Отчет по результатам тестирования на проникновение включает в себя:
- методику проводимых работ;
- выводы (как развернутые технические, так и более краткие для руководства), в которых дается оценка состояния защищенности информационной системы Заказчика;
- описание хода работ, выявленных уязвимостей, ранжирование их по степени потенциальной опасности, вероятности их использования, описание последствий реализации выявленных уязвимостей;
- рекомендации по нейтрализации выявленных уязвимостей (снижению возможного ущерба от их использования злоумышленниками), рекомендации по изменению конфигурации и настроек оборудования, используемых защитных механизмов и программных средств, принятию дополнительных мер и применению дополнительных средств защиты, по установке необходимых обновлений для используемого программного обеспечения и т.п.;
- выводы по анализу уязвимостей в Web-приложениях и методах их нейтрализации;
- результаты эксплуатации нескольких критичных уязвимостей, включая информацию о полученном уровне привилегий в системе на различных этапах тестирования;
- выводы об осведомленности персонала Заказчика о требованиях по обеспечению ИБ.
ЗЫ: шаблон появился на свет силами Сергея Гордейчика, Дмитрия Кузнецова, Алексея Юдина, и не без участия вашего покорного слуги.
По поводу отчёта, предложенного Александром Дорофеевом. Это действительно мало похоже на отчёт по результатам теста на проникновение.
ОтветитьУдалитьНапример, тот же WEP. Отлично, получили пароль, а дальше что? Странно, что пентестер остановился на этом. Получили на втруненней части имена пользователей. Опять же, что дало это? Это всё сканирование уязвимостей с ручной проверкой. Оформление отчёта тоже оставляется желать лучшего, его будет сложно читать как руководству, так и технорям.
угук, "мы выполнили то-то, в результате получили то-то, это нам позволило сделать то-то и в результате было достигнуто то-то" - это, по сути, и называется тестированием, а результат такого тестирования должен быть подробно запротоколирован. Александр же называет это "комиксами" :) см. комменты
ОтветитьУдалитьПрочитал отчет Дорофеева, про "комиксы" он явно не прав.
ОтветитьУдалитьКомментировать смысла нету - ты отлично расписал все в комментах у него на сайте.
Даже просто для тестирования отдельно взятого веб-приложения маловато такой структуры документа.
А классификация нарушителей давно такая появилась? %)))
ОтветитьУдалитьклассификация нарушителей стандартная... переработанная от той, которую ты видел. в частности, введены принципы классификации:
ОтветитьУдалитьЗлоумышленник характеризуется вектором показателей, который описывает как априори присущие ему возможности и способности (базовые показатели), так и прогресс в достижении стоящих перед ним целей.
Базовые показатели:
- уровень мотивации (M);
- уровень квалификации (Q);
- уровень физического доступа (P).
В реальной жизни базовые показатели могут изменяться (например, в процессе реализации атаки злоумышленник может изменить уровень своего физического доступа, получив вакансию в атакуемой организации), однако в рамках теста эти показатели принимаются неизменными.
Временные показатели:
- уровень доступа к целевой системе (AT);
- уровень сведений о целевой информационной системе (SI);
- уровень доступа к смежным информационным системам (AN);
- уровень доступа к внешним информационным системам (AE).
Временные показатели изменяются по мере проведения теста, при этом успешно выполненное действие может привести к увеличению возможностей злоумышленника по одному или нескольким временным показателям.
А я какую видел? :)
ОтветитьУдалить...ту, которую ты углядел в документе.
ОтветитьУдалить