مواضيع عامةمواضيع ومقالات

مقال : خطوات كتابة تقرير لعملية اختبار اختراق

تم أرشفة هذا المحتوى


بعد انتهاء  متعة اختبار الاختراق حان الوقت لكتابة التقرير الكامل والمفصل عن العمليه والتي قضيت فيها وقت ليس بالقليل وتحتوي على تفاصيل وملاحظات كثيرة ومربكه تجعلني في حيره عن كيفيه كتابة التقرير ومايجب عليا ذكره في التقرير وما لا يجب عليا ذكره ، كيف اقوم بترتيب ماتوصلت اليه من نتائج بحيث استطيع ايصال كامل جهدي وكامل النتائج النهائيه بشكل مفهوم ومرتب للعميل ليعكس نظره جيده عني وعن الشركه التي اعمل بها ، التقرير يعد اهم جانب في عملية اختبار الاختراق ويعتبر هو الفاصل والحكم بين العميل والمختبر ، وهذا الجانب كثير من الشركات تهمله ولا تهتم به وتقوم بأعداد تقرير بسيط عن الثغرات المكتشفه واماكن تواجدها فقط وهذا يؤثر سلباً على عمل وسمعة الشركة . فمهما كانت قدرتك التقنيه في اختبار الاختراق انت والفريق الذي تعمل معه لا يشكل اي ايجابيه من ناحية العميل  بدون تقرير جيد وواضح يبرز مدى قوة المنهجية التي تسيروا عليها في اختبار الاختراق والتفاصيل الدقيقه المكتشفة من قبلكم بشكل يفهمه العميل ويسعد عند قرائته ويشعر بأن التقرير هو ما كان يبحث عنه قبل طلب اختبار الاختراق . هناك المئات من الكتب التي وفرت مواد تعليميه وعلميه في اختبار الاختراق ولكن لا تجد 5% من القيمه العلميه لهذه الكتب تهتم بكتابة التقرير وتنظيم العمليه اثناء تنفيذ اختبار الاختراق او كتابة التقرير النهائي . الامر مربك بالفعل فكتابة تقرير لعمليه اختبار اختراق تطبيق ويب تختلف نوعاً ما مع عملية اختبار اختراق شبكة او اختبار لثغرات buffer overflow, او مراجعة كود ,, الخ .

 سوف احاول تغطيه القواعد الاساسيه والتي من الضروري ان تكون في اي تقرير اختبار اختراق بمختلف انواعه وجوانبه .

النقطه المهمه والمفتاح لكتابة تقرير اختبار اختراق جيد او ربما قد لا تنحصر على التقرير فقط وأنما على العملية كلها وهي : ماذا يريد العميل بالضبط . عليك بسؤال نفسك لماذا قام العميل بطلب اختبار الاختراق . وماهي الجوانب الذي يهتم بها العميل اكثر من غيرها عن طريق الحديث الذي دار بينك وبينه ، عليك بفهم طلبه بشكل جيد والتركيز على اصغر التفاصيل من الطلب وتحديد دائرة العمل تماماً كي لا تضيع في اختبار اختراق ما لا يريده العميل خاصة اذا كنت تقوم بعملية اختبار اختراق لشركه عملاقه لديها الكثير من السيرفرات والمواقع .

