Курсовая с практикой на тему Организационные и технические аспекты написания отчета о проведении теста на проникновение.

Содержание:

Введение 3
1. Общие сведения 5
2. История 7
3. Инструменты 10
4. Этапы испытаний на проникновение 11
4.1. Уязвимости 11
4.2. Полезная нагрузка 12
5. Стандартизированные государственные услуги по тестированию на проникновение 13
Заключение 14
Литература 16

Введение:

В связи с проведением комплексной письменной работы составление отчета о проникновении делится на следующие этапы:
• Планирование отчетов
• Сбор информации
• Написание первого черновика
• Обзор и завершение
Планирование отчета начинается с целей, которые помогают читателям понять основные моменты тестирования на проникновение. В этой части описывается, почему проводится тестирование, каковы преимущества ручного тестирования и т. д. Во-вторых, планирование отчетов также включает время, затраченное на тестирование.
Основными элементами написания отчета являются:
Цели — описывает общую цель и преимущества ручного тестирования.
Время — Включение времени очень важно, так как оно дает точное состояние системы. Предположим, что если что-то случится позже, этот отчет спасет тестировщика, так как отчет проиллюстрирует риски и уязвимости в области тестирования на проникновение в течение определенного периода времени.
Целевая аудитория. Отчет о тестировании пера также должен включать целевую аудиторию, такую как менеджер по информационной безопасности, менеджер по информационным технологиям, главный специалист по информационной безопасности и техническая группа.
Поскольку конфиденциальные данные, содержащие IP-адреса сервера, информацию о приложениях, уязвимости, угрозы, носят конфиденциальный характер, их необходимо правильно классифицировать. Однако эту классификацию необходимо проводить на основе целевой организации, которая имеет политику классификации информации.
Распространение отчетов — в объеме работ следует указать количество копий и распространение отчетов.
После составления отчета он должен быть сначала рассмотрен самим составителем, а затем его старшими или коллегами, которые могли ему помочь. При проверке рецензент должен проверить каждую деталь отчета и найти любые недостатки, которые необходимо исправить.
В связи с вышеперечисленным мы понимаем актуальность темы, и сложность самой работы формирования отчета.
Целью данной работы будет описание организационных и технических аспектов при формировании отчета при проведение теста на проникновения.
Задачами будет:
1. Описание представления и возникновения теста на проникновения
2. Описание инструментов, для его проведения и формирвоания отчета
3. Описание этапов испытаний
4. Международная стандартизация

Заключение:

