Penulisan Laporan Teknis Pentesting

Menulis teknis adalah jenis tulisan yang dilakukan dengan hati-hati untuk pembaca tertentu. 

Organisasi itu mudah ditebak dan terlihat, gayanya ringkas, dan nadanya objektif dan seperti bisnis. Fitur khusus dapat mencakup elemen visual untuk menyempurnakan pesan.
Laporan pengujian penetrasi adalah contoh dari dokumen yang diproduksi sebagai output dari penulisan teknis yang umumnya terdiri dari aspek-aspek umum seperti:

1. Apa subjeknya?
2. Untuk siapa dokumen itu ditulis?
3. Bagaimana dokumen disusun?
4. Bagaimana Anda menggambarkan gaya penulis (atau penulis)?
5. Apa nada dokumen?
6. Apakah dokumen menyertakan fitur khusus (misalnya, cetak tebal, penomoran, daftar berpoin, alat bantu visual, heading, atau subjudul)?

Penulisan laporan teknis adalah keterampilan penting yang diperlukan di tempat kerja dan memungkinkan Anda untuk mengekspresikan ide-ide secara formal dan menjangkau pembaca atau audiens yang dituju sehingga mereka dapat membaca dan memahami apa yang kami coba informasikan, dan tentu saja belajar di kenyamanan. Saat Anda menulis laporan teknis Anda, Anda menunjukkan kemampuan Anda untuk mengumpulkan informasi (yaitu data mentah dari lapangan), mengatur, menganalisis, memecahkan masalah, dan memahami proses teknis.

Dokumen teknis membutuhkan lebih banyak upaya visual untuk menarik perhatian pembaca. Kami biasanya akan menggunakan beberapa fitur khusus seperti ukuran dan gaya Font, daftar bernomor dan / atau berpoin, kolom, warna, grafik dan tabel, kop surat dan logo, foto dan gambar, sidebars, dan clip art. Karena laporan Teknis ditujukan untuk pembaca teknis, Anda dapat mengungkapkan informasi “sebagaimana adanya”, tetapi jangan lupa, audiens Anda mungkin berasal dari departemen atau area fungsional yang berbeda. Beberapa dari mereka mungkin tidak sepenuhnya memahami tentang beberapa informasi yang Anda tulis. Grup jaringan dan infrastruktur mungkin tidak memahami istilah teknis terkait pengembangan (aplikasi atau sistem) sementara grup pengembang mungkin dapat memperoleh pemahaman tentang topik yang dibahas atau diinformasikan, dan sebaliknya.

Ringkasan Eksekutif

Laporan Ringkasan Eksekutif adalah salah satu dokumen terberat untuk ditulis harus mewakili pandangan tingkat tinggi dari pekerjaan Anda, terkait dengan temuan, analisis, masalah, dan solusi.
Dokumen ini harus ditulis dengan hati-hati dengan cara yang spesifik dan terorganisir sepenuhnya. Ini harus menangkap ide dan informasi yang ingin Anda sampaikan atau ungkapkan. Ingat, audiens yang Anda tuju adalah manajemen tingkat atas yang biasanya tidak memiliki pemahaman yang baik tentang aspek teknis, jadi tulis laporan Anda seakurat dan setepat mungkin. Cobalah untuk menghindari menggunakan banyak istilah teknis, atau masuk ke dalam aspek teknis yang pada gilirannya melupakan fokus sebenarnya. Berikan penjelasan singkat dan tepat, jika mungkin dalam istilah Lyman, sehingga audiens Anda dapat menghubungkan informasi yang diberikan dengan sesuatu yang mereka ketahui dan pahami dengan baik. Anda mungkin perlu memberikan contoh kehidupan nyata untuk menekankan risiko “melakukan hal yang benar” dan “tidak melakukan itu
hal yang benar ”, untuk mengekspresikan manfaat dan biaya untuk tindakan tertentu seperti tindakan preventif dan korektif. Analisis biaya dan manfaat adalah contoh alat dan teknik yang baik yang dapat Anda gunakan untuk membuktikan konsep Anda.

Standar dan Template

Tersedia beberapa standar dan template untuk Anda mulai menulis laporan penetrasi yang baik. Yang paling penting adalah Anda perlu mengatur informasi Anda untuk disajikan dalam laporan Anda.
Lihatlah beberapa contoh di sini untuk referensi Anda:

1. NIST SP 800-115 Technical Guide to Information Security Testing and Assessment. http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
2. SANS Institute – Writing Penetration Testing Report. http://www.sans.org/reading-room/whitepapers/bestprac/writing-penetration-testingreport-33343
3. Offensive Security – Penetration Testing Report Example, http://www.offensive-security.com/penetration-testing-sample-report.pdf
4. PTES Reporting Standard, http://www.pentest-standard.org/index.php/Reporting

Contoh yang baik dari laporan pengujian penetrasi terorganisir adalah laporan terstruktur dan terorganisir dengan baik yang menjelaskan setiap aspek yang perlu ditangani dalam laporan. Hapus bagian untuk kontrol dokumen, daftar isi laporan, daftar ilustrasi, ruang lingkup pekerjaan, tujuan proyek, asumsi, kendala, garis waktu, temuan (kerentanan), rekomendasi, metodologi, pendekatan, analisis risiko, dan referensi (yaitu SANS dan PTES pelaporan).

Laporan naratif yang menjelaskan langkah demi langkah terperinci dari kegiatan yang dilakukan, seperti jenis serangan dan teknik serta kerentanan yang diidentifikasi, kesimpulan dan peringkat risiko ditemukan menarik untuk audiens teknis tetapi tidak untuk audiens tingkat eksekutif (yaitu manajemen puncak), karena tidak benar-benar menangkap ide dan informasi yang disajikan.

Tingkat audiensi eksekutif lebih peduli tentang "dampak" dan "risiko" karena tidak dapat menempatkan atau menerapkan kontrol keamanan untuk mengurangi atau mengurangi risiko yang terkait dengan ancaman. Dengan menunjukkan gambaran lengkap tentang ancaman, kerentanan, dan dampak dan akhirnya menarik kesimpulan tentang risiko nyata yang mereka hadapi, kami berharap bahwa manajemen akan lebih sadar akan dampak potensial, dan dapat memberikan keputusan yang jelas tentang tindakan apa yang harus dilakukan untuk mencegah atau mengurangi risiko, atau apakah mereka menerima risiko atau mengurangi risiko dengan menempatkan kontrol keamanan serta meningkatkan postur keamanan mereka.

Tingkat audiensi eksekutif lebih peduli tentang "dampak" dan "risiko" karena tidak dapat menempatkan atau menerapkan kontrol keamanan untuk mengurangi atau mengurangi risiko yang terkait dengan ancaman. Dengan menunjukkan gambaran lengkap tentang ancaman, kerentanan, dan dampak dan akhirnya menarik kesimpulan tentang risiko nyata yang mereka hadapi, kami berharap bahwa manajemen akan lebih sadar akan dampak potensial, dan dapat memