Como desenvolver um bom relatório de PenTest?

Como desenvolver um bom relatório de PenTest? A partir de um relatório de PenTest é que uma organização vai definir sua estratégia.

Em um PenTest uma das etapas essenciais são os relatórios finais, pois é aonde você vai evidências todo o processo realizado em um teste, seja os seus detalhes e os métodos utilizados no processo.

A partir de um relatório de PenTest é que uma organização vai definir toda à etapa decisiva para implementar os melhores controles de segurança para remediar as vulnerabilidades encontradas.

Porém, antes de tudo, você não pode confundir uma Analise de Vulnerabilidade com um PenTest, quer ver à diferença?

Analise de Vulnerabilidade: Tem como objetivo, levantar todas as vulnerabilidades de um ambiente para realizar sua gestão depois, mas claro que nem todas as ferramentas tem como propósito gerir uma vulnerabilidade, que seria o processo de remediar ou tomar as melhores medidas para que essa vulnerabilidade não se torne um risco gigantesco. Em resumo, uma analise de vulnerabilidade tem como objetivo ver a saúde de um ambiente e calcular o seu risco a partir disso.

PenTest: Já o PenTest é algo mais Hardcore, é o momento que você não fica apenas na analise, mas também testa as vulnerabilidades para ver o impacto que ela traria caso um Hacker Malicioso ou um Cibercriminoso explora-se essas vulnerabilidade. Porém, em um PenTest você tem N diferentes formas de trabalhar, sendo o mais famoso o Black Box aonde você simula um ataque real ou o máximo possível da realidade, sem conhecimento nenhum do ambiente.

Agora que você já sabe mais ou menos o que é um PenTest, vamos direto ao assunto, caso você queira conhecer as metodologias por trás de um PenTest eu recomendo:

http://www.pentest-standard.org/index.php/Main_Page

https://www.isecom.org/research.html

https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf

Existem outras, mas essas três são as mais famosas, fora o Mitre Attack e o Cyber Kill Chain que são frameworks que podem te ajudar nos seus testes. Agora vamos para o que interessa.

Qual é o objetivo de um relatório?

Por que temos que relatar algo? É óbvio que com um relatório você consegue ter uma prova de conceito mais concreta sobre os testes realizados no ambiente, porém existem outros motivos, como por exemplo:

  • Ajudar à equipe de Gestão ou a alta diretoria à realizar investimentos necessários para implementar os melhores mecanismos de proteção;
  • Dar suporte à equipe de segurança e de operação para solucionar os principais problemas de segurança no ambiente;
  • O Relatório serve como métrica para medir à maturidade do negócio daquela empresa e a sua importância com a segurança, além de medir o trabalho da equipe de segurança sobre a aplicação das melhores práticas de proteção;
  • Serve como uma prova dos testes realizados e de que tudo foi devidamente realizado sem fugir do escopo determinado;
  • E provê informações relevantes sobre os testes realizados no ambiente caso aja um incidente durante ou posteriormente, após os testes de vulnerabilidade;

Em resumo são esses alguns dos motivos, mas poderia citar milhares, pois documentar algo é um processo bastante importante na área de segurança da informação. Se você for contratar um serviço de PenTest, questione o prestador sobre o modelo de relatório e as metodologias utilizadas no teste, claro isso é definido no KICK-OFF ou antes mesmo, quem é mais comercial pode auxiliar nessa questão..

E claro, existe os tipos de relatórios que são desenvolvidos de acordo a necessidade da empresa e por quem será lido.

Tipos de relatórios

Existem diversos, porém os mais comuns são:

  • Relatório Executivo: Nesse relatório você tem o resumo dos testes, todo seu processo, tempo gasto e o que foi testado, além dos resultados que você obteve nesses testes e as recomendações também;
  • Relatório de Host: Esse geralmente é utilizado em PenTest ao qual o serviço é cobrado por Host ativo na rede, então no relatório você tem todos os detalhes do Host, sua função, seus serviços, suas vulnerabilidades e o resultado final;
  • Relatório do Lado Cliente: Nesse você dá os detalhes do que você levantou do lado cliente, ou seja, o que você consegue levantar realizando testes na perspectiva de um usuário, seja um exploit para versão da aplicação utilizada, detalhes de outros usuários, informações de sistemas comprometidos ou expostos e etc;
  • Relatório de Vulnerabilidades: Em resumo, você vai ter os detalhes de todas as vulnerabilidades encontradas no PenTest e as que são mais fáceis de explorar ou as mais difíceis;
  • Relatório Ativo: Por fim, esse é o relatório mais utilizado ao qual descreve todos os detalhes e informações das tarefas utilizadas em um PenTest;

Com base nesses relatórios, você mescla todos eles e faz o Report Final ou o Full Report que contém todos os detalhes necessários para que à equipe de segurança possa iniciar o processo de mudanças no ambiente e gerir todos os riscos.

Mas como fazer um bom relatório de PenTest? Essa é à dúvida de muitos, por isso vou tentar dar algumas dicas, mas antes, uma recomendação.

