ペンテストレポート：クイックガイドとテンプレート

昨日の記事では、包括的なセキュリティテストの方法論と、倫理的なハッカーの対応するツールを詳細に検討しました。 あなたと私がハッキング技術を完全にマスターし、最高レベルでテストを実施しても、結果を顧客に正しく提示できない場合でも、プロジェクトは「まあまあ」です。 セキュリティテストに関する有能なレポートの書き方-これについては本日お話しします。

読者

レポートの作成を開始する前に、次の2つの重要な質問を自問する必要があります。

• 誰がレポートを読むのですか？
• 読者はこのドキュメントに何を期待しますか？

セキュリティテストレポートの場合、読者は次のとおりです。

• CEO
• 情報セキュリティ部長;
• 情報技術部長。

CEOはセキュリティテストサービスの費用を支払い、レポートの主な結果を期待しています。会社のネットワークに侵入し、この方法でどのような情報を取得できるかです。

情報セキュリティ部門の責任者は、セキュリティテストのすべての側面に関心があります。

• どのような脆弱性があり、どのシステムで発見されましたか？
• 潜在的な攻撃者はそれらを使用できますか？
• どのような情報が利用可能ですか？
• どのハッキングツールが使用されましたか？
• 脆弱性を解決するには何をする必要がありますか？

情報技術部門の責任者は、発見された脆弱性を閉じるために彼の人々がしなければならないことと、これが情報システムのパフォーマンスに影響を与えるかどうかに興味があります。

作家

レポートの読者のニーズに対処したので、自分自身について考えてみましょう。

セキュリティの専門家は、レポートで次のことを実証する必要があります。

• 顧客との契約に従って作業が完全に行われた。
• 実施されたセキュリティテストの証拠は、行われた結論を確認するのに十分です。

これで、適切なレポート構造を作成できます。

お客様の便宜のため、 倫理的ハッキングのコースで数年間使用しており、その構造が以下で説明されているレポートテンプレートを投稿しています。

セキュリティテストレポートの構造

セキュリティテストレポートの重要な要素を分析しましょう。

エグゼクティブサマリーセクション

主要な結果と結論を説明し、主要な推奨事項を提供する、最大2ページのセクションで、何を、なぜ行ったかを記述します。 読者はトップマネジメントであり、IT / ISの知識が必ずしも十分ではないため、技術用語を使用しないようにしています。

セクション「プロジェクトの境界線」

このセクションでは、実施されたテストの種類と、どの情報リソースに関するテストについて説明します。 詳細は、読者がプロジェクトに含まれるものとプロジェクトの外に残っているものを理解できるようなものでなければなりません。 必要に応じて、顧客の側でオフィスの住所やプロジェクトに関係する人々の名前を示すことができます。

セクション「私たちのアプローチ」

倫理的ハッキングの専門家の中には、ノウハウを挙げて、アプローチを説明するのを好まない人もいます。 お客様との関係の透明性を厳守し、少なくとも採用されているセキュリティテスト方法論に従ってテストの基本的な手順を説明することをお勧めします。

セキュリティテストの段階と特定された脆弱性との比較が役立ちます。

セキュリティテスト中の重要なポイントの1つは、脆弱性の悪用に関連するリスクの評価です。 お客様の方法論に導かれず、独自の評価スキームを使用する場合は、ここで説明することをお勧めします。

特定された脆弱性の説明

セキュリティテストレポートの本文は、検出された脆弱性の説明です。 監査レポート、およびセキュリティテストレポートが間違いなくこのカテゴリに分類される場合、次の情報表示構造は古典的です：発見-リスク-推奨。

「監視」サブセクションでは、どの脆弱性がどのシステムで発見されたかを説明し、対応するスクリーンショットで悪用される可能性を示しています。 顧客は、実行したテストのログを送信することを要求することがあります。この場合、使用するツールを示し、対応するファイルへのリンクを提供することをお勧めします（原則として、電子形式でのみ顧客に送信されます）。

サブセクション「リスク」では、潜在的な攻撃者がこの脆弱性を悪用した場合に発生する可能性のある状況について説明します。 適切な評価のために、テストの専門家は、侵害されたリソースの重要性を判断する必要があります。

「推奨事項」サブセクションでは、セキュリティテストの専門家が状況を修正するためのヒントを提供します。 さらに、アドバイスは、原則として、必要な修正と必要な修正アクションの2つの部分で構成されます。 修正は、今すぐ実行する必要があるものです（たとえば、パスワードを変更するため）。修正アクションは、特定された問題の原因を排除するために原則として実行する必要があるものです（たとえば、パスワードポリシーの実装、ユーザーの教育など）。

結論の代わりに

レポートの構造を簡単に調査しましたが、これはもちろんドキュメントの作成に役立ちますが、レポート作成者は情報を構造化するスキルを習得する必要があります。

このトピックに関する最高の教科書の1つは、バーバラ・ミントによる「ミントのピラミッドの原理。 思考、ビジネスライティング、口頭スピーキングの黄金律」をお楽しみください。

便利なリンク

1. Echelonトレーニングセンターからのセキュリティをテストするためのレポートテンプレート
2. 侵入テストレポートコレクション