# تحديد حجم الهدف واختيار فتره زمنيه دقيقه

خطا يقع فيه الكثير من مختبر الاختراق وهو التسرع في تحديد الفتره الزمنيه لانجاز الاختبار، احياناً تطلب عملية اختبار اختراق من شركة امنيه تجد الرد بنفس الوقت يحتوي على السعر والوقت المستغرق مع ان فريق الشركه لم يزحف على الموقع او القى نظرة على السيرفر او سأل عنه  فقط يعلم انه تطبيق ويب او فقط يعرف انه سيرفر ، لا يعرف  هل هو تطبيق ويب ضخم هل هو عدة دومينات هل هو في سيرفر منفصل ام في استضافه مشتركه والكثير من الامور المهمه ، يجب ان يتم الرد بعد دراسه للهدف المختبر دراسه دقيقه وكم سيستغرق اكتشاف الثغرات فيه في حاله كان حمايته ضعيفه او متوسطه او قويه واختيار اكبر فتره تصل اليها مع مراعاة  زمن جمع المعلومات وتنقيحها وتنظيمها بداخل تقارير صغيره  قبل اخراج التقرير النهائي للعميل ، هذا كله كي  لا تخطئ في تحديد الوقت المناسب وتتعرض  للأحراج امام العميل ،  واخيراً  كتابة التقريرعليك وضع خطين تحت عبارة  كتابة التقرير ، لان مختبر الاختراق يظلم دائما هذه المرحلة وهي اهم مرحله  في عملية اختبار الاختراق لكي تنتج عمل يرضي العميل ، كتابة التقارير وتنظيمها قد ياخذ منك الكثير من الوقت يصل الى 30% من الزمن الكلي للعملية يجب ان تجمع الفترات الزمنيه لكل هذه المراحل وواخراج الفترة الزمنيه النهائيه مع مراعاة وقت كتابة التقرير الذي يضم  الى وقت الاختبار  ، من اجل اخذ فترة زمنية مناسبة ويستطيع المختبر ان يقوم  بعملية اختبار اختراق ناجحه  ذو جوده عاليه .

# التدرج في الشرح العلمي لما توصلت اليه من نتائج  

عملية اختبار الاختراق هي عملية علميه مثل اي عملية اخرى في مختلف المجالات مبنيه على قواعد واسس علميه صحيحه لذلك من السليم عند كتابة نتائج اختبارك ان تقوم بالشرح على منهج متدرج لما قمت به يستهدف جميع الفئات . على سبيل المثال الشركات العملاقه عندما تطلب اختبار اختراق لشبكتها وسيرفراتها فأن التقرير سوف يصل الى عدد من الاشخاص والإدارات كل على حسب عمله وتخصصه مثل الاداره العليا للشركه ، وهذه الاداره يديرها مجموعه من الاشخاص الذي قد لا يكونوا تقنين وثقافتهم في امن المعلومات بسيطه ولا يستطيع فهم بعض النقاط العميقه في امن المعلومات وإدارة السيرفر ، ثانياً سوف يتم عرض التقرير على ادارة IT التي سوف يمر التقرير اليهم واحد واحد وسوف ياخذ كل منهم ما يخصه من المعلومات على حسب عملة في الادارة ، ثالثاً ادارة امن المعلومات ان كانت موجوده في الشركة وهذه الادارة ينبغي ان تتطلع على التقرير مع ادق تفاصيله التقنيه والفنيه في مجال امن المعلومات . ما اريد توصيله ان التقرير ينبغي ان يشرح بطريقة متسلسله تبدا بكلام عام عن النتائج والكلام موجه الى الاداريين في الموسسه او الشركه ثم هناك شرح اعمق في الخطوات تخص المتخصصين والخبراء مع مراعاة ذكر مفصل عن الطريقة المستخدمه للوصول للثغره ، بحيث نستطيع تغطيه كل من يهمه الامر . هذه النقطه مهمه جدا جدا وخاصة عند اختبار اختراق لشركات عملاقة .

# السرية في التقرير

 التقارير الخاصة بعملية اختبار الاختراق دايما تكون داخل الموسسه او الشركة سريه ولا يجوز الاطلاع عليها الا للمخولين لهم ، بعض الشركات الامنية تتعامل مع شركة كبيرة لعمل اختبار اختراق يجب أن تكتب تقريرين التقرير الاول يحتوي على كلام عام عن النتائج والثغرات المكتشفة يعرض على المدير العام وبعض المسؤولين ، التقرير الثاني يحتوي على ادق التفاصيل عن الثغرات واماكن تواجدها والاساليب المستخدمه في الاكتشاف والاضرار المتحمله على هذه الثغرات ويتم عرضه على مسؤول أمن المعلومات فقط .

# غلاف التقرير

من الجيد بدء التقرير بغلاف يحتوي على تصميم انيق لشركتك و يحتوي على شعار الشركة بجانب شعار شركة العميل ،ايضا اسم العميل، و اسم او نوع  عملية اختبار الاختراق مع تاريخ المراجعة .

