-
Akifcan Hür
☾★ T'ÜRK ☾★
Rapor Yapısı
Rapor, Çeşitli Kitlelere Uygulanan Testlerin Amaçlarını, Yöntemlerini Ve Sonuçlarını Iletmek Için Iki Ana Bölüme Ayrılmıştır.
Yönetici Özeti
Bu Bölüm, Penetrasyon Testinin Spesifik Hedeflerini Ve Test Egzersizinin Üst Düzey Bulgularını Okuyucuya Iletir. Amaçlanan Izleyici, Güvenlik Programının Gözetiminden Ve Stratejik Vizyonundan Ve Organizasyonun Tespit Edilen / Onaylanan Tehditlerden Etkilenebilecek Tüm Üyelerden Sorumlu Kişiler Olacaktır. Yönetici Özetinde, Aşağıdaki Bölümlerin Hepsi Değilse De Çoğu Bulunmalıdır:
Arka Fon:
Arka Plan Bölümü, Testin Genel Amacını Okuyana Açıklayacaktır. Ön Tehlike Bölümünde Risk, Önlemler Ve Test Hedefleriyle Ilgili Olarak Tanımlanan Şartların Ayrıntıları, Okuyucuyu Genel Test Hedeflerine Ve Göreli Sonuçlara Bağlamak Için Mevcut Olmalıdır.
(Örnek: (Mantıksal Alan Veya Fiziksel Konum) Bulunan Spesifik Sistemlerin Dahili / Harici Bir Güvenlik Açığı Değerlendirmesi Ve Penetrasyon Testi Gerçekleştiren <Pentester> Görevli.Bu Sistemler (Risk Sıralaması) Olarak Tanımlanmış Ve (Veri Sınıflandırma Düzeyi ) Veri, Doğrudan Veya Dolaylı Saldırıya Karşı Savunma Yeteneğini Test Etmek Için Kapsamlı Bir Ağ Güvenlik Açığı Taraması, Güvenlik Açığı Konformasyonu (<-Insert) Zayıflatılmış Hizmetlerin, Istemci Tarafındaki Saldırıların, Tarayıcı Tarafındaki Saldırıların (Vb.) Sömürülmesine Karar Verildi -> Bu Değerlendirmenin Amacı, (İSTEMCİ) Tarafından Kritik Bilgilerin Güvenliğini Sağlamak Için Güvenlik Kontrollerinin Etkinliğini Doğrulamaktır.Bu Rapor, Değerlendirmeden Elde Edilen Bulguları Ve İSTEMCENİN Güvenlik Durumunu Güçlendirmesine Yardımcı Olmak Üzere Ilgili Iyileştirme Önerilerini Temsil Etmektedir.
Hedefler Test Sırasında Değiştiyse, Tüm Değişiklikler Raporun Bu Bölümünde Listelenmelidir. Ayrıca, Değişiklik Mektubu Raporun Ekinde Yer Almalı Ve Bu Bölümden Bağlantı Alınmalıdır.
Genel Duruş:
Bu Alan, Testin Genel Etkililiğinin Ve Ötekilere Ön Angajman Oturumlarında Belirtilen Hedeflere Ulaşma Becerisinin Bir Anlatımı Olacaktır. Test Etme Işlemi Boyunca Saptanan Sistemik (Ör. Sistemik Sorun = Etkin Yama Yönetimi Süreci Ile Belirti Olmayan = MS08-067 Bulunamadı = Xyz Kutusunda Eksik) Kısa Bir Açıklama Yanı Sıra, Hedef Bilgilerine Erişme Ve Bu Bilgileri Tanımlama Yeteneğini Tanımlama Işe Potansiyel Bir Etki.
Risk Sıralaması / Profil:
Genel Risk Sıralaması / Profil / Skor Bu Alanda Tanımlanacak Ve Açıklanacaktır. Ön Angajman Bölümünde, Pentester, Puanlama Mekanizmasını Ve Izleme / Derecelendirme Riski Için Bireysel Mekanizmayı Belirleyecektir. FAIR, DREAD Ve Diğer Özel Sıralamalardan Çeşitli Yöntemler Çevre Puanlarına Birleştirilecek Ve Tanımlanacaktır.