Primeiramente é necessário que você tenha um relatório de Linha de tempo antes, principalmente para definir o momento em que você inicia os testes, no caso, horário e data do terminal e de um relógio confiável, além das informações de hosts que você vai cutucar, pois qualquer incidente que ocorrer você não será responsável caso seja um servidor que você nem esteja mexendo no momento, pois já teve cases de colegas que ao realizarem os testes de vulnerabilidade em um servidor, ele caiu e infelizmente ter tido algumas dores de cabeça por não possuir o relatório de linha de tempo, mas depois provou-se ao contrário e o servidor caia direto.

Como fazer um bom relatório de PenTest?

  • Seja conciso e objetivo, não coloque informações técnicas em um relatório executivo, não é necessário, faça algo que até alguém leigo consiga entender a gravidade;
  • Em um relatório ativo ou um Full Report é recomendado que você escreva de uma forma profissional, sem achismo, mas sim certezas com base e fundamentos, lembre-se que uma vulnerabilidade simples pode custar milhões no futuro;
  • No relatório final é sempre bom ter Provas de Conceitos, ferramenta que foi utilizada para o teste, informações da vulnerabilidade encontrada, grau de risco, seu impacto e até mesmo até onde você consegue chegar;
  • Caso esteja no escopo, você deve justificar as recomendações utilizadas e as analises feitas para isso, pois uma correção pode ser que traga problemas, então ter uma fonte confiável deixa seu relatório com mais propriedade ainda, caso ainda não tenha um patche é sempre bom colocar informações do que pode ser feito para ir gerindo aquela vulnerabilidade e controlar seu risco. Geralmente você pode citar isso em uma apresentação executiva ou para equipe de segurança;
  • Informar os padrões e metodologias utilizadas nos seus testes, pois assim você consegue trazer a confiança do cliente quando você utiliza metodologias reconhecidas no mercado;
  • Sempre antes de fazer um relatório, faça o planejamento, colete e documente as informações que você vai adquirindo no processo de pentest, desde da fase inicial, escreva o seu relatório e por fim faça á revisão dele, seja no quesito ortografia ou até mesmo dos dados coletados. Um template seu é sempre bem vindo e essenciais, todos nós devemos ter, mas muita das vezes as coisas mudam de um cliente para o outro, por isso não seja genérico, trate seu cliente com exclusividade 
  • E claro, garanta a confidencialidade do seu relatório, seja enviado por um e-mail criptografado (PGP) ou até mesmo enviado por canais seguros, pois um relatório na mãos erradas, é que nem jogar gasolina em uma queima de pneus, só vai piorar!

Por fim, como planejar e revisar o meu relatório?

Planejando e Revisando seu relatório de PenTest

  • Determinar o objetivo principal do seu relatório de PenTest, dar um contexto, pois tendo um propósito principal você consegue revisar o seu relatório com informações relevantes;
  • Defina para quem será tal relatório antes de planejar, pense que cada um tem um grau diferente de compreensão, pois é óbvio que o Diretor não tem a mesma visão de um especialista em segurança, então sempre faça o seu planejamento pensando na audiência alvo;
  • Considere planejar o tempo do projeto de PenTest junto com o relatório, pois com todo o processo realizado você vai precisar ter um tempinho a mais para dar uma tratada na documentação para assim gerar um relatório legível e agradável, exemplo são as certificações da Offensive Security e da eLearning Security também;
  • Por favor! Mantenha a confidencialidade do PenTest, não saia compartilhando nas redes sociais prints do seu terminal, isso além de ser antiético, desqualifica qualquer profissional na hora, sempre mantenha informações sensíveis em locais separados e de preferência criptografados com fácil recuperação;
  • Determine o formato fínal do relatório com o cliente, sempre de acordo com o que foi definido no inicio, antes de sair compartilhando alguma informação, tenha consentimento legal da empresa para não ter futuras dor de cabeça;
  • Na hora da revisão é sempre bom ter perspectivas de pessoas diferentes, por isso é sempre bom mais de um para ajudar no desenvolvimento dos seus relatórios;
  • Depois de revisar o relatórios é sempre bom salvar um cópia e guardar as mudanças feitas;
  • Prepare o formato do relatório final que o cliente deseja, seja no formato de documento ou de apresentação;
  • Coloque sempre à importância de um PenTest, seja para se adequar à um padrão como o PCI, mas também para proteger seu ambiente e medir o risco da sua organização;
  • E as recomendações da remediação ou é pesquisador pelo time de segurança da empresa, ou caso contrate seus serviços, você mesmo pesquisa e coloca no relatório;

Conclusão

Essas são algumas dicas que eu deixo para você desenvolver seu relatório de PenTest, sendo uma das etapas mais chatas e uma das mais decisivas em um PenTest, pois um relatório é seu cartão postal de fidelidade com o cliente e o bilhete premiado dele.

Caso precise de uma ferramenta para auxiliar você nos testes de vulnerabilidades ou até nos seus estudos, eu aprimorei um script que faz backup dos seus dados diretamente na nuvem via terminal.

https://github.com/CyberSecurityUP/backup-fu

Se procura templates, segue meu outro repositórios.

https://github.com/CyberSecurityUP/information-security-relatory

E claro, siga outros profissionais da área que possuem mais experiências!

Security Awareness|Ethical Hacker|OWASP|Wireless Hacking|Cyber Security Consultant|Cyber Security Mentor|Article Writer|Offensive Security