CompTIA Education VN

CompTIA Pentest+ (PT0-002) – Bài 18 : Báo cáo

Bài học 18 – Report ! Kỳ thi CompTIA PenTest+ PT0-002 Mục tiêu: A. Xác định Đối tượng Đọc Báo cáo Kiểm Thử Bảo Mật: Ví dụ: Khi Đội ngũ Pentest của Security365 tiến hành kiểm thử cho một tổ chức tài chính, các bên liên quan có thể bao gồm Giám đốc điều hành,…

certmaster

Bài học 18 – Report !

Kỳ thi CompTIA PenTest+ PT0-002

Mục tiêu:

  • So sánh và đối chiếu các thành phần quan trọng của báo cáo bằng văn bản.

A. Xác định Đối tượng Đọc Báo cáo Kiểm Thử Bảo Mật:

  • Một trong những yếu tố quan trọng khi tạo báo cáo PenTest là xác định đối tượng mục tiêu của báo cáo. Mỗi báo cáo sẽ có các bên liên quan khác nhau từ tổ chức có hệ thống thông tin đang được kiểm thử. Các bên liên quan có thể bao gồm:
    • Ban lãnh đạo cấp cao, quản lý và nhân sự IT
    • Nhóm an ninh hoặc IT của khách hàng cùng với các chuyên gia tư vấn

Ví dụ: Khi Đội ngũ Pentest của Security365 tiến hành kiểm thử cho một tổ chức tài chính, các bên liên quan có thể bao gồm Giám đốc điều hành, Giám đốc tài chính, Quản lý IT và CISO. Ngoài ra còn có thể có sự tham gia của bên thứ ba như công ty kiểm toán, cơ quan quản lý tài chính.

  • Cung cấp thông tin chi tiết cho các bên liên quan:
  • Lãnh đạo cấp cao (C-Suite): bao gồm các vị trí quản lý cấp cao như CEO, CTO chịu trách nhiệm đưa ra quyết định dựa trên kết quả.
  • Bên thứ ba (Third-Party Stakeholders): không tham gia trực tiếp vào PenTest nhưng vẫn có thể tham gia vào một quy trình liên quan đến báo cáo PenTest như nhà cung cấp, nhà đầu tư, cơ quan quản lý và các thực thể tương tự.
  • Đội ngũ kỹ thuật (Technical Staff): nhân sự duy trì các hệ thống
  • Đội ngũ phát triển (Developers): nhân sự chịu trách nhiệm tạo ra giải pháp

Ví dụ: Sau khi hoàn thành PenTest, Đội ngũ Pentest của Security365 thảo luận với khách hàng để hiểu rõ đối tượng chính sẽ đọc báo cáo. Họ quyết định tóm tắt ngắn gọn các phát hiện chính cho lãnh đạo cấp cao, đồng thời cung cấp thông tin kỹ thuật chi tiết hơn cho đội ngũ kỹ thuật và phát triển để họ có thể khắc phục các lỗ hổng. Ngoài ra, một bản tóm tắt được chia sẻ với công ty kiểm toán để đáp ứng yêu cầu tuân thủ.

B. Liệt kê Nội dung Báo cáo:

  1. Executive Summary
  • Executive summary là một tổng quan cấp cao và súc tích về quá trình PenTest, các phát hiện của nó và tác động của chúng. Nó có thể dao động từ 2 đoạn văn đến 2 trang, tùy thuộc vào mục tiêu của khách hàng, ngành, quy mô tổ chức và các yếu tố khác.
  • Cung cấp một tóm tắt về quy trình và kết quả:
  • Giải thích ngắn gọn và đơn giản về quy trình, những phát hiện đáng chú ý được diễn đạt bằng ngôn ngữ không quá kỹ thuật, và một số tác động của chúng.
  • Nên kết thúc bằng phát biểu kết luận.
  1. Phạm vi chi tiết (Scope Details)
  • Chi tiết phạm vi đã được xác định cho hoạt động PenTest trong giai đoạn tiền hợp đồng (pre-engagement phase). Bao gồm bất kỳ thay đổi nào so với phạm vi ban đầu theo yêu cầu của khách hàng, hoặc các sự kiện không lường trước làm thay đổi kế hoạch hành động.

Ví dụ: Phạm vi ban đầu của PenTest do Đội ngũ Pentest Security365 thực hiện là kiểm thử các ứng dụng web trên comptia.academy. Tuy nhiên, trong quá trình kiểm thử, khách hàng yêu cầu mở rộng phạm vi sang cả 2 subdomain training.comptia.academy và support.comptia.academy. Sự thay đổi này được ghi chép lại trong mục Scope Details của báo cáo.

