Penetration-testing-report-writing
侵入テスト-レポート作成
侵入テストのレポートを作成することは、個別に学習する必要がある技術であるため、経験豊富な侵入テスターが良いレポートを作成できる必要はありません。
レポート作成とは何ですか?
侵入テストでは、レポート作成は、方法論、手順、レポートの内容と設計の適切な説明、テストレポートの詳細な例、およびテスターの個人的な経験を含む包括的なタスクです。 レポートが作成されると、上級管理スタッフと対象組織の技術チームで共有されます。 将来そのような種類のニーズが発生した場合、このレポートは参照として使用されます。
レポート作成段階
包括的な執筆作業が関係しているため、浸透レポートの執筆は次の段階に分類されます-
- レポート計画
- 情報収集
- 最初のドラフトを書く
- レビューと最終化
レポート計画
レポートの計画は、読者が侵入テストの主要なポイントを理解するのに役立つ目標から始まります。 このパートでは、テストが実施される理由、ペンテストの利点などについて説明します。 第二に、レポートの計画にはテストにかかった時間も含まれます。
レポート作成の主要な要素は次のとおりです-
- 目的-ペンテストの全体的な目的と利点について説明します。
- 時間-システムの正確なステータスを提供するため、時間を含めることは非常に重要です。 レポートに特定の期間における侵入テストの範囲のリスクと脆弱性が示されるため、後で何か問題が発生した場合にこのレポートがテスターを救うと仮定します。
- 対象読者-ペンテストレポートには、情報セキュリティマネージャー、情報技術マネージャー、最高情報セキュリティ責任者、技術チームなどの対象読者も含める必要があります。
- レポート分類-サーバーIPアドレス、アプリケーション情報、脆弱性、脅威を運ぶのは非常に機密性が高いため、適切に分類する必要があります。 ただし、この分類は、情報分類ポリシーを持つターゲット組織に基づいて行う必要があります。
- レポート配布-コピーの数とレポート配布は、作業範囲で言及されるべきです。 また、ハードコピーは、その番号と受信者の名前を添付した限られた数のコピーを印刷することで制御できることにも言及する必要があります。
情報収集
複雑で時間のかかるプロセスのため、ペンテスターは、テストのすべての段階ですべての情報を収集したことを確認するために、すべての手順に言及する必要があります。 メソッドに加えて、彼はシステムとツール、スキャン結果、脆弱性評価、彼の発見の詳細などについても言及する必要があります。
最初のドラフトを書く
テスターはすべてのツールと情報を準備できたので、最初のドラフトを開始する必要があります。 主に、彼は詳細の最初のドラフトを書く必要があります-すべてに言及する すべてのアクティビティ、プロセス、および経験。
レビューと最終化
レポートを作成したら、最初に作成者自身がレビューし、次に彼を支援した可能性のある先輩または同僚がレビューする必要があります。 レビュー中、レビュー担当者はレポートのすべての詳細を確認し、修正が必要な欠陥を見つけることが期待されます。
侵入テストレポートの内容
以下は、侵入テストレポートの典型的な内容です-
エグゼクティブサマリー
方法論
詳細調査結果
参考文献
|
