Reportar los Resultados de una Prueba de Penetración

¿De qué sirve una prueba de penetración si el cliente no puede descifrar los resultados?. Aunque la fase del reporte alguna veces se ve como una ocurrencia tardía, es importante enfocarse en este fase para producir un producto de calidad para el cliente.

Formato del Reporte

El formato de un reporte puede variar, pero los siguiente puntos deben estar presentes:

  • Tabla de contenidos
  • Resumen ejecutivo
  • Metodología utilizada
  • Hallazgos priorizados por unidad de la empresa, grupo o departamento
    • Hallazgos
    • Impacto
    • Recomendación
  • Registro detallado capturas de pantallas en el apéndice

La presentación de los hallazgos de una manera priorizada es recomendada. Es cierto no todas las vulnerabilidades se crean igual. Algunas necesitan ser solucionadas inmediatamente, mientras otras pueden esperar. Una buena perspectiva para priorizar es utilizar la probabilidad de compromiso administrativo remoto. Los hallazgos críticos pueden conducir hacia un compromiso remoto administrativo (actualmente), y deben ser solucionados inmediatamente. Los hallazgos altos son importantes, pero tienen un factor de mitigación involucrado para minimizar el riesgo hacia un compromiso directo. Por ejemplo, tal vez un sistema esté detrás de un firewall interno únicamente accedible desde un segmento de red particular. Los hallazgos críticos necesitan ser arreglados en séis meses. Los hallazgos medios son menos importantes y deben ser arreglados en un año. Los hallazgos bajos son informativos, y pueden no ser arreglados del todo. Las cronologías recomendadas pueden variar de profesional en profesional, pero las prioridades deben ser presentadas, de otra manera, el cliente puede verse abrumado con el trabajo realizado, y no hacer nada.

Presentar los hallazgos agrupados por unidad de la empresa, grupo o división, son también recomendados. Esto permite el reporte sea dividido y manejado en grupos relevantes, manteniendo la información sensible dentro del grupo.

Exposición del Reporte

La exposición del reporte es una reunión formal para presentar un resumen de los hallazgos, tendencias y recomendaciones para la mejora. Es útil descubrir como el cliente está organizado. Entonces, la exposición puede ser personalizada por unidad de la empresa, grupo o departamento. Esto puede ser útil para entregar los hallazgos para cada grupo separadamente. Esto reduce la tendencia natural de la defensividad cuando se discuten los problemas entre grupos de compañeros. Si existe más de una semana entre el comienzo de la prueba de penetración y la exposición actual, un rápido resumen de los hallazgos críticos, tendencias y recomendaciones deben ser proporcionadas al final de la evaluación. Esto permitirá al cliente empiece a corregir problemas antes de la exposición formal.

Fuentes:

https://github.com/juliocesarfort/public-pentesting-reports
https://www.offensive-security.com/reports/sample-penetration-testing-re...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1