El reporte técnico de un pentest

El camino hacia la eCPPT

 

13 de Junio del 2017

Continuamos con la revisión de cómo poder realizar un reporte de pentest, analizando la parte técnica definiendo cuáles son las secciones a desarrollar.

Introducción

En esta entrada explicaré los detalles que se deben considerar a la hora de realizar un reporte técnico como resultado de un pentest. Te invito a revisar el video a continuación y también leer el resumen más abajo.

 

 

Informe de vulnerabilidades

Teniendo claro que nuestro público objetivo será distinto del que explicaba para el resumen ejecutivo (link a entrada anterior) podemos enfocarnos en los aspectos técnicos de nuestro ethical hacking. En este apartado de nuestro reporte tenemos que dejar en claro varios aspectos:

  1. Las vulnerabilidades encontradas.
  2. Cómo fueron explotadas; es decir metodología, pasos para reproducirla, exploit utilizados.
  3. Qué máquinas o recursos fueron vulnerados.

Todo esto lo podemos organizar desde 2 puntos de vista, dependiendo del tamaño y complejidad de nuestro pentest:

Vulnerabilidades por tipo

Enfocado mayormente en un ethical hacking a una empresa mediana a grande, con una cantidad considerable de activos y donde se identifican ciertas vulnerabilidades que se repiten y que permiten agrupar estos recursos enfocándonos más en la vulnerabilidad en cuestión y no en los activos involucrados.

Para cada vulnerabilidad encontrada y explotada, se debe identificar su:

  • Nombre
  • Descripción breve
  • Impacto en la organización
  • Clasificación
  • ID único en caso que corresponda

Además, se debe describir de manera explícita cuáles fueron los objetivos afectados por esta vulnerabilidad, ya sea una IP + puerto, Aplicación, Url o incluso podemos llegar a agrupar por departamento dentro de la organización (Informática, Ventas, Atención al cliente, etc.).

Finalmente, para cada una de estas vulnerabilidades se debe proporcionar una prueba de concepto que valide la explotación, ya sea con el código utilizado (payload) o con screenshots de pantalla con el resultado obtenido.

Vulnerabilidades por objetivo

A diferencia del anterior formato de presentación, se utiliza la identificación por objetivo en el caso de vulnerabilidades muy heterogéneas o en que el alcance del pentest sea pequeño en cuanto a activos o recursos explotados. En particular, acá se debe proporcionar la siguiente información:

  • El objetivo alcanzado
  • Un listado de las vulnerabilidades cada una con su propia descripción, similar en contenido a la explicada anteriormente para las vulnerabilidades por tipo.

Las acciones de remediación

Dentro de todo reporte de pentest, es fundamental poder definir los pasos a seguir para corregir los problemas identificados. Debemos considerar lo siguiente:

Priorizar

Según el impacto que puedan tener las vulnerabilidades encontradas, existirán algunas medidas que deberán ser necesarias tomar a corto plazo para minimizar el riesgo al que se encuentra expuesta la organización. En caso que algunas medidas además sean relativamente fáciles de implementar y con un costo bajo, también podrán priorizarse en el roadmap de acciones de remediación. Sin embargo existirán otras acciones que son más a largo plazo ya sea por su complejidad y costos. Para poder llegar a hacer este análisis se debe entender bien a la empresa que se está testeando y por supuesto validar con ellos las capacidades y condiciones con las que cuentan.

Medidas a tomar

En esta parte del reporte se define un listado de acciones que se recomienda al cliente de realizar, desde un punto de vista general y donde se consideran por ejemplo la aplicación de parches de seguridad y actualización.

Un punto aparte se debe entregar para el caso de una organización que no cuenta con un manual de buenas prácticas de seguridad en sus procesos tecnológicos y será necesario apoyar al cliente en el proceso de adopción de estas recomendaciones.

El registro de logs

Finalmente, todo reporte debe contener el registro detallado de las acciones realizadas durante las pruebas, identificando específicamente:

  • Fecha del test
  • Objetivo atacado
  • Tipo de prueba
  • IP de origen
  • Herramientas utilizadas
  • Pentester a cargo

Ya tenemos claro todas las secciones que debe contener nuestro reporte técnico de un pentest. Como última consideración para esta entrada es recomendar que al momento de realizar un ethical hacking, uno de los aspectos más importantes a realizar (sino el más) es tomar notas de todos los procesos que se realizan. Esto facilitará enormemente la etapa final de generación del reporte y sobre todo facilitará el orden de toda la información recopilada. No te olvides de comenzar con el fin en mente! y este fin en el caso de un ethical hacking es la entrega del reporte al cliente.

Si te gustó esta entrada, te invito a compartirla, leer mis otros posts y mantenerte atento a los contenidos que iré subiendo.

¿Sugerencias, comentarios o críticas? Déjamela en la sección de comentarios, te aseguro que las tomaré en consideración.

Saludos!

 

P.d: Les dejo algunas referencias para que revisen y el link al mapa mental que hice para presentar en el video.