  1. Phương pháp luận (Methodology)
  • Methodology là mô tả cấp cao về các tiêu chuẩn hoặc framework được tuân theo để tiến hành PenTest.
  • Phác thảo các hoạt động đã thực hiện, thường là một cách tổng quát.
  • Nhóm kiểm thử có thể đề cập một số chi tiết bổ sung:
  • Những gì đang được nhắm mục tiêu trong mỗi phần của quá trình kiểm thử, và những công cụ, kỹ thuật, thủ tục nào được sử dụng cho từng phần.
  1. Chi tiết về tiến trình tấn công (Attack Narrative)
  • Attack narrative là giải thích chi tiết về các bước đã thực hiện trong quá trình PenTest. Nó hướng dẫn người đọc đi qua quy trình mà nhóm đã thực hiện:
  • Nên chỉ ra sự tương quan giữa phương pháp luận đã đề cập và các hoạt động đã thực hiện.
  • Trong trường hợp có sự kiện xảy ra làm thay đổi phạm vi, attack narrative sẽ đề cập điều này và cho thấy những gì đã diễn ra sau đó.
  • Thông thường sẽ diễn giải chi tiết về các đường tấn công và liệu khai thác có thành công hay không, đồng thời chỉ nói ngắn gọn về phần còn lại.
  1. Danh sách các phát hiện (Findings)
  • Phần này chỉ ra các vấn đề đã được xác định trong quá trình PenTest. Thường được trình bày dưới dạng bảng xác định:
  • Lỗ hổng (vulnerability), mức độ đe dọa (threat level), mức độ rủi ro (risk rating) và liệu lỗ hổng có thể bị khai thác hay không.
  • Khi điều chỉnh báo cáo cho phù hợp với mục tiêu và mức độ chấp nhận rủi ro (risk appetite) của khách hàng, cần xem xét các yếu tố như lỗ hổng nghiêm trọng, vector tấn công được khai thác thành công và các kết quả khác.
  • Phần này nên bao gồm các bước có thể được lặp lại độc lập để các phát hiện có thể được xác thực.
  1. Xác định mức độ chấp nhận rủi ro (risk appetite)
  • Risk appetite đề cập đến lượng và loại mối đe dọa và lỗ hổng tiềm ẩn mà tổ chức sẵn sàng chấp nhận và chịu đựng. Các bên liên quan chính cần xác định risk appetite của họ bằng cách trả lời các câu hỏi như:
  • Những tổn thất nào sẽ là thảm họa đối với tổ chức?
  • Quy trình, công nghệ hoặc tài sản nào có thể không khả dụng trong bao lâu mà vẫn cho phép tổ chức hoạt động?
  • Báo cáo PenTest của bạn nên tính đến risk appetite của khách hàng.
  1. Xếp hạng rủi ro (Risk Rating) theo khung tham chiếu
  • Risk rating là quá trình gán các giá trị định lượng cho các rủi ro đã xác định, thường được thực hiện bằng cách tuân theo một khung tham chiếu, là một phương pháp để đánh giá các phát hiện một cách nhất quán.
  • Để đạt được tính nhất quán, các yếu tố có liên quan cần được xem xét như khả năng khai thác và vị trí của lỗ hổng.
  • Có các hệ thống được thiết lập có thể cải thiện hơn nữa xếp hạng rủi ro, như CVSS, cũng như các khung an ninh mạng như NIST CSF.
  1. Ưu tiên rủi ro (Prioritizing Risk)
  • Risk prioritization là quá trình điều chỉnh mức xếp hạng cuối cùng của các lỗ hổng cho phù hợp với nhu cầu của khách hàng. Tùy thuộc vào ngành của họ và các yếu tố khác, bạn và khách hàng cần phối hợp để ưu tiên các kết quả kiểm thử của bạn.
  • Bạn có thể cần xem xét các mục bao gồm thông tin nhận dạng cá nhân (PII) và thông tin sức khỏe được bảo vệ (PHI) ngoài các yếu tố khác như khả năng truy cập mạng, khả năng tiếp cận tòa nhà, v.v. Tất cả những yếu tố này có thể ảnh hưởng đến cách bạn ưu tiên các kết quả của PenTest.
  1. Phân tích tác động kinh doanh có thể xảy ra
  • Business impact analysis (BIA) liên quan đến việc ước tính các tác động có thể xảy ra đối với khách hàng nếu các vấn đề được xác định bị một tác nhân độc hại nhắm mục tiêu.
  • Phần này của báo cáo sẽ cung cấp sự hiểu biết tốt hơn về mối quan hệ giữa các phát hiện và tác động của chúng, cho phép khách hàng xác định tốt hơn mức độ ưu tiên phân bổ nguồn lực để triển khai giải pháp cho các phát hiện.
  1. Xác định các chỉ số và phép đo
  • Metrics là các phép đo định lượng về trạng thái của kết quả hoặc quy trình. Ví dụ về metric liên quan đến PenTest là mức độ nghiêm trọng của các phát hiện lỗ hổng. Metric này có thể được thể hiện trên một thang điểm, chẳng hạn từ 1 đến 10.
  • Metrics và measures có thể được hiển thị dưới dạng bảng hoặc biểu đồ để hiển thị kết quả tốt hơn và cho phép phân tích dễ dàng, chẳng hạn như thay đổi theo năm về số lượng vector tấn công được khai thác thành công.
  1. Đề xuất khắc phục (Remediation)
  • Remediation xác định các giải pháp có thể cho các vấn đề được xác định trong quá trình PenTest. Hãy trình bày càng nhiều tùy chọn càng tốt khi liệt kê các khuyến nghị.
  • Cung cấp cho khách hàng nhiều lựa chọn giúp họ chọn giải pháp phù hợp với họ và tổ chức của họ. Ví dụ:
  • Độ phức tạp mật khẩu yếu – Định cấu hình yêu cầu mật khẩu tối thiểu.
  • Không có xác thực đa yếu tố (MFA) – Triển khai MFA trong các hệ thống áp dụng được.
  1. Phác thảo các phần báo cáo cuối cùng
  • Kết luận (Conclusion) – Tóm tắt báo cáo. Các yếu tố chính bao gồm:
  • Tuyên bố tóm tắt chung về các thất bại và thành công, với bằng chứng hỗ trợ có thể được viết trong một hoặc hai câu.
  • Tuyên bố về mục tiêu của PenTest và liệu các mục tiêu đó có đạt được hay không.
  • Phụ lục (Appendix) – bất kỳ bằng chứng hỗ trợ hoặc xác nhận các kết quả nào. Có thể bao gồm bản in kết quả kiểm tra, ảnh chụp màn hình hoạt động mạng và các bằng chứng khác bạn thu được trong quá trình kiểm thử. Cũng có thể bao gồm phiên bản đầy đủ của một số điểm nổi bật trong báo cáo hoặc tham chiếu đến tệp nếu được cung cấp dưới dạng tệp đính kèm.

