El resumen ejecutivo en un reporte de pentest

El camino hacia la eCPPT

 

29 de Mayo del 2017

Revisaré el reporte desde varios puntos de vista siempre con la base en lo planteado en el PTP v4 y con miras a lo esperado para la certificación eCPPT. Nuestra primera aproximación es el resumen ejecutivo.

Nuestro reporte es lo más importante

Lo he leído una y otra vez y a pesar de que soy un aprendiz en este mundillo, tengo muy claro que es el punto clave de todo el proceso. Lo planteo de varios puntos de vista:

  1. En el caso de la certificación eCPPT (link a entrada donde hablo de eso) es tu prueba, lo que te van a evaluar para aprobar la certificación o no. A diferencia del OSCP donde te dan puntos por máquinas vulneradas, en el eCPPT es el reporte de carácter profesional el que te da el pase a aprobar.
  2. El cliente que te contrata está esperando un informe. Debe contener un resumen ejecutivo y un reporte técnico.
  3. Este reporte es la forma de demostrar tus habilidades técnicas, lo metódico y detallista en tu trabajo.
  4. También de probar tu dominio del ámbito de seguridad desde el punto de vista del negocio. Activos, Riesgos, Vulnerabilidades, Impacto son palabras que tienen que estar presentes y que por supuesto debemos tener claras.

En este post me enfocaré específicamente al resumen ejecutivo, ya que voy a estar revisando en varias entradas todo lo referente a los reportes porque nos da para hablar mucho y la idea es no extenderse en demasía y no hacer tan pesadas las lecturas.

El resumen ejecutivo del pentest

Bien, lograste hacerte del usuario root de una de las máquinas que están dentro de tu rango de testeo. Ocupaste algún exploit más o menos conocido, tal vez una mala configuración en un servicio, incluso ocupaste un poco de fuerza bruta, quién sabe.

A tu cliente le interesa que hables en términos de pérdida de dinero, mitigación de los riesgos y qué tan bien está su seguridad en una escala cuantitativa. Debemos considerar los siguientes aspectos para poder presentar métricas significativas para nuestro cliente:

  1. Valoración de los activos. Entender cuál es el negocio de la empresa, los recursos con los que cuenta y su importancia para la organización. Esta información puede ser proporcionada por nuestro cliente o al menos validada por el.
  2. Estado actual de la seguridad. En caso que la empresa haya sido evaluada previamente, necesitamos comparar el estado actual respecto al previo.
  3. Nivel de riesgo general al que está expuesta la empresa, tomando en consideración el tipo de vulnerabilidades encontradas y su potencial impacto en la empresa.

Este resumen no puede ser de más de un par de hojas (por algo se llama resumen) y necesariamente debe ir acompañado de gráficos y tablas, siendo el texto complemento de los anteriores con fines explicativos, ya que debe permitir una revisión rápida y dejar claro en una primera impresión el estado actual de la seguridad en la empresa y la necesidad de tomar medidas en caso de ser necesario, sobre todo si son de carácter urgente.

Notas personales

Siempre leo que se le da mucha importancia al reporte tal como planteé al principio de este post. Como neófito en el tema del pentesting no había tenido la oportunidad de tener en mis manos un informe profesional que me permitiera tener una referencia real de qué se espera obtener como resultado.

Grata fue mi sorpresa al encontrarme con un ejemplo disponible realizado por Offensive Security (Si, los mismos creadores de Kali), que me permitió aterrizar todos los conceptos hasta entonces teóricos que tenía. Les dejo el link en las referencias.

Inauguración del podcast

Como complemento a lo que vaya escribiendo y los videos que generaré, se me ocurrió que, como buen consumidor de podcast que soy, a alguien más podría servirle el hecho de tener un resumen de algunas entradas en formato audio.

Dejo abajo el primer podcast subido a ivoox; espero ir generando contenido en la medida que me den los tiempos y también por supuesto que tengan buena recepción de la comunidad. Espero sus comentarios y críticas para poder ir mejorando.

Conclusiones

Y llegamos al final de este artículo que pretende dar una primera vista (y muy superficial por el momento) de cómo generar un resumen ejecutivo para el reporte de pentest. En las próximas entradas estaré revisando otros aspectos que complementen esta información y que nos permitan obtener un informe profesional.

 

Saludos!

 

Referencias