Relatório do Pentest
As descobertas do nosso teste de intrusão formam o núcleo do relatório que você receberá. Os principais elementos incluem:
Avaliação de risco: o risco geral da vulnerabilidade, categorizado de baixo a crítico com base em seu impacto e probabilidade.
Descrição da vulnerabilidade: uma visão geral abrangente de cada vulnerabilidade identificada, escrita de forma clara e acessível para um público amplo.
Análise de Impacto Empresarial: Uma breve avaliação das potenciais consequências de uma exploração maliciosa no negócio.
Etapas para reproduzir: Instruções detalhadas para engenheiros sobre como replicar a vulnerabilidade, incluindo o uso de ferramentas disponíveis publicamente sempre que possível.
Recomendações: Orientações específicas sobre como lidar com a vulnerabilidade, variando em detalhes dependendo do tipo de descoberta. Essas recomendações podem variar de granulares a de alto nível.
Antes de compreender o processo de correção das vulnerabilidades descobertas durante o teste de intrusão, é importante entender conceitos como Encontrar Estados, Características ou Risco Geral.
Estados das descobertas
Aberta
O estado inicial de cada vulnerabilidade quando ela se torna visível para você. Enquanto estiver aberta, você pode transitar para um dos outros estados.
Pronto para revisão
Você mitigou a vulnerabilidade que estava pronta para novo teste. Se o pentester não conseguiu reproduzir as etapas que levaram à vulnerabilidade inicial, a descoberta é marcada como resolvida. No entanto, se o pentester conseguiu reproduzir as etapas ou descobriu uma maneira semelhante de encontrar a vulnerabilidade, a descoberta é marcada como aberta.
Risco aceito
Você está preparado para aceitar o risco que acompanha a vulnerabilidade.
Rejeitada / Fechada
Se você considerar apropriado por qualquer motivo, a descoberta será encerrada e novas discussões serão realizadas.
Características das descobertas
Probabilidade
A probabilidade da vulnerabilidade ser explorada. Três níveis de probabilidade: Baixo, Médio ou Alto, com base em: Facilidade de exploração da vulnerabilidade; Vetores de ataque; Criticidade comercial do ativo afetado; Complexidade do sistema e da rede.
Impacto
A gravidade do efeito da vulnerabilidade. O impacto de uma vulnerabilidade pode variar de pouco a nenhum dano ao comprometimento do sistema. O impacto pode ser em 3 níveis: Baixo, Médio ou Alto.
Níveis de Risco
Informativa
A descoberta não impacta diretamente a segurança. No entanto, pode apresentar uma oportunidade de aprimorar a segurança, desviar das melhores práticas ou fazer uma observação relevante para a segurança que pode levar a vulnerabilidades exploráveis no futuro. Por exemplo, pode envolver cabeçalhos de segurança HTTP ausentes ou documentação que incentive práticas de segurança ruins.
Baixa
Vulnerabilidades de baixo risco são mais um incômodo do que uma ameaça genuína. Essas vulnerabilidades são geralmente aquelas em que a exploração não causaria danos substanciais, ou em que a probabilidade de exploração é muito baixa.
Média
Vulnerabilidades de risco médio são aquelas que podem causar danos se exploradas ou onde a probabilidade de exploração é moderada.
Alta
Vulnerabilidades de alto risco são aquelas que apresentam um risco significativo de causar danos substanciais se exploradas, ou onde a probabilidade de exploração é alta.
Crítica
Vulnerabilidades de risco crítico são vulnerabilidades que têm alto potencial de exploração e podem levar à perda de dados ou ao comprometimento total do sistema.
Nota: Depois que todos os esforços de remediação forem concluídos ou os riscos forem considerados aceitáveis para determinadas descobertas, um segundo relatório será gerado para refletir o status atualizado de cada descoberta individual.
Para clientes que conduzem um teste de intrusão para fins de conformidade, é importante abordar vulnerabilidades de acordo com a política de gerenciamento de vulnerabilidades da sua organização. Não fazer isso pode levar a preocupações levantadas pelos auditores.
Se sua organização não tiver uma política de gerenciamento de vulnerabilidades, não hesite em entrar em contato conosco e teremos prazer em ajudá-lo a estabelecer um cronograma razoável para remediar as vulnerabilidades identificadas.
Last updated