A la hora de realizar un penetration test o una auditoría de seguridad de características finales, es necesario contemplar ciertos factores para entregar un producto de calidad, y por sobre todas las cosas, un documento de referencia para solucionar aquellas vulnerabilidades y fallas detectadas.
Es común ver informes de gran extensión que podrían terminar almacenados en un cajón de un escritorio. La idea de este tipo de servicios, es totalmente opuesta. El informe final de una auditoría de seguridad debe contener la información suficiente, sin lograr un documento de una extensión que nadie desea leer, pero que al mismo tiempo sea de utilidad. A continuación se especificará algunos consejos y consideraciones que se deben contemplar para elaborar un informe de estas características.
Consideraciones sobre un informe de una auditoría de seguridad
En primera instancia se debe especificar sobre que condiciones y sistemas se realizaron las pruebas. Esto incluye un detalle específico de las direcciones IP y características sobre las que realizaron las pruebas. Es importante recordar que los resultados solo serán válidos en el contexto en que las pruebas fueron realizadas.
El informe final técnico tiene como destinatario a una persona o un grupo de ellas. Es importante tener en mente esto para evaluar cuál será el nivel técnico del mismo. Siempre se debe tener en mente que la finalidad de un informe de estas características es la de poder tomar acciones correctivas y/o reactivas para así elevar el nivel de seguridad de la organización. Si el objetivo no está claro, se suele entregar un documento extenso que solo consta de los resultados de las diferentes herramientas utilizadas en el proceso.
¿Qué longitud debe tener el informe?
Esta pregunta no posee una respuesta única y dependerá exclusivamente del escenario que ha sido evaluado. De todas formas, se debe tener en mente que los informes muy extensos, probablemente, no tendrán el impacto que el auditor desea. De la misma forma, si el documento es demasiado corto y general, podría darse el caso de que el cliente no esté satisfecho con el trabajo realizado, pues esta clase de servicios no son muy económicos.
¿Qué información se debe incluir para cada vulnerabilidad hallada?
Existe cierto tipo de información que no debe faltar en un informe:
- Detalle: Cada vulnerabilidad debe detallarse para su correcta comprensión por parte del interesado. Asimismo, será más sencillo para el personal encargado de mitigar la vulnerabilidad realizar las acciones correspondientes.
- Impacto: Se debe especificar el impacto sobre la organización de cada una de las vulnerabilidades detectadas. El valor depende del escenario y como afectará a la organización en caso de que sea explotada con éxito por un atacante.
- Remediación: Las aclaraciones, consejos o pasos a seguir son fundamentales para brindar un buen plan de remediación al cliente. Este es uno de los puntos donde el cliente enfocará su atención.
- Referencias: Si el consultor utilizó documentación o desea reflejar algún procedimiento, las referencias sobre cada vulnerabilidad detallada no deben faltar. Es importante recordar que las referencias es la forma de evidenciar lo que está afirmando el auditor.
Finalmente, siempre es recomendable incluir imágenes para probar que lo que se afirma es real. El nivel de intrusión debe ser acordado con el cliente, ya que de lo contrario podría comprometer la infraestructura de la organización. En la siguiente imagen se observa una muestra de una vulnerabilidad de SMTP open relay, demostrando que es posible enviar correos a través de un servidor privado sin la necesidad de conocer la contraseña.
En su defecto, existen sitios para chequear si esta funcionalidad se encuentra activada.
En caso de que se desee revisar algunos modelos de reportes, recomiendo leer el ejemplo de Offensive Security. De todas maneras, si bien es un excelente ejemplo, cada auditor debería forjar su propio estilo y afinar el proceso de ejecución de la propia auditoría.
Fernando Catoira
No hay comentarios.:
Publicar un comentario