#استخدام التقارير الرسومية مثل تلك التي تقدمها الواجة الرسومية لـ metasploit او مشروع OSSIM مثال مخطط من OSSIM (مشروع OSSIM ليس له علاقة بعملية اختبار الاختراق فهو له غرض اخر , بس اردت وضع مثال كيف تبدو التقارير الرسومية لا غير ) .

OSSIM_5

هناك العديد من المشاريع المخصصه لبناء تقارير رسومية من معلومات مدخلة منك تستطيع استخدامها ايضا لتوضيح التقرير .

# المنهجية المستخدمة في الاختبار

من المعلوم ان عملية اختبار الاختراق ليست عملية عشوائية  وانما هي عملية منظمه ضمن منهج وخطوات دقيقة . هناك مناهج لبعض الشركات  في امن المعلومات وضعت منهج لسير عملية اختبار الاختراق والكثير من الشركات تستخدم هذه المناهج لسير العملية وتنظيمها مع مزج أسلوبهم الخاص والمستخدم في اختبار الاختراق . اذا كانت شركتك تمشي ضمن منهج معروف مثل :  OSSTMM, ISSAF, OWASP, PenTest Standard وغيرها من المناهج عليك ذكرة ذلك يرفع من سمعة الشركة وجودة العمل فيها . 

 

# مخلص النتائج

summary of Discomvered vulnerablitles

في هذا الجزء سوف تضع ملخص كامل عن العملية محاولا ان تركز على اهم النتائج والثغرات وتتكلم عنها بشكل عام مع وضع جدول ملون لثغره ومكان تواجدها والخطر المترتب عليها ، هذا الجزء هو الجزء الذي سوف يكون مفهوم للأشخاص الغير تقنيين أو مختصين في أمن المعلومات وسوف تضع مخططات رسوميه للثغرات وخطوات العملية .

#الثغرات والتهديدات المكتشفة

هذا الجزء يعتبر تفصيلاً دقيقاً للجداول الملخصة في جزء ملخص النتائج .يحتوي على استعراض كل ثغرة على منفردة والطريقة المستخدمة في اكتشافها والرابط المصاب وهل هي على مستوى التطبيق كاملا ام كان سببها جزء من التطبيق او احد الإضافات في التطبيق واهم مخاطر هذه الثغرة ، حاول ان تشرحها بشكل جميل ومفهوم مع تغطية كل شي عن الثغرة حتى الانتهاء من جميع الثغرات المكتشفة .
في حالة كنت تختبر امن شبكة او سيرفر وهناك ثغرة مشهوره ولها الكود الرمزي الخاص بها من المستحسن ان تدونه بجانب الثغرة أثناء استعراضك لها .

# الحلول او التوصيات

هذا الجزء متغير بحسب نوعية الاختبار هل هو اختبار التطبيق واكتشاف الثغرات فقط ام مع اصلاحها وتطبيق الحماية من نفس الفريق المختبر
في حالة كانت عملية تطبيق الحماية ضمن العقد يجب ان تضيف هذا الجزء وتصف جميع الاصلاحات والترقيعات التي قمت بها . وتقديم بعض المعلومات عن سبب وقوع الثغرة وايضا نصائح لتجنب الوقوع في مثل هذه الثغرات مره اخرى .

# اعادة عملية الاختبار مرة اخرى بعد الإصلاحات وتطبيق الحماية .
يجب أعادة اختبار الاختراق بشكل كامل بعد تطبيق الحماية وإيضاح نفس التقارير والمخططات الرسوميه قبل وبعد تطبيق الحماية ومدى مناعة التطبيق او السيرفر ضد الهجمات التي استخدمت قبل تطبيق الحماية والفرق بين التقريرين .

أيضا لا تنسى علبة chocolate مع التقرير المطبوع  لشركة العميل .

علي الوشلي

علي الوشلي من اليمن, مدير مجتمع iSecur1ty , مهتم بأمن المعلومات واختبار الاختراق . حسابي على تويتر : ali_alwashali@

مقالات ذات صلة

‫2 تعليقات

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى