Идеальный пентест. Как довести заказчика до экстаза

Содержание статьи

Программа минимум
Как писать отчет
Что важно обсудить
Как не опозориться
Executive summary как инструмент
Что нужно для хорошего executive summary?
Выводы

Пентест, то есть проверка инфраструктуры компании на возможность хакерского проникновения, — это распространенная услуга, которую предоставляют ИБ‑компании. Однако пентесты бывают очень разными. В этой статье я расскажу, как, на мой взгляд, должны и как не должны выглядеть результаты таких работ. Думаю, мои советы пригодятся и заказчикам, и исполнителям.

На мысль написать такой текст меня навел комментарий заказчика, оставленный после завершения проекта. Он демонстрирует, какие, казалось бы, обычные вещи могут впечатлить и порадовать.

Программа минимум

Итак, что же нужно делать, чтобы заказчики были счастливы и писали приятные отзывы?

Самый важный аспект — вникать в логику работы. Не просто сканировать инфраструктуру, валидировать баги руками, что‑то тыкать и фаззить, но еще и понять, как работает сервис, посмотреть потоки данных и взаимодействие с остальными микросервисами и интеграциями.

Покрывать все сервисы автоматизированными средствами.

Валидировать все уязвимости. Не просто отдавать репорты сканера, обернутые в логотипы твоей компании, а обязательно проверять, что каждая найденная уязвимость реальна.

Корректировать уровень опасности уязвимостей согласно критичности сервиса и возможности эксплуатации. Даже если сканеры пишут, что уязвимость критична, нужно учитывать обстоятельства: можно ли ее проэксплуатировать, есть ли реальные уязвимости с PoC, критичный ли сервис и так далее.

Весь чек‑лист пройден в ручном режиме. 90% работы над проектом должно занимать ручное тестирование, ресерч, попытки эксплуатации именно в ручном режиме.

Как писать отчет

Отчет — это результат проекта, ради него все и делается, поэтому переоценить его значение вряд ли возможно. В хорошем отчете должны быть:

Единый стиль изложения, отсутствие грамматических и стилистических ляпов, описание рисунков, схем, таблиц. Чтобы всем было приятно смотреть на отчет и содержание было предельно ясным.

Детальное описание недостатков. Не просто общее описание, а для конкретных случаев: где нашли уязвимость, в каком параметре или модуле.

Примеры эксплуатации. Показаны найденные баги, прикреплена картинка как пруф. Читающий может повторить действие с картинки. Также не помешает детальное описание процесса тестирования, ссылки на базы уязвимостей ФСТЭК России или техник MITRE.

Рекомендации также прописаны для конкретных случаев, описаны точечные советы, именно для того фреймворка и стека технологий, который использует заказчик. Нет двусмысленности. Есть разные варианты устранения.

Например, ты нашел уязвимость, которая позволяет перебирать пользователей. Система реагировала по‑разному в тех случаях, когда пользователь существует и когда его нет. Можно дать общую рекомендацию — внедрить CAPTCHA-тест. Но если знаешь, что у заказчика используется, например, Django, то можно дать рекомендации именно для этого фреймворка.

Резюме работы с цифрами, рекомендациями и выводом.

Отчет оформлен на основе вопросов, заданных заказчиком перед проектом. Затем идет то, что специалисты считают важным и релевантным. Если вопросов не было, то по иерархии критичности всех находок.

Приведена аналитика: количество уязвимостей, хостов, которые были проверены, или топ уязвимостей в компании, или динамика по предыдущим пентестам и времени жизни уязвимостей, если есть такая возможность.

Моделирование угроз поведения злоумышленника. Нужно показать, что случится, если злоумышленник проэксплуатирует уязвимость. Например, уязвимость с SMS-спамом, как правило, заказчики не понимают. Поэтому нужно показать, в чем ее риск, объяснить, что провайдер позволяет крупным компаниям отправлять до 3 тысяч SMS в секунду. На отправку 200 запросов компания тратит 400 рублей в секунду. Если атака длится час, то злоумышленник сожжет почти 1,5 миллиона рублей с баланса компании.