Como desenvolver um bom relatório de PenTest?

Views: 150
0 0
Read Time:7 Minute, 5 Second

Como desenvolver um bom relatório de PenTest? A partir de um relatório de PenTest é que uma organização vai definir sua estratégia.

Em um PenTest uma das etapas essenciais são os relatórios finais, pois é aonde você vai evidências todo o processo realizado em um teste, seja os seus detalhes e os métodos utilizados no processo.

A partir de um relatório de PenTest é que uma organização vai definir toda à etapa decisiva para implementar os melhores controles de segurança para remediar as vulnerabilidades encontradas.

Porém, antes de tudo, você não pode confundir uma Analise de Vulnerabilidade com um PenTest, quer ver à diferença?

Analise de Vulnerabilidade: Tem como objetivo, levantar todas as vulnerabilidades de um ambiente para realizar sua gestão depois, mas claro que nem todas as ferramentas tem como propósito gerir uma vulnerabilidade, que seria o processo de remediar ou tomar as melhores medidas para que essa vulnerabilidade não se torne um risco gigantesco. Em resumo, uma analise de vulnerabilidade tem como objetivo ver a saúde de um ambiente e calcular o seu risco a partir disso.

PenTest: Já o PenTest é algo mais Hardcore, é o momento que você não fica apenas na analise, mas também testa as vulnerabilidades para ver o impacto que ela traria caso um Hacker Malicioso ou um Cibercriminoso explora-se essas vulnerabilidade. Porém, em um PenTest você tem N diferentes formas de trabalhar, sendo o mais famoso o Black Box aonde você simula um ataque real ou o máximo possível da realidade, sem conhecimento nenhum do ambiente.

Agora que você já sabe mais ou menos o que é um PenTest, vamos direto ao assunto, caso você queira conhecer as metodologias por trás de um PenTest eu recomendo:

http://www.pentest-standard.org/index.php/Main_Page

https://www.isecom.org/research.html

https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf

Existem outras, mas essas três são as mais famosas, fora o Mitre Attack e o Cyber Kill Chain que são frameworks que podem te ajudar nos seus testes. Agora vamos para o que interessa.

Qual é o objetivo de um relatório?

Por que temos que relatar algo? É óbvio que com um relatório você consegue ter uma prova de conceito mais concreta sobre os testes realizados no ambiente, porém existem outros motivos, como por exemplo:

  • Ajudar à equipe de Gestão ou a alta diretoria à realizar investimentos necessários para implementar os melhores mecanismos de proteção;
  • Dar suporte à equipe de segurança e de operação para solucionar os principais problemas de segurança no ambiente;
  • O Relatório serve como métrica para medir à maturidade do negócio daquela empresa e a sua importância com a segurança, além de medir o trabalho da equipe de segurança sobre a aplicação das melhores práticas de proteção;
  • Serve como uma prova dos testes realizados e de que tudo foi devidamente realizado sem fugir do escopo determinado;
  • E provê informações relevantes sobre os testes realizados no ambiente caso aja um incidente durante ou posteriormente, após os testes de vulnerabilidade;

Em resumo são esses alguns dos motivos, mas poderia citar milhares, pois documentar algo é um processo bastante importante na área de segurança da informação. Se você for contratar um serviço de PenTest, questione o prestador sobre o modelo de relatório e as metodologias utilizadas no teste, claro isso é definido no KICK-OFF ou antes mesmo, quem é mais comercial pode auxiliar nessa questão..

E claro, existe os tipos de relatórios que são desenvolvidos de acordo a necessidade da empresa e por quem será lido.

Tipos de relatórios

Existem diversos, porém os mais comuns são:

  • Relatório Executivo: Nesse relatório você tem o resumo dos testes, todo seu processo, tempo gasto e o que foi testado, além dos resultados que você obteve nesses testes e as recomendações também;
  • Relatório de Host: Esse geralmente é utilizado em PenTest ao qual o serviço é cobrado por Host ativo na rede, então no relatório você tem todos os detalhes do Host, sua função, seus serviços, suas vulnerabilidades e o resultado final;
  • Relatório do Lado Cliente: Nesse você dá os detalhes do que você levantou do lado cliente, ou seja, o que você consegue levantar realizando testes na perspectiva de um usuário, seja um exploit para versão da aplicação utilizada, detalhes de outros usuários, informações de sistemas comprometidos ou expostos e etc;
  • Relatório de Vulnerabilidades: Em resumo, você vai ter os detalhes de todas as vulnerabilidades encontradas no PenTest e as que são mais fáceis de explorar ou as mais difíceis;
  • Relatório Ativo: Por fim, esse é o relatório mais utilizado ao qual descreve todos os detalhes e informações das tarefas utilizadas em um PenTest;

Com base nesses relatórios, você mescla todos eles e faz o Report Final ou o Full Report que contém todos os detalhes necessários para que à equipe de segurança possa iniciar o processo de mudanças no ambiente e gerir todos os riscos.

