Het belangrijkste onderdeel van een beveiligingsonderzoek of penetratietest is misschien wel het onderdeel waar over het algemeen de minste tijd aan besteed wordt, de rapportage. Het rapport is namelijk het eindproduct dat het enige tastbare resultaat is voor de klant. Wanneer de resultaten van een beveiligingsonderzoek of penetratietest niet goed omschreven worden of de randvoorwaarden onduidelijk zijn gaat dit te koste van de algehele kwaliteit van het onderzoek.
De kwaliteit van rapportages van beveiligingsonderzoeken of penetratietesten lopen sterk uiteen. Onderstaande blogpost bevestigd dit:
Hieronder staan enkele voorbeelden uit bovenstaande blogpost van teksten uit rapportages waarvan de kwaliteit te wensen over laat:
While no issues were found on this portion of the network, issues may or may not exist until they are found.
Enumeration of network was not done due to no remaining hours but all target hosts were targeted.
De beste methode om een beveiligingsonderzoek or penetratietest te rapporteren is door deze als een gedegen onderzoek te zien. Een voorbeeld van een dergelijke opzet is als volgt:
- Samenvatting
- Inleiding
- Onderzoeksvraag
- Onderzoeksmethode
- Resultaten
- Aanbevelingen
- Conclusie
Wanneer dezelfde opzet als voor een onderzoeksrapport gehanteerd wordt kan met zekerheid gezegd worden dat alle belangrijke onderdelen van het beveiligingsonderzoek of penetratietest beschreven zijn. Voor omschrijven van de gevonden resultaten kunnen de vijf W’s gebruikt worden:
- 1. Wie is kwetsbaar?
- 2. Wat is kwetsbaar?
- 3. Waar is deze kwetsbaarheid van toepassing?
- 4. Wanneer is deze kwetsbaarheid uit te buiten?
- 5. Waarom is deze kwetsbaarheid van toepassing?
Door de resultaten te omschrijven als vragen in de journalistiek wordt de volledigheid en correctheid van de verstrekte informatie gewaarborgt. Met name de waarom is belangrijk omdat hier het bewijs geleverd wordt, want ook beveiligingsonderzoekers en penetratietesters geloven we niet op zijn of haar blauwe ogen…