¿Debe un informe de pentest incluir la opinión del evaluador?

13

En este caso particular, el servidor web resultó ser un sistema de terceros compartido y no se probó.

Ejemplos:

  

Expresamos una gran preocupación por la postura de seguridad general de ese servidor web y la posible exposición a $client

     

En general, creemos que $client es un objetivo de ataque de bajo perfil y alto valor. La información pública disponible sobre el valor de los fondos administrados por la compañía combinada con el número de proveedores externos y la debilidad del sitio web de la compañía podría motivar a un atacante, con conocimiento de la compañía.

¿Es apropiado incluir ese lenguaje?

    
pregunta Jeff Ferland 01.02.2012 - 19:55
fuente

2 respuestas

10

En general, las tres capas más valiosas de informes de pruebas de penetración son:

  • Técnico: cuál es el problema, cómo repetirlo y cómo solucionarlo: esto es lo que requerirá el equipo de desarrollo / TI y debería estar en lenguaje técnico
  • Negocios: ¿Qué significa cada vulnerabilidad para la organización en términos de riesgo, impacto, pérdida, etc.? Esto debe estar en el idioma que un funcionario de riesgos, FD o CIO pueda entender
  • Experiencia: este es un panorama más amplio basado en la experiencia con el cliente, en la industria y en el análisis de tendencias a largo plazo y nuevas amenazas. Esto debe estar dirigido a la junta y debe proporcionar orientación estratégica

La opinión suele ser una palabra demasiado fuerte, ya que puede significar algo bastante fuerte, especialmente en un entorno de auditoría, lo que puede significar que asumas una gran responsabilidad.

En su ejemplo específico, sin más contexto, diría que la redacción parece razonable, y puede ayudar a elevar el perfil de un área que pueden haber pasado por alto, y al menos entrar en el radar desde una perspectiva de riesgo (lo que luego hacer con esto es una decisión de negocios)

    
respondido por el Rory Alsop 01.02.2012 - 20:09
fuente
5

La opinión de un experto generalmente tiene más peso que la de un no experto. Dado que (presumiblemente) lo contrataron para realizar una prueba de la pluma, todas las opiniones que ofrezca deben considerarse en la misma medida que cualquier otro análisis. Una opinión se debilita si no está respaldada por hechos y otra evidencia analítica de apoyo para dar credibilidad a su validez.

Dicho esto, asumo que este análisis está en su lugar y que el lenguaje en el fragmento está bien. Lo único que puede necesitar atención adicional son las definiciones de bajo perfil y alto valor. Este tipo de lenguaje deja, siento, demasiado espacio para la interpretación. Tal como está, no estoy seguro si ha abordado el lado de perfil bajo de las cosas. Perfil bajo puede significar que hay poca información sobre la compañía que parece estar en conflicto con su declaración sobre "información pública sobre la compañía". También puede significar que con menos escrutinio o conocimiento público, el entorno de seguridad puede ser más laxo (o ambos).

    
respondido por el logicalscope 01.02.2012 - 20:35
fuente

Lea otras preguntas en las etiquetas