Pentest: Membuat Laporan Hasil Penetration Test (Pentest)
Pada akhir uji penetrasi, semua data perlu diubah menjadi informasi yang memungkinkan pemilik bisnis dan jaringan untuk mengambil tindakan. Meskipun tujuan dari tes penetrasi dapat bervariasi, kebutuhan untuk mendokumentasikan keseluruhan proses dan memasukkan hasilnya ke dalam format yang mudah dicerna tetap sama. Beberapa hal yang harus dimasukkan dalam laporan eksekutif termasuk yang berikut ini:
Halaman Depan:
- Logo Perusahaan
- Judul dan Penjelasan singkat tentang test yang dilakukan.
- Pengingat akan kerahasiaan dokumen.
- Tanggal dan waktu pengujian.
Halaman sampul harus profesional dan menarik perhatian. Jika anda memiliki gambar logo perusahaan anda, halaman sampul adalah tempat yang ideal untuk menampilkannya.
Halaman berikutnya adalah daftar isi yang berfungsi sebagai indeks materi yang termasuk dalam laporan. Menambahkan indeks memungkinkan pembaca dengan cepat melompat ke lokasi yang diinginkan. Ini sangat penting ketika orang tersebut menghadiri pertemuan atau membutuhkan penyegaran singkat tentang apa yang diliput laporan.
Halaman selanjutnya adalah ringkasan eksekutif, yang dapat digunakan untuk meninjau kembali temuan dengan cepat. Ringkasan Eksekutif dapat bervariasi, berdasarkan target audiens. Dalam contoh, kita akan berasumsi bahwa kita tidak tahu kepada siapa laporan itu disajikan dan dengan demikian mencoba untuk mencakup semua basis — para manajer teknis dan non-teknis.
Eksekutif summary harus memberikan seseorang yang tidak terlibat dalam proses pengujian dari awal untuk dapat informasi yang cukup untuk tahu pengujian apa saja yang dilakukan, dan tujuan pengujiannya. Ini juga harus memberikan gambaran singkat tentang temuan dan apakah temuan khusus yang perlu perhatian segera. Lihat pada contoh berikut.
Pada kesempatan ini, kita berhasil menangkap beberapa area utama dalam satu halaman. Informasi harus singkat dan langsung to the point dan jargon teknis harus dihindari sebisa mungkin, karena laporan akhirnya dapat diberikan kepada anggota tim manajemen yang nonteknis.
Dalam bahasa yang lebih sederhana, seseorang harus membiayai perbaikan semua hole / lubang yang anda temukan, tetapi mereka tidak mungkin melakukannya jika mereka tidak memahami laporan anda.
Bagian-bagian utama yang harus dicakup dalam kurang dari satu halaman termasuk judul dan deskripsi singkat, ruang lingkup atau pengantar, dan timeline yang pengujian. Banyak orang tidak mengerti bahwa seseorang melakukan tes penetrasi dibatasi oleh sumber daya sama seperti bagian tim lainnya. Jika butuh 2 hari untuk memecahkan password, tetapi anda hanya memiliki satu hari untuk melakukan pengujian, itu tidak berarti bahwa password aman. Itu hanya berarti bahwa anda tidak memiliki waktu yang cukup untuk melakukan pengujian dengan benar.
Bagian FINDINGS dalam ringkasan eksekutif sangat penting. Sebagian besar tim manajemen mungkin tidak akan pernah membaca tentang semua langkah yang harus dilakukan / diambil untuk menemukan lubang-lubang ini; mereka hanya ingin tahu apa yang mereka dan apa yangprioritas untuk setiap jenis sehingga mereka dapat mulai mengeluarkan strategi perbaikan dan perencanaan. Contoh tulisan tentang FINDINGS yang ada bisa dilihat pada gambar berikut.
Kita tidak hanya dengan jelas mendefinisikan dan meringkas temuan, tetapi kita juga menyediakan bagan yang bagus untuk membantu dalam visualisasi temuan. Dengan memecah kerentanan untuk klien, Anda membuat hidup mereka lebih mudah dan mungkin menghindari harus melakukan kunjungan lagi di masa depan hanya untuk membahas kembali temuan anda.
Penting untuk menyediakan diagram jaringan yang jelas dari perspektif anda. Hal ini memungkinkan klien untuk memahami bahwa semua sistem yang sesuai telah diuji, dan dalam beberapa kasus memaparkan masalah-masalah yang bahkan tidak disadari oleh klien, seperti sistem pada jaringan yang belum tentu termasuk. Idealnya, anda akan memiliki satu daftar semua layanan yang tersedia di jaringan. Dalam contoh di sini, kiya hanya mencantumkan port dan deskripsi karena kita tahu hanya ada satu sistem yang terlibat. Metode lain adalah dengan mendaftar semua layanan yang ada, yang berisi, Port, Keterangan, System / IP address server.
Daftar seperti ini dapat menjadi dapat ditindaklanjuti jika ada layanan pada sistem yang seharusnya tidak ada. Contoh, server pengembangan masih menjalankan web yang seharusnya ditutup beberapa tahun yang lalu.
Akhirnya, kita bisa menuliskan beberapa laporan terperinci. Ini adalah kesempatan anda untuk membuat daftar temuan secara rinci dan juga memberikan informasi tentang bagaimana masalah ini ditemukan. Biasanya tidak ada batasan untuk jumlah data yang dapat ditempatkan di bagian laporan rinci. Pastikan untuk memberikan setidaknya informasi yang cukup sehingga administrator dapat mencoba untuk meniru bagian tertentu dari pengujian untuk memastikan setiap kontrol mitigasi yang telah diberlakukan benar-benar berfungsi.
Pada titik tertentu dalam dokumen, metodologi yang digunakan harus diterangkan, baik itu mengambil bagian dari metodologi standar atau bahkan sesuatu yang anda kembangkan sendiri — penting untuk memahami apa yang anda lakukan. Di sinilah catatan yang anda miliki menjadi sangat berguna. Cotnoh methodology adalah sebagai berikut.
Referensi pihak ketiga
Jika anda melihat lebih dekat, anda akan mencatat bahwa ada bagian untuk remediasi. Semua informasi yang diperlukan untuk meremediasi masalah sudah ada dalam laporan, tetapi kadang-kadang baik untuk membuat daftar sistem rentan yang terkait dengan kerentanan tertentu. Hal ini menjadikannya cepat dan mudah bagi suatu bisnis untuk mengatasi kerentanan secara logis. Misalnya, administrator dapat ditugaskan untuk memperbarui semua versi SAMBA di jaringan, dan dengan bagian remediasi dalam laporan anda, mereka dapat langsung bekerja di daftar.
Informasi tambahan apa pun yang tidak terkait langsung dengan penyediaan data yang dapat ditindaklanjuti harus ditambahkan ke lampiran. Ini termasuk dump data besar seperti daftar direktori, URL, perangkat lunak dan versi yang diinstal, dan sebagainya.