Отчеты о тестах на проникновение очень важны и предоставляют вам структурированную подробную информацию о тестировании после завершения сражения. Однако часто в этой критически важной документации отсутствуют ключевые аспекты того, что должно быть включено, и клиенты начинают сомневаться в практической ценности своих оценок — и это справедливо. Отчет это все.
Несмотря на то, что есть много хороших вещей, которые можно включить в отчет, можно выявить основные четыре качества при выполнении отчета:
1 — Резюме для стратегического направления
Резюме на высоком английском языке дает представление о рисках и влиянии на бизнес на высоком уровне. Цель состоит в том, чтобы быть кратким и ясным. Это должно быть то, что нетехнические читатели могут рассмотреть и понять проблемы безопасности, выделенные в отчете.
В то время как ИТ-персоналу могут понадобиться все технические детали, руководителям не нужно разбираться в технологии. Они должны понимать бизнес-риски, что-то хорошее, эффективное резюме будет эффективно сообщать. Крайне важно, чтобы бизнес-лидеры понимали, что поставлено на карту, чтобы принимать обоснованные решения для своих компаний, и исполнительное резюме необходимо для достижения такого понимания.
Визуальное общение может также помочь в четком изложении сложных моментов. Ищите графики, диаграммы и аналогичные визуальные эффекты при передаче сводных данных, представленных здесь.
2 — прохождение технических рисков
В большинстве отчетов используется какая-то система рейтингов для измерения риска, но редко они тратят время на объяснение риска. ИТ-отдел клиента должен принять быстрые и эффективные решения о том, как наилучшим образом устранить уязвимости. Для этого им нужно одобрение людей наверху. Просто заявить, что что-то опасно, не означает риска.
Например, если обнаружена критическая уязвимость, позволяющая загружать файлы на портал здравоохранения, есть два способа сообщить об этом:
1 — технически точный — веб-приложение компании X не ограничивает загрузку пользователей по типу файла, создавая уязвимость, позволяющую злоумышленнику удаленно выполнять произвольный код и повышать свои привилегии в приложении.
2. Как точный, так и контекстуальный. Веб-приложение компании X не ограничивает загрузку пользователей по типу файла, создавая уязвимость, позволяющую злоумышленнику удаленно выполнять произвольный код и повышать свои привилегии в приложении. В этом случае злоумышленник сможет просматривать медицинские записи любого пользователя и работать в качестве администратора в приложении.
Второй имеет больший вес, указывая не только на технические аспекты, но и на бизнес. Наиболее ценные доклады — это те, которые говорят со всеми членами аудитории на понятном им языке, особенно на руководящих должностях.
Например, если ваша команда обнаружит, что клиентский веб-портал управления здравоохранением позволяет пользователям загружать изображение профиля, но не запрещает им загружать произвольный код, существует два способа сообщить об этом:
3 — Потенциальное влияние уязвимости
Риск можно разбить на две части: вероятность и потенциальное воздействие.
Вероятность является стандартной в большинстве отчетов об оценке. Конечно, шансы на эксплуатацию, хотя и важны, недостаточны для определения риска. Вы не оценили бы глубинное выполнение удаленного кода ниже, чем адрес электронной почты разработчика, явно присутствующий в HTML-скрипте. Это потому, что первое будет гораздо более эффективным для клиента.
Если вы думаете, что видите тему здесь, вы не ошибаетесь. Отчет об оценке предназначен не только для ИТ-персонала. Руководители должны увидеть, как уязвимость, которая может быть у любого, напрямую повлияет на их организацию. Учет как вероятности, так и потенциального влияния эксплуатации на общий риск является важным компонентом превосходного отчета.
4 — Варианты исправления множественных уязвимостей
Большинство отчетов о тестах на проникновение будут включать общее высокоуровневое описание того, как решать эти проблемы; тем не менее, эти общие «всеохватывающие» руководства по исправлению часто не отвечают требованиям, когда речь идет об уникальном контексте потребностей клиента. Если у клиента есть уязвимая служба, работающая на веб-сервере, от которого он зависит, исправление должно предложить больше, чем просто сказать, что нужно просто полностью отключить службу.
Конечно, важно сообщить клиенту, что существует простой метод фильтрации SQL-инъекций или настройка его брандмауэра для блокировки определенных атак. Тем не менее, качественный отчет о тестировании предоставит вам несколько вариантов исправления, которые достаточно подробны, чтобы подготовить ИТ-команду клиента к быстрому решению. Предполагая, что внутренний персонал уже знает, как устранить все уязвимости, значительно снижает ценность теста на проникновение.
Ко всему этому в работе предоставлено полное описание что из себя представляет тест на проникновение.

Фрагмент текста работы:

Тест на проникновение, в просторечии известный как тест пера, PenTest или этическое хакерство, является уполномоченными смоделироваными кибератаками на компьютерную систему, выполненными для оценки безопасности системы. [1] [2]
Тест проводится для выявления как слабых мест (также называемых уязвимостями), в том числе потенциала для неавторизованных сторон получить доступ к функциям и данным системы, [3] [4], а также сильные стороны, [5] позволяет провести полную оценку риска.
Процесс обычно определяет целевые системы и конкретную цель, затем просматривает доступную информацию и предпринимает различные способы для достижения этой цели. Целью теста на проникновение может быть белый ящик (который предоставляет справочную и системную информацию) или черный ящик (который предоставляет только основную информацию или не предоставляет никакой информации, кроме названия компании). Тест на проникновение в «серый ящик» представляет собой комбинацию из двух (где ограниченные знания о цели передаются аудитору). [6] Тест на проникновение может помочь определить, является ли система уязвимой для атаки, если защиты были достаточными, и какие защиты (если таковые имеются) были побеждены тестом. [7] [5]
О проблемах безопасности, которые обнаруживает тест на проникновение, следует сообщать владельцу системы. [8] Отчеты о тестах на проникновение могут также оценить потенциальное воздействие на организацию и предложить контрмеры для снижения риска. [8]
Национальный центр кибербезопасности, описывает тестирование на проникновение, как: «Способ для получения уверенности в безопасности ИТ — системе, пытаясь нарушить некоторые или все безопасность этой системы, используя те же инструменты и методы, как состязательная мощь.» [9]
Цели теста на проникновение различаются в зависимости от типа утвержденного действия для любого конкретного задания, основная цель которого заключается в поиске уязвимостей, которые могут быть использованы злоумышленником, и информировании клиента об этих уязвимостях наряду с рекомендуемыми стратегиями смягчения. [10]
Тесты на проникновение являются компонентом полного аудита безопасности. Например, стандарт безопасности данных индустрии платежных карт требует регулярного тестирования на проникновение и после системных изменений. [11]
Существует несколько стандартных рамок и методологий для проведения тестов на проникновение. К ним относятся Руководство по методологии тестирования безопасности с открытым исходным кодом (OSSTMM), Стандарт выполнения тестирования на проникновение (PTES), Специальная публикация NIST 800-115, Структура оценки безопасности информационной системы (ISSAF) и Руководство по тестированию OWASP.