Todos sabemos los pasos de un pentest pero pocos sabemos/sabíamos los pasos para hacer la parte commercial de un pentest. Para un ejemplo de reporte pueden ver el de SANS francamente el reporte que pide OWASP es para comprobar que entraste pero no es un reporte comercial. (Muchos más ejemplos aquí)
Igual hay un “estandar” de la comunidad que esta bastante completo “Penetration Testing Execution Standard (PTES)” es tipo una wikipedia.
Este es un artículo que llevo un rato escribiendo y seguiré visitando y arreglando conforme vaya aprendiendo más.
Ciertamente hay que tomar esto como conceptos generales pues cada país tiene sus particularidades pero como comentaba lo básico es siempre tener el permiso por escrito y el alcance de lo que vas a probar.
Venta
Esta parte aun la voy a escribir…
Aceptación
Hay que hacer lo que se llama un Statement of Work o traducido literal “Declaración de trabajo”
- Portada
- Carta introducción diciendo quien eres (tu empresa) y pidiendo que la firmen y que te la regresen.
- Introducción
- Background
- Objetivos, scope, tipo de test, desde donde vas a hacer el test y pedirle que te desbloqueen ciertos IPs y tiempos en lso que vas a estar haciendo las pruebas (si ven un ataque 3 am desde un IP que no es tuyo tiene que quedar claro que no eres tu)
- Es importante aclarar que no vas (o si) a arreglar los errores
- Que el examen es un snapshot de lo actual y que no corresponde en ningún momento que luego van a ser seguros.
- Explicación genérica de como vas a hackear
- Ejemplo de reporte
- Titulo de vulnerabilidad
- Riesgo (porque ese riesgo)
- Componente del problema
- Lo que encontraste de preferencia con screenshots
- Que hacer en caso de una alerta roja, es decir que encontraste algo muy malo y lo tienen que arreglar YA.
- Presupuesto
- Riesgo de una prueba de penetración y decirles políticamente que es responsabilidad del cliente porque podemos tirar sin querer todo.
- Si vives en EU hablar de la protección de datos.
- Que no contraten a ninguno de tus empleados
- Y que el reporte que les estamos dando es confidencial por x años.
- Porque somos los mejores y porque deben de contratarnos.
Te tienes que “asegurar” que ellos internamente avisaron a quienes tenían que avisar que lo harás por cierto…
Pentest
Dejando de lado el como hacer el pentest yo creo que lo más importante de esta fase además de lo que descubras es la calidad del reporte. Si te van a pagar +1000 usd/euros al dia el entregable es muy importante.
Tienes que guardar todo lo que haces logs, screenshots, etc. Muy posiblemente luego quieran una explicación más profunda de lo que hiciste o lo arreglen o no te crean que lograste X.
- Reporte
- Carta
- Hacienda referencia al document anterior
- Diciendo otra vez que el documento es confidencial
- Introducción con background y principales vulnerabilidades/recomendaciones con muchas gráficas y colores.
- Ataque ejemplo (Normalmente para que el CEO que no tiene idea de seguridad entienda o al menos se asuste ja)
- Resumen de vulnerabilidades en una tabla
- Cada una de las vulnerabilidades en base a lo que dijiste que harías en el SOW
- Titulo de vulnerabilidad
- Riesgo (porque ese riesgo)
- Componente del problema
- Carta
- Lo que encontraste de preferencia con screenshots
- Recomendaciones.
- Resumen del SOW para hacer más hojas.
Lo tienen que revisar muchas personas, si hay un error en el reporte creerán que tu pentest estuvo mal, lo cual no necesariamente es cierto.
Post venta
- Es importante tener una junta para revisar/explicar el reporte
- Decirles en que mas les puedes ayudar (vender)
- Revisar si están felices.
Aquí pueden ver un checklist básico: pentest-best-practices-checklist