C. Xác định Các phương pháp tốt nhất cho Báo cáo

  1. Lưu trữ báo cáo
  • Tùy thuộc vào các yếu tố khác nhau, bạn sẽ cần xác định thời gian lưu trữ cho các báo cáo và tài liệu hỗ trợ.
  1. Bảo mật phân phối báo cáo
  • Báo cáo PenTest chứa thông tin chi tiết về các khu vực dễ bị tấn công. Hãy thực hiện các biện pháp phòng ngừa để ngăn báo cáo rơi vào tay kẻ xấu.
  • Nếu có thể, hãy lưu trữ các báo cáo trên máy chủ an toàn để chỉ nhân sự thích hợp mới có thể xem chi tiết của báo cáo đầy đủ.
  • Có thể một số phần của báo cáo cần được cung cấp cho nhân sự bổ sung. Vì lý do này, hãy xem xét lưu trữ báo cáo trong các kho lưu trữ, nơi các phần của báo cáo có thể được bảo mật với các cấp độ truy cập khác nhau.

Ví dụ: Báo cáo PenTest cho comptia.academy được Đội ngũ Pentest Security365 lưu trữ trên một máy chủ an toàn với kiểm soát truy cập nghiêm ngặt. Chỉ các thành viên chủ chốt của nhóm Pentest và lãnh đạo cấp cao của comptia.academy mới được phép truy cập báo cáo đầy đủ. Một bản tóm tắt rút gọn không chứa thông tin nhạy cảm được chia sẻ rộng rãi hơn thông qua hệ thống quản lý tài liệu nội bộ của comptia.academy.

  1. Các phương pháp tốt nhất để xử lý báo cáo
  • Duy trì tính bảo mật và toàn vẹn của báo cáo
  • Đảm bảo sẵn có báo cáo cho đối tượng phù hợp
  • Giảm thiểu việc truyền báo cáo qua mạng công cộng
  • Duy trì nhật ký kiểm tra cho người dùng truy cập báo cáo
  • Duy trì chuỗi lưu giữ khi chuyển quyền sở hữu báo cáo
  • Duy trì kiểm soát phiên bản cho những thay đổi trong báo cáo
  1. Ghi chú
  • Việc ghi chú giúp theo dõi các chi tiết xảy ra trong quá trình hoạt động mà bạn không muốn bỏ sót trong báo cáo. Ghi chú thường để sử dụng nội bộ nên có xu hướng linh hoạt hơn tùy theo nhu cầu của từng nhóm PenTest.
  • Nếu được hỏi về dự án, bạn có thể tham khảo ghi chú của mình để biết thêm thông tin bổ sung có thể cần. Sẽ rất quan trọng để điều chỉnh cách ghi chú của bạn tùy theo nhu cầu của bạn và khách hàng.
  1. Ghi chép liên tục trong quá trình kiểm thử
  • Việc ghi chép trong quá trình kiểm thử sẽ rất hữu ích khi bạn viết báo cáo PenTest. Do tầm quan trọng của nó, nó thường được coi là một quy trình bắt buộc.
  • Ghi lại các phát hiện của bạn có thể là vô giá như một bằng chứng để cho khách hàng xem và chứng minh các phát hiện của bạn. Ngược lại, việc không thể cung cấp bằng chứng cho các tuyên bố trong báo cáo sẽ làm giảm đáng kể độ tin cậy của nó.
  • Trong trường hợp xấu nhất, điều này có thể khiến khách hàng của bạn không vượt qua được quá trình chứng nhận lại an ninh mạng.
  1. Chụp ảnh màn hình
  • Ảnh chụp màn hình là một thành phần quan trọng của việc ghi chép liên tục. Từ đó, bạn có thể cung cấp cả bằng chứng cho thấy một đường tấn công đã thành công cũng như cung cấp cái nhìn sâu sắc khác về cuộc tấn công thay vì chỉ là văn bản.
  • Chỉ lấy những phần liên quan để giảm thiểu việc thu thập thông tin không cần thiết cho báo cáo. Làm việc với khách hàng để xác định cách xử lý đúng những sự kiện đó.
  1. Nhận ra các chủ đề/nguyên nhân gốc rễ phổ biến
  • Khi bạn phân tích kết quả quét lỗ hổng, bạn có thể gặp các điều kiện tái diễn và/hoặc các chủ đề phổ biến. Chúng có thể bao gồm:
  • An ninh vật lý lỏng lẻo hoặc sử dụng các giao thức mật mã lỗi thời
  • Nhân viên không tuân theo chính sách của công ty hoặc các phương pháp tốt nhất, hoặc thiếu đào tạo an ninh mạng đầy đủ
  • Việc xác định các chủ đề chung cung cấp cho bạn bức tranh toàn diện hơn về môi trường mục tiêu và các điểm yếu của nó.
  1. Xác định các lỗ hổng
  • Danh sách đầy đủ các lỗ hổng đã được xác định có thể hữu ích không chỉ cho khách hàng mà còn cho chính nhóm. Thông tin này có thể cung cấp cái nhìn sâu sắc về các lỗ hổng được xếp hạng cao chưa được nhóm khai thác thành công và nghiên cứu thêm về chúng.
  • Nó cũng có thể cung cấp thông tin hữu ích cho nhóm về các lỗ hổng bị khai thác nhiều nhất như đã thảo luận trong Chủ đề/Nguyên nhân gốc rễ phổ biến. Bạn luôn có thể cung cấp chi tiết đầy đủ về lỗ hổng trong phụ lục của báo cáo hoặc như một tệp riêng để giữ cho báo cáo súc tích.
  1. Phác thảo các phương pháp tốt nhất
  • Sử dụng các lỗ hổng và chủ đề/nguyên nhân gốc rễ phổ biến, nhóm có thể rút ra một danh sách nhất quán các phương pháp tốt nhất và chỉ ra nơi khách hàng thường thiếu các biện pháp kiểm soát này.
  • Nó cũng phổ biến để tìm các phương pháp tốt nhất liên quan đến ngành cho khách hàng và theo dõi chúng trong các hoạt động.
  1. Cung cấp các quan sát
  • Các quan sát bao gồm chi tiết chung về PenTest:
  • Các kết luận rút ra từ thông tin thu thập được
  • Các điểm nổi bật quan trọng của các vấn đề được tìm thấy
  • Các hành động được thực hiện để giải quyết chúng
  • Ghi chú cần ghi nhớ cho lần kiểm tra lại tiếp theo
  • Các tuyên bố như sai lệch về phạm vi, thay đổi về mức độ ưu tiên và các yếu tố khác cần được xem xét cho báo cáo

Tổng kết:
Bài trình bày này là sự tổng hợp những nguyên tắc và thực hành tốt nhất trong việc biên soạn báo cáo PenTest dựa trên CompTIA PenTest+ Exam PT0-002. Hy vọng nó sẽ là một tài liệu hữu ích cho các chuyên gia an ninh mạng trong quá trình nâng cao kỹ năng và phát triển nghề nghiệp của mình.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Trending