Un rapporto di pentimento dovrebbe includere l'opinione del tester?

13

In questo caso particolare, il server web si è rivelato essere un sistema di terze parti condiviso e non è stato testato.

Esempi:

We do express grave concern at the overall security posture of that webserver and the possible exposure to $client

In general, it is our feeling that $client is a low-profile, yet high-value target for attack. The public information available about the value of funds managed by the company combined with the number of 3rd party vendors and weakness of the company website might motivate an attacker, with awareness of the company.

Questa lingua è appropriata per includere?

    
posta Jeff Ferland 01.02.2012 - 19:55
fonte

2 risposte

10

In generale, i tre livelli più importanti del reporting sui test di penetrazione sono:

  • Tecnico - Qual è il problema, come ripeterlo e come risolverlo: questo è ciò che il team IT / Dev richiederà e dovrebbe essere in linguaggio tecnico
  • Business - Che cosa significa ogni vulnerabilità per l'organizzazione in termini di rischio aziendale, impatto, perdita ecc. - questo deve essere nella lingua un risk officer, FD o CIO possono capire
  • Esperienza - Questa è l'immagine più grande basata sull'esperienza con il cliente, nel settore e guardando alle tendenze a lungo termine e alle nuove minacce. Questo dovrebbe essere mirato al consiglio di amministrazione e dovrebbe fornire una guida strategica

L'opinione è di solito una parola troppo strong, in quanto può significare qualcosa di abbastanza strong, specialmente in un contesto di controllo, il che potrebbe significare che si assume un'alta responsabilità!

Nel tuo esempio specifico, senza ulteriore contesto, direi che la formulazione sembra ragionevole, e può aiutare ad elevare il profilo di un'area che potrebbero aver trascurato, e almeno salire sul radar da una prospettiva di rischio (cosa loro poi fare con esso è una decisione commerciale)

    
risposta data 01.02.2012 - 20:09
fonte
5

L'opinione di un esperto è generalmente data più peso di un non esperto. Dal momento che (presumibilmente) ti hanno assunto per eseguire un pen-test, qualsiasi opinione che offri dovrebbe essere tenuta nella stessa misura di qualsiasi altra analisi. Un parere è indebolito se non supportato da fatti e altre prove analitiche di supporto per dare credito alla sua validità.

Detto questo, presumo che questa analisi sia a posto e che la lingua nello snippet sia valida. L'unica cosa che potrebbe richiedere maggiore attenzione sono le definizioni per basso profilo e alto valore. Questo tipo di linguaggio lascia, ritengo, troppo spazio per l'interpretazione. Così com'è, non sono sicuro che tu abbia affrontato il lato "basso" delle cose. Basso profilo può significare che ci sono poche informazioni sulla società che sembrano in conflitto con la tua affermazione su "informazioni pubbliche sulla società". Potrebbe anche significare che con meno scrutinio o conoscenza pubblica, l'ambiente di sicurezza potrebbe essere più lassista (o entrambi).

    
risposta data 01.02.2012 - 20:35
fonte

Leggi altre domande sui tag