با توجه به مقاله تست نفوذ که به مقدمه ای از گزارشات تست نفوذ پرداخته شد، در این مقاله به جزئیات و ویژگی های یک گزارش تست نفوذ خواهیم پرداخت.
گزارشات تست نفوذ بسیار مهم می باشند و جزئیات ساخت یافته ای مربوط به پروژه تست نفوذ را در اختیار ما قرار می دهند،
یک گزارش تست نفوذ با کیفیت معمولاً از بخش های زیر تشکیل شده است.
خلاصه مدیریتی
این بخش می بایست به گونه ای باشد که مدیران و افراد غیر فنی، ریسک و تاثیر آسیب پذیری های کشف شده در فرایند پروژه تست نفوذ را به خوبی درک کنند.
در حالی که ممکن است کارمندان IT به تمام جزئیات فنی نیاز داشته باشند تا بتوانند به رفع آسیب پذیری ها بپردازند، مدیران سازمان ها
نیازی به درک تکنیک های به کار رفته در شناسایی آسیب پذیری ها ندارند. آنها باید ریسک کسب و کار را درک کنند، چیزی که بخش خلاصه مدیریتی
به خوبی در اختیار آن ها قرار می دهد.
ضروری است که مدیران کسب و کار، گزارشی که در دست دارند، در جهت تصمیم گیری درست و آگاهانه
برای شرکت خود، آن را درک کنند و بخش خلاصه مدیریتی برای محقق شدن این امر الزامی است.
تهیه تصویر و نمودار جهت نمایش نتایج حاصل از اجرای پروژه تست نفوذ می تواند درک نکات پیچیده را تسهیل کند.
شرح ریسک های فنی در گزارش تست نفوذ
اکثر گزارش ها از نوعی سیستم رتبه بندی برای اندازه گیری ریسک ها استفاده می کنند، اما به ندرت به
توضیح علت ریسک می پردازند. تیم فناوری اطلاعات مشتری می بایست تصمیمات سریع و تاثیرگذاری را در مورد
بهترین روش برای رفع آسیب پذیری اتخاذ کند.
از همین رو نیاز است تا در گزارش تست نفوذ با ارائه درست و دقیق ریسک و حساسیت های مرتبط با هر آسیب پذیری،
شواهد مورد نیاز برای مدیران و کارشناسان واحد فناوری اطلاعات تامین شده تا آنها بتوانند
با گرفتن تایید افراد بالادستی در سازمان به اجرای راهکار های امن سازی و رفع آسیب پذیری ها بپردازند.
با ارزش ترین گزارش های آسیب پذیری، گزارش هایی است که با زبانی ساده و دقیق به شرح آسیب پذیری بپردازد
تا مشتریان، خصوصاً مدیران کسب و کار ها آن ها را درک کنند.
پتانسیل تاثیر آسیب پذیری
ریسک را می توان به دو بخش تقسیم نمود: احتمال وقوع و پتانسیل تاثیر آن.
احتمال وقوع آسیب پذیری در اکثر گزارش ها استاندارد است، البته احتمال سوء استفاده (در عین حال مهم)
برای تعریف ریسک کافی نیست. شما اجرای کد از راه دور را پایین تر از افشا شدن آدرس ایمیل در کد ها
HTML نمی دانید. دلیل این امر این است که اولین موضوع به مراتب تاثیر بیشتری بر وب سایت خواهد
گذاشت.
یک گزارش ارزیابی فقط برای کارمندان IT نمی باشد، مدیران نیز باید بدانند که چگونه یک آسیب پذیری تاثیر
مستقیمی در سازمان خواهد گذاشت. احتمال وقوع و تاثیر احتمالی یک آسیب پذیری، مولفه اصلی یک
گزارش عالی می باشد.
ارائه چندین روش برای رفع آسیب پذیری
بیشتر گزارش های تست نفوذ شامل توضیحات عمومی و کلی در رابطه با نحوه رفع آسیب پذیری ها میباشد.
اگر مشتری، یک سرویس آسیب پذیر در حال اجرا بر روی یک وب سرور داشته باشد، یشنهاد تیم تست نفوذ
نباید غیر فعال نمودن آن سرویس باشد و باید همه جوانب را در نظر گرفت.
البته مهم است که به مشتری یک روش ساده همچون جلوگیری از حملات SQL injection با استفاده از
پیکربندی فایروال را گزارش دهیم.
یک گزارش تست نفوذ با کیفیت، گزینه های مختلفی را جهت جلوگیری از آسیب پذیری در اختیار مشتریان
قرار می دهد تا تیم IT به سرعت بتواند مشکلات بوجود آمده را برطرف کند.
منبع خبر: