在渗透测试结束时生成的报告是该过程中最重要的方面。这是一种结构化的方式来展示测试发现的细节,包括使用的方法、现有安全系统的有效性以及需要改进的地方。良好的文档可为组织提供有关当前漏洞和保护数据的可行策略的宝贵见解。虽然细节、清晰度和结构是好的渗透测试报告的重要组成部分,但在内容方面,有六个基本要素可以提升报告并使其真正有价值。
1. 风险等级说明
由于没有标准化的风险级别描述,因此报告具有风险级别测量值非常重要,以便读者了解每个发现的风险级别。一个明确定义的描述支持渗透测试报告的其余部分。如果组织中的领导者未能提高安全性,他们必须了解他们可能遭受的潜在损失,这一点很重要。测试人员识别出的每个风险都应该分为不同的级别:
-
重大风险
-
高风险
-
中等风险
-
低风险
-
信息发现
-
补救结果
2. 执行摘要
一份好的渗透测试报告首先要对其内容进行清晰简洁的总结,并以简单的非技术语言进行布局,即使没有软件或技术背景的人也能理解。执行摘要的主要目的是向组织有效地传达安全漏洞的风险和后果。为了做到这一点,摘要应提及范围、目标、方法、访问的数据、可能的损失和建议。该摘要对于项目管理或组织的高管了解风险和建议至关重要。如果摘要提供行业平均值的客户端漏洞比较图,以使公司了解它们在互联网安全领域中的位置,这也很有用。渗透测试团队提供此信息以帮助客户更好地了解他们的安全状况。
3.方法
方法部分应突出测试的范围和目标。为确保符合大多数监管要求,请务必询问渗透测试人员他们使用什么方法来确保满足监管要求。
4. 方法论
该方法显示了高级阶段以及测试了哪些领域。渗透测试报告通常应强调 4 个阶段,它们是:
-
侦察与测绘
-
发现
-
开发
-
报告
方法部分应说明进行了哪些测试以及测试是自动进行还是手动进行。并非所有测试都可以以自动化方式进行,了解所涉及工作背后的综合性很重要。
5. 技术发现
渗透测试报告应阐明被访问资产的价值以及违规的可能后果。测试期间访问的数据也应包括在内。如果被黑客入侵,有不同类型的数据会使组织或企业容易受到攻击。资产包括可能对其竞争有利的企业信息,或可能违反隐私法的消费者数据。不同的资产对组织具有不同的重要性,这使得详细的报告至关重要。对组织品牌的影响在违反客户数据后可能无法挽回。消费者对其个人信息和数据的保护变得非常敏感。因此,组织将明智地通过进行渗透测试来说明他们如何关心他们的数据和客户的数据。
6. 建议
对于每个系统和组织,建议应该是详细且独特的。还应包括重现发现的记录步骤,以确保应用程序开发人员可以在重新测试之前验证补救工作。应包括与客户特定安全状态相关的独特和定制建议。报告的建议部分应概述对当前系统内的调查结果进行根本原因分析、概述常见主题并提供解决问题的策略。一份出色的渗透测试报告还将提供将这些新建议实施到您公司的安全框架中的长期实施解决方案。
结论
了解渗透测试报告中的发现和建议对于为公司做出明智的安全决策非常重要。填补空白并防止应用程序或系统中仍然存在漏洞也很重要。在进行成功的渗透测试并实现互联网安全业务目标时,值得信赖的渗透测试合作伙伴是关键。
原文始发于微信公众号(河南等级保护测评):从渗透测试报告中可以期待什么
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论