(MÜŞTERİ) Için "Genel Risk Puanı" Şu An Yedi (7) 'Dir. Bu Derece, Maddi Mali Kayıp Olasılığına Bağlı Olarak Güvenlik Kontrolleri Için YÜKSELMIŞ Risk Taşıyor Demektir. Danışman, Bu Risk Puanını Bir Yüksek Risk Ve Birkaç Orta Risk Zayıflığına Ve Yönlendirilmiş Saldırı Başarısına Dayandırarak Belirledi. Belirlenen En Ciddi Güvenlik Açığı, Bir Dizi Hassas Dokümana Erişmesine Ve Cihazdaki Içeriği Kontrol Etme Imkânı Tanıyan Kurumsal Kamuya Açık Web Sitesinde Varsayılan Şifrelerin Bulunmasıydı. Bu Güvenlik Açığı, Kullanıcı Hesaplarının Çalınmasına, Hassas Bilgilerin Sızmasına Veya Sistemin Tam Olarak Tehlikeye Düşmesine Neden Olabilir. Daha Az Ciddi Güvenlik Açıkları, Geçerli Hesap Kimlik Bilgileri Ve Bilgilerin Sızmasına Neden Olabilir.
Genel Bulgular:
Genel Bulgular, Penetrasyon Testi Sırasında Bulunan Temel Ve Istatistiksel Bir Biçimde Bir Özet Sunacaktır. Test Edilen Hedeflerin, Sonuçların, Süreçlerin, Saldırı Senaryolarının, Başarı Oranlarının Ve Öncesi Katılım Toplantısında Tanımlanan Diğer Eğitilebilir Metriklerin Grafik Gösterimleri Mevcut Olmalıdır. Buna Ek Olarak, Sorunların Nedeni Okunması Kolay Bir Biçimde Sunulmalıdır. (Ör. Istismar Edilen Sorunların Temelini Gösteren Bir Grafik)
Ön Angajman Egzersizi Kapsamında Tanımlanırsa, Bu Alan Aynı Zamanda Çevredeki Önlemlerin Etkililiğini Gösteren Ölçütleri De Içermelidir. (Ex .. X Saldırıları Koştık Ve IPS Bloke Etti .. Diğer Önlemlerin Benzer Tasarım Ölçütlerine Ve Verimliliğe Sahip Olması Gerekir.)
Öneri Özeti:
Raporun Tavsiye Bölümü, Okuyucuyu, Tanımlanan Riskleri Çözmek Için Gereken Görevleri Ve Önerilen Çözünürlük Yolunu Uygulamak Için Gereken Genel Çabayı Yüksek Düzeyde Anlamasını Sağlamalıdır. Bu Bölümde, Takip Eden Yol Haritasının Sıralamasını Önceliklendirmek Için Kullanılan Ağırlıklandırma Mekanizmaları Da Tanımlanacaktır.
Stratejik Yol Haritası:
Yol Haritalarında, Bulunan Güvensiz Maddelerin Iyileştirilmesi Için Öncelikli Bir Plan Bulunmalıdır Ve Işletme Hedeflerine / Potansiyel Etkinin Seviyesine Karşı Tartılmalıdır. Bu Bölüm, Doğrudan Tanımlanan Hedeflerin Yanı Sıra PTES Tehdit Modelleme Bölümünde Oluşturulan Tehdit Matrisi Ile Eşleştirilmelidir. Bu Bölüm, Önceden Tanımlanmış Zaman / Hedefe Dayalı Hedeflere Bölünerek Çeşitli Adımlarla Takip Edilecek Bir Eylem Yolu Oluşturacaktır. Örnek:
Teknik Rapor
Bu Bölüm, Testin Teknik Ayrıntılarını Ve Üzerinde Anlaşmaya Varılan Tüm Yönleri / Bileşenleri, Ön Angajman Egzersizinde Kilit Başarı Göstergeleri Olarak Okuyucuya Iletir. Teknik Rapor Bölümü, Testin Kapsamını, Bilgisini, Saldırı Yolunu, Etkisini Ve Iyileştirme Önerilerini Ayrıntılı Olarak Açıklayacaktır.
Giriş:
Teknik Raporun Giriş Bölümü, Aşağıdakilerin Başlangıçtaki Envanteri Olarak Düşünülmüştür:
Hem Müşteri Hem De Penetrasyon Test Ekibinden Teste Katılan Personel
İletişim Bilgileri
Testlere Katılan Varlıklar
Test Amaçları
Test Kapsamı
Deney Mukavemeti
Yaklaşım
Tehdit / Puanlama Yapısı
Bu Bölüm, Testte Yer Alan Spesifik Kaynaklara Ve Testin Genel Teknik Kapsamına Referans Olmalıdır.
