第 8 章 渗透测试执行报告
在展开本章内容前,我们想先说明一下,本章内容涉及的主题有撰写报告、设定条款和协议。我们应当将这些例子用作通用指导方针。我们并不是主张只掌握符合法律规定的知识或技术。虽然我们的Facebook资料中显示有7个都是律师,而且是电视剧《波士顿法律》的热心观众,但我们不是Denny Crane 1 。当需要严肃对待开发范围、协议和报告等问题时,我们建议你寻求专业的法律帮助。
1 《波士顿法律》中一个主角的名字,律师届的精英。——编者注
网络工程师负责部署网络,程序员负责编写应用,审计员负责编写报告。作为网络渗透测试人员,毫无疑问你扮演着审计员的角色。你跟负责配置路由协议的网络工程师不同,跟负责编写应用的程序员也不同,你的价值在于你编写的报告。换句话说,你需要学习如何编写报告。有一门科学艺术跟写作是关联的。如果要寻求一个一致的风格,本书作者推荐“The Modern Language Association of America Style”(美国现代语言学会语体),即广为人知的MLA 。MLA是一种易于使用的写作语体,也是大多数高中学校所要求的写作标准。H. Ramsey Fowler和Jane E. Aaron编纂的名为The Little, Brown Handbook 2 的参考指南,是一本介绍写作时如何正确使用MLA语体的专著。作为渗透测试人员,并且最终有可能是审计员,你的价值都取决于如何呈现自己的发现。渗透测试报告不成功的首要原因是语法或拼写错误。次要原因是不合逻辑的流程或语体。这也是我们强烈建议你提前让跟项目无关的其他人帮你审定报告,以提供旁观者观点的原因。不过,审定者不一定非要懂技术。
2 原书第9版的中文版《李特-布朗英文写作手册(中文简释版)》由北京大学出版社出版。——编者注
你如何呈现结果是对将来业务最有影响力和决定性的因素。在熟悉了写作语体之后,你要了解一些跟技术审计相关的较为恰当的语体和流程,其中包括来自PCI或其他行业组织制定的行业标准,比如CoBIT和ITIL。最终,报告的主题应该符合审计服务的企业进行公司治理采用的标准。同时要记得渗透测试报告会过很多人的手,也可能会在超过预期的很长一段时间内被很多人引用。
客户希望知道他们的系统到底有多容易被攻击,以及修补这些漏洞的需求条件,从而能够降低整体遭受攻击的安全风险。报告的格式和基调会引起对数据的正面反应或负面反应。与漏洞关联的,可能是某些职位上的员工被辞退。当然,也可能一个严重的安全漏洞因报告没有恰当地突出修复该问题的重要性而被忽略。那些顶尖的服务提供商会在编写执行报告时,从业务和技术优势两方面做权衡,使最终结果能对领导层和技术员工产生正面影响。
一个比较好的出发点是了解哪些规定、标准和法令对客户来说比较重要。将客户的需求和行业标准结合起来是本章的第一个主题。接着,我们会看一下用于主导交付服务的不同服务模型。之后,我们会关注执行报告的不同类型的文档格式,以便你可以在服务的后续流程中给客户留下一个比较好的印象。本章将会以一些示例报告结尾,并且会在最后介绍一下Kali Linux中可用的其他报告工具。