Jak powinno wyglądać dobre podsumowanie wykonawcze w raporcie z testów penetracyjnych?
Sekcja podsumowania wykonawczego w raporcie z testów penetracyjnych jest jedną z najważniejszych części dla dyrektorów oraz osób na stanowiskach kierowniczych. W tym artykule opiszę, czego można oczekiwać od dobrej sekcji podsumowania wykonawczego w raporcie z testów penetracyjnych.
!Artykuł ten jest częścią serii „Raport z testów penetracyjnych aplikacji webowej”. W poprzednim artykule opisuję typową strukturę raportu z testów penetracyjnych aplikacji webowej.
Zły przykład podsumowania wykonawczego
Zanim przejdziemy do omówienia dobrego podsumowania wykonawczego, przyjrzyjmy się, co charakteryzuje złe podsumowanie.
Kiedy podsumowanie wykonawcze przedstawia jedynie liczbę podatności i kolorowy wykres prezentujący ich istotność, nie jest to dobre podsumowanie wykonawcze. Jeszcze gorzej, gdy jest to wykres kołowy, który może sugerować, że odkryto wszystkie istniejące podatności (więcej na ten temat w innym artykule z tej serii). Wykres kołowy to zły sposób prezentowania tego typu danych, ponieważ pokazuje tylko zależności między elementami wykresu. Ważniejsze od samej relacji między istotnościami podatności jest pokazanie liczby podatności w różnych kategoriach istotności. Lepiej jest to zaprezentować za pomocą wykresu słupkowego.
CEO, Cybersecurity Expert
Jeśli chcesz przeprowadzić test penetracyjny typu white box swojej aplikacji webowej, zostaw swój adres e-mail, a skontaktuję się z Tobą.
Umów się na rozmowę ze mną
Dobry streszczenie wykonawcze
A więc, czym charakteryzuje się dobre streszczenie wykonawcze w raporcie z testów penetracyjnych?
Po pierwsze, powinno być napisane w języku zrozumiałym dla docelowego odbiorcy. Oznacza to minimalizowanie szczegółów technicznych.
Po drugie, powinno streszczać wyniki testu penetracyjnego. Zwykle jest to lista potencjalnych scenariuszy ataków, które przeciwnicy mogliby przeprowadzić, wykorzystując odkryte podatności. Pomaga to zrozumieć ogólny wpływ każdej z tych podatności.
Inną ważną informacją jest ogólna, ogólna rekomendacja, która pomaga zaplanować działania prewencyjne, wykraczające poza naprawę konkretnej podatności.
W raportach, które piszemy w Zigrin Security, zawieramy także dodatkową sekcję w streszczeniu wykonawczym. Czasami konkretne podatności mają niewielki wpływ lub pewne ograniczenia. Zwykle klasyfikuje się je jako podatności o niskiej/średniej istotności. Istnieją jednak sytuacje, w których przeciwnik może wykorzystać kilka podatności o niskiej/średniej istotności, aby spowodować poważne szkody. Nazywa się to łańcuchowaniem podatności, i jeśli może to nastąpić, opisujemy to również w streszczeniu wykonawczym. Pomaga to zrozumieć ogólny wpływ wszystkich podatności wykorzystanych razem, a nie tylko wpływ każdej z osobna.
Mam nadzieję, że ten artykuł rzucił nieco światła na to, jak wygląda dobre streszczenie wykonawcze.
Jeśli wynająłeś firmę do przeprowadzenia testu penetracyjnego, teraz wiesz, czego się spodziewać w tej części raportu.
Jeśli jesteś testerem penetracyjnym piszącym takie raporty, wiesz, na czym skupić się w następnym streszczeniu wykonawczym.
!Następny artykuł w tej serii opisze najpopularniejszy system oceny podatności – CVSS (Common Vulnerability Scoring System).
Oczywiście, to nie jest ostateczny zestaw zasad dla streszczenia wykonawczego.
Daj mi znać w komentarzach, jakie inne sekcje chciałbyś zobaczyć w streszczeniu wykonawczym.
Czy artykuł jest pomocny? Podziel się nim ze swoimi znajomymi.