Mas como fazer um bom relatório de PenTest? Essa é à dúvida de muitos, por isso vou tentar dar algumas dicas, mas antes, uma recomendação.

Primeiramente é necessário que você tenha um relatório de Linha de tempo antes, principalmente para definir o momento em que você inicia os testes, no caso, horário e data do terminal e de um relógio confiável, além das informações de hosts que você vai cutucar, pois qualquer incidente que ocorrer você não será responsável caso seja um servidor que você nem esteja mexendo no momento, pois já teve cases de colegas que ao realizarem os testes de vulnerabilidade em um servidor, ele caiu e infelizmente ter tido algumas dores de cabeça por não possuir o relatório de linha de tempo, mas depois provou-se ao contrário e o servidor caia direto.

Como fazer um bom relatório de PenTest?

Por fim, como planejar e revisar o meu relatório?

Planejando e Revisando seu relatório de PenTest

  • Determinar o objetivo principal do seu relatório de PenTest, dar um contexto, pois tendo um propósito principal você consegue revisar o seu relatório com informações relevantes;
  • Defina para quem será tal relatório antes de planejar, pense que cada um tem um grau diferente de compreensão, pois é óbvio que o Diretor não tem a mesma visão de um especialista em segurança, então sempre faça o seu planejamento pensando na audiência alvo;
  • Considere planejar o tempo do projeto de PenTest junto com o relatório, pois com todo o processo realizado você vai precisar ter um tempinho a mais para dar uma tratada na documentação para assim gerar um relatório legível e agradável, exemplo são as certificações da Offensive Security e da eLearning Security também;
  • Por favor! Mantenha a confidencialidade do PenTest, não saia compartilhando nas redes sociais prints do seu terminal, isso além de ser antiético, desqualifica qualquer profissional na hora, sempre mantenha informações sensíveis em locais separados e de preferência criptografados com fácil recuperação;
  • Determine o formato fínal do relatório com o cliente, sempre de acordo com o que foi definido no inicio, antes de sair compartilhando alguma informação, tenha consentimento legal da empresa para não ter futuras dor de cabeça;
  • Na hora da revisão é sempre bom ter perspectivas de pessoas diferentes, por isso é sempre bom mais de um para ajudar no desenvolvimento dos seus relatórios;
  • Depois de revisar o relatórios é sempre bom salvar um cópia e guardar as mudanças feitas;
  • Prepare o formato do relatório final que o cliente deseja, seja no formato de documento ou de apresentação;
  • Coloque sempre à importância de um PenTest, seja para se adequar à um padrão como o PCI, mas também para proteger seu ambiente e medir o risco da sua organização;
  • E as recomendações da remediação ou é pesquisador pelo time de segurança da empresa, ou caso contrate seus serviços, você mesmo pesquisa e coloca no relatório;

Conclusão

Essas são algumas dicas que eu deixo para você desenvolver seu relatório de PenTest, sendo uma das etapas mais chatas e uma das mais decisivas em um PenTest, pois um relatório é seu cartão postal de fidelidade com o cliente e o bilhete premiado dele.

Caso precise de uma ferramenta para auxiliar você nos testes de vulnerabilidades ou até nos seus estudos, eu aprimorei um script que faz backup dos seus dados diretamente na nuvem via terminal.

https://github.com/CyberSecurityUP/backup-fu

Se procura templates, segue meu outro repositórios.

https://github.com/CyberSecurityUP/information-security-relatory

E claro, siga outros profissionais da área que possuem mais experiências!

AUTOR: Joas Antonio dos Santos

FONTE: MINUTO DA SEGURANÇA

Previous post Anatel aprova Regulamento de Segurança Cibernética para Setor de Telecomunicações
Next post Entenda o ataque hacker da SolarWinds que assombrou o mundo

Deixe um comentário