Bilgi Toplama:
İstihbarat Toplanması Ve Bilgi Değerlendirmesi, Iyi Bir Penetrasyon Testinin Temelleri. Test Edicinin Çevre Hakkında Ne Kadar Çok Bilgi Sahibi Olursa, Testin Sonuçları O Kadar Iyi Olur. Bu Bölümde, İSTEMCİ'ye, PTES'in İstihbarat Toplama Aşamasının Yürütülmesiyle Elde Edilebilen Kamusal Ve Özel Bilgilerin Kapsamını Göstermek Için Bir Takım Maddeler Yazılmalıdır. En Azından Tespit Edilen Sonuçlar 4 Temel Kategoride Sunulmalıdır:
Pasif Zeka:
İstihbarat, IP / Altyapı Ile Ilgili Bilgi Edinmek Için DNS, Google Gibi Dolaylı Analizlerden Toplanmıştır. Bu Bölüm, Mülkiyet Ortamında Herhangi Bir Trafiği Doğrudan Varlıklara Göndermeksizin Teknolojiyi Profilleme Tekniklerine Odaklanacaktır.
Aktif Zeka:
Bu Bölüm, Altyapı Haritalama, Bağlantı Noktası Tarama Ve Mimari Değerlendirme Ve Diğer Ayak Baskı Faaliyetleri Gibi Görevlerin Yöntemlerini Ve Sonuçlarını Gösterecektir. Bu Bölüm, MÜŞTERİ Ortamında Doğrudan Varlıklara Trafik Göndererek Teknolojiyi Profilleme Tekniklerine Odaklanacaktır.
Kurumsal İstihbarat:
Kuruluşun Yapısı, Işletme Birimleri, Pazar Payı, Dikey Ve Diğer Kurumsal Işlevler Hakkında Bilgi Hem Iş Sürecine Hem De Daha Önce Tanımlanan Test Edilen Fiziksel Varlıklara Eşlenmelidir.
Personel Zekası:
İstihbarat Toplama Aşamasında Kullanıcıları MÜŞTERİ Kuruluşuna Eşleyen Herhangi Bir Bilgi Ve Tüm Bilgiler. Bu Bölüm, Kamu / Özel Personel Deposu, Posta Depoları, Kuruluş Şemaları Ve Çalışan / Şirket Ile Bağlantıya Giden Diğer Maddeler Gibi Istihbaratı Toplamaya Yönelik Teknikleri Göstermelidir.
Güvenlik Açığı Değerlendirmesi:
Güvenlik Açığı Değerlendirmesi, TEST'de Mevcut POTENTIAL Açıklarını Ve Her Bir Tehdidin Tehdit Sınıflandırmasını Belirleme Eylemidir. Bu Bölümde, Güvenlik Açığını Tanımlamak Için Kullanılan Yöntemlerin Yanı Sıra Güvenlik Açığının Kanıt / Sınıflandırması Da Tanımlanmalıdır. Buna Ek Olarak, Bu Bölüm Şunları Içermelidir:
Güvenlik Açığı Sınıflandırma Seviyeleri
Teknik Güvenlik Açıkları
OSI Katmanı Vulns'ları
Tarayıcı Bulundu
Elle Tanımlanan
Genel Pozlama
Mantıksal Güvenlik Açığı
OSI VİLEN YOK
Vahşi Tip
Nasıl / Nerede Bulunur
Poz
Sonuçların Özeti
Sömürü / Zayıflık Doğrulaması:
İstismar Veya Güvenlik Açığı Onayı, Hedef Bölüme Belirli Bir Erişim Düzeyi Kazanmak Için Önceki Bölümlerde Açıklanan Güvenlik Açıklarını Tetiklemektir. Bu Bölüm, Tanımlanmış Güvenlik Açığının Yanı Sıra Aşağıdakileri Doğrulamak Için Alınan Tüm Adımları Ayrıntılı Olarak Gözden Geçirmelidir:
Sömürüne Zaman Çizelgesi
Sömürü Için Seçilen Hedefler
Sömürü Aktiviteleri
Yöneltilen Saldırı
İstifadar Edilemeyen Hedef Sunucular
İstenilebilen Hedef Sunucular
Bireysel Ev Sahibi Bilgileri
Yapılan Saldırılar
Saldırılar Başarılı
Erişim Düzeyi Verildi + Yükseliş Yolu
İyileştirme
Vuln Bölüm Referansına Link
Ek Hafifletici Teknik
Denetim Önerilerini Telafi Etme
Dolaylı Saldırı
Kimlik Avı
Zaman Çizelgesi / Saldırı Ayrıntıları
Tanımlanan Hedefler
Başarı / Başarısızlık Oranı
Verilen Erişim Seviyesi
Müşterek
Zaman Çizelgesi / Saldırı Ayrıntıları
Tanımlanan Hedefler
Başarı / Başarısızlık Oranı
Verilen Erişim Seviyesi
Tarayıcı Tarafı
Zaman Çizelgesi / Saldırı Ayrıntıları
Tanımlanan Hedefler
Başarı / Başarısızlık Oranı
Verilen Erişim Seviyesi
Sömürü Sonrası Söyle:
Tüm Testlerde En Kritik Öğelerden Biri Test Edilen MÜŞTERİ Üzerinde GERÇEK Etkilenen Bağlantıdır. Yukarıdaki Bölümler Güvenlik Açığının Teknik Niteliğini Ve Bu Kusurun Başarıyla Kullanılma Becerisini Aktarırken, Post Exploitation (Kötüye Kullanımdan Sonra Kullanım) Bölümü, Işletmenin Gerçek Riskiyle Sömürü Becerisini Birbirine Bağlamalıdır. Bu Alanda Ekran Görüntüleri, Zengin Içerik Alımı Ve Gerçek Dünyadaki Ayrıcalıklı Kullanıcı Erişimi Örnekleri Kullanılarak Aşağıdaki Öğeler Kanıtlanmalıdır:
Ayrıcalık Yükseltme Yolu
Kullanılan Teknik
Kritik Bilginin Edinimi Müşteri Tarafından Tanımlanır
Bilginin Değeri
Temel Iş Sistemlerine Erişim
Uyumluluktan Korunan Veri Setlerine Erişim
Erişilen Ek Bilgiler / Sistemler
Kalıcılığın Yeteneği
Eksfiltrasyon Için Yetenek
Karşı Önlem Etkinliği
Bu Bölüm, Kapsanan Sistemlerde Yer Alan Önlemlerin Etkililiğini Kapsamalıdır. Hem Aktif (Proaktif) Hem De Pasif (Reaktif) Önlemler Hakkındaki Bölümleri Ve Test Aşamasında Tetiklenen Herhangi Bir Olay Tepki Etkinliği Hakkında Ayrıntılı Bilgi Içermelidir. Değerlendirme Faaliyetlerine Direnişte Etkili Olan Karşı Önlemlerin Bir Listesi, MÜŞTERİ'nin Gelecekteki Saldırı Girişimleri Için Algılama Sistemleri Ve Süreçlerini Daha Iyi Ayarlamasına Yardımcı Olacaktır.
Algılama Yeteneği
FW / WAF / IDS / IPS
İnsan
DLP
Günlüğü
Yanıt Ve Etkililik
Risk / Maruz Kalma:
İşe Doğrudan Etki, Güvenlik Açığı, Sömürü Ve Istismar Sonrası Bölümlerde Bulunan Kanıtlarla Nitelikli Hale Getirildiğinde, Risk Ölçümü Yapılabilir. Bu Bölümde, Yukarıdaki Sonuçlar, Ön Angajman Bölümündeki Risk Değerleri, Bilgi Kritikliği, Kurumsal Değerleme Ve Türetilen Ticari Etkilerle Birleştirilir. Bu, MÜŞTERİ'ye, Test Süresince Bulunan Güvenlik Açıklarını Tanımlama, Görüntüleme Ve Para Kazanma Ve Bunların MÜŞTERİLER Işletme Hedeflerine Karşı Ağırlıklı Olarak Ağırlık Verme Yeteneği Kazandıracaktır. Bu Bölüm, Aşağıdaki Alt Bölümlerde Yer Alan Ticari Riskleri Kapsar:
Olay Sıklığını Değerlendir
Olası Olay Sıklığı
Tehdit Kabiliyetini Tahmin Edin (3'Ten Itibaren - Tehdit Modellemesi)
Kontrol Gücü Hesaplama Makinası (6)
Bileşik Güvenlik Açığı (5)
Gerekli Beceri Düzeyi
Gerekli Erişim Seviyesi
Olay Başına Kayıp Büyüklüğünü Tahmin Et
Birincil Zarar
İkincil Zarar
Risk Köküne Neden Analizi Yapmak
Kök Sebep Hiç Yama Değil
Başarısız İşlemleri Belirleme
Risk Türevi
Tehdit
Güvenlik Açığı
Üst Üste Gelmek
