5 пунктов, которые должны быть в отчете о тестировании на проникновение, чтобы гарантировать его успех:
1. Описание
Отчет должен содержать простое для понимания описание выявленных рисков и их потенциальное влияние (финансовое и иное) на бизнес. Эта часть должна содержать четкое и понятное описание для всех заинтересованных сторон, в том числе для тех, кто не обладает техническими знаниями. После прочтения все заинтересованные стороны должны иметь общее представление о масштабах выявленных рисков и о наилучших решениях для их устранения.
Если результаты тестирования будут понятны только вашему техническому персоналу, ваши усилия по защите вашего бизнеса от кибератак потерпят неудачу главным образом потому, что ваша команда не сможет принять решения, необходимые для внедрения рекомендуемых решений. Другими словами, если ваша управленческая команда не до конца понимает ваш отчет о тестировании на проникновение и вопросов больше, чем ответов, они не смогут решить, стоят ли предлагаемые решения вложения времени и сил, денег.
В отчете должна быть часть с описание, которое будет понятно для сотрудников и будет лишено обилия технических терминов. Все используемые технические термины должны быть четко определены и объяснены, чтобы их могли понять.
2. Технические детали выявленных уязвимостей
Этот раздел отчета должен содержать технические подробности о выявленных уязвимостях, без которых у ИТ-персонала не было бы достаточно рекомендаций для разработки эффективных решений. Однако эти детали должны быть контекстуализированы и четко объяснены, чтобы все читатели могли понять природу рисков, связанных с ними. Другими словами, в этом разделе отчета о тестировании на проникновение будут точно описаны риски с технической точки зрения, включая доказательства наличия уязвимостей в системе безопасности, а также процесс, который команда должна предпринять для их устранения, реагирования и лучшего понимания.
Уязвимости обычно имеют несколько критериев для обозначения, например:
- Категория уязвимости (сеть, приложение и т. д.).
- Серьезность и уровень приоритета каждой уязвимости.
- CVSS Score (система оценки уязвимостей).
Если, к примеру, медицинская компания уязвима для файлов, загруженных через ее портал, недостаточно описать технический процесс, с помощью которого мог произойти взлом. Также следует включить формулировку, которая четко объясняет, что это означает для компании (с использованием конкретных примеров, таких как «это означает, что хакеры, действующие в качестве администраторов, смогут просматривать медицинские записи всех пользователей»). Другими словами, описание потенциальных последствий для бизнеса критически важно для полезности отчета.
3. Потенциальное влияние уязвимостей и соответствующий уровень риска
В этом разделе отчета должна быть описана как вероятность различных рисков, с которыми сталкивается ваш бизнес, так и возможное влияние каждой уязвимости на ваш бизнес (как упоминалось выше, уровень риска должен быть четко контекстуализирован и представлен кратким языком для каждой уязвимости).). Что касается уровня риска, каждая уязвимость должна быть представлена с соответствующим уровнем приоритета, чтобы ее можно было устранить в соответствии с риском, который она представляет. Другими словами, некоторые риски более серьезны и имеют большее влияние, чем другие.
4. Конкретные решения для устранения уязвимостей
Разумеется, в отчете о тестировании на проникновение должно быть представлено общее описание того, как лучше всего исправить каждую уязвимость. Также важно, чтобы это описание соответствовало уникальным потребностям вашего бизнеса.
Например, если ваша компания использует определенный веб-сервер, в отчете было бы неразумно предлагать вам избавиться от него и начать с нуля. Представленные решения должны учитывать то, что реально для вашего бизнеса, а что нет. Таким образом, эффективный отчет о тестировании на проникновение будет представлять для каждого выявленного риска несколько корректирующих мер, каждая из которых будет включать достаточно подробностей, чтобы ваша команда могла быстро и эффективно решить проблему, используя внешние ресурсы.
5. Методологии, использованные в тесте
Важно, особенно для вашего ИТ-персонала, понимать методы, используемые для проведения тестирования на проникновение. Тестирование может быть ручным или автоматизированным.
Как следует из названия, ручное тестирование на проникновение выполняется человеком, обычно опытным инженером. Эти тесты включают методологии, сбор данных, оценку уязвимостей, фактическую эксплуатацию (во время которой тестировщик запускает атаку для обнаружения уязвимостей) и предоставление отчета. Также тесты могут быть целевыми — для выявления конкретных (ограниченных) уязвимостей, а еще могут быть исчерпывающими.
Автоматизированное тестирование на проникновение быстрее, эффективнее, требует меньше времени. Автоматизированное тестирование может выполняться с использованием нескольких общепризнанных стандартов, разработанных внутри компании. Среди доступных стандартов можно выделить следующие:
- OWASP (Открытый проект безопасности веб-приложений).
- OSSTMM (Руководство по методологии тестирования безопасности с открытым исходным кодом).
- NIST (Национальный институт стандартов и технологий).
В заключение
Когда эти пять элементов представлены четко и логически организованы, отчет о тестировании на проникновение может эффективно достичь своих целей, которые заключаются в том, чтобы информировать руководителей об уровне безопасности в их компании, консультировать ИТ-менеджеров о рисках, которые необходимо снизить, и направлять ИТ-персонал. Кроме того, любая авторитетная компания, специализирующаяся на тестировании на проникновение, должна предоставить своим клиентам исчерпывающий отчет об устранении уязвимостей в системе безопасности, чтобы обеспечить спокойствие и предотвратить потенциально опасные атаки.