Continguts d'un report de pentest
Documents #
- Informe executiu
- Informe tècnic (Report)
Continguts mínims #
- Es tracta d'un projecte i, per tant, s'han de respectar aspectes formals com :
- Portada, index, control de versions
- Logos , capçaleres i peus de pàgines
- Dates (encarreg, entrega,etc.)
- Seccions informatives
- Avís de confidencialitat- Nivell de risc
- Personal involucrat (amb mitjà de contacte si és necessari)
- Seccions prèvies
- Descripció i objectius de l'auditoria incloent context i tipus d'auditoria
- Metodologia
- Quina metodologia s'ha empreat
- Resultat de l'auditoria
- Proves (i POC)
- Tècniques i eines utilitzades
- Troballes: vulnerabilitats i males praxis
- Proves (i POC)
- Conclusions
- Conclusions
- Recomanacions
- Millores
- Recollir bones pràctiques que s'utilitzen
- Contramesures (exemple fail2ban)
- Annexos
- Detall de les proves (codi,)
- Referències
Aspectes a recollir/tenir en compte #
- Valoració dels actius
- No hi ha un temps infinit per a fer l'auditoria. Prioritza els actius de més valor
- En cas de que ja s'hagin fet altres auditories s'hauria de comparar l'estat actual amb l'anterior
- Cada vulnerabilitat hauria de recollir el nivell de risc
- Utilitza el model CVSS per detallar aquest. Segueix un esquema molt fàcil d'entendre i facilita tant l'adequada valoració com la comprensió per part del lector i ajudarà a prioritzar quines definciències es resolen abans.
- En les conclusions recollir el nivell de risc del conjunt de la empresa
- Especialment en les conclusions i en el resum executiu recolzar la informació gràficament (taules, gràfiques, esquemes)