evasión de riesgos o elementos de cumplimiento documentados se hayan manejado y realizado correctamente. Una nueva prueba lo demostrará.

LEER  Cómo agregar un video de reproducción automática a su proyecto iDVD en iLife '11

Recomendaciones

Como probador de bolígrafos, es posible que deba proporcionar ayuda a quienes la necesiten, según el alcance del proyecto o el tamaño de la empresa. Las organizaciones más pequeñas pueden solicitarle que ayude a corregir lo que encontró y, si puede, agregue esto a su informe. Puede crear una sección separada o agregarla a los hallazgos detallados.

Como verá, los hallazgos detallados, los apéndices y las recomendaciones se pueden reutilizar y reorganizar según lo que necesite para su informe. Podría tener una lista de recomendaciones en su apéndice.

Se deben hacer recomendaciones si están dentro del alcance. No todos los probadores de lápiz están obligados a recomendar cómo arreglar los elementos que encontraron en la prueba de lápiz. ¿Debería saber cómo arreglar los elementos que ha identificado? Si desea obtener más información sobre seguridad y cómo ser un mejor probador de lápiz, la respuesta es sí, pero no significa que deba estar en el informe que envíe.

Si está dentro del alcance, debe crear una lista de los elementos que crea que la empresa u organización debería hacer para mitigar los riesgos que ha identificado.

Apéndice / Apéndices

Muchos informes pueden tener información adicional que puede o no ser completamente relevante para el alcance o el objetivo de su prueba de penetración e informe. Coloque dicha información al final del informe en un apéndice o apéndices (si tiene varios). Otra información que puede ir aquí puede ser gráficos de puertos, mapas, auditoría completa o registros de herramientas y otros elementos que pueden ser útiles para quienes usan o leen el informe.

¿Quiere obtener más información sobre las pruebas de lápiz? Consulte estos diez sitios de pruebas de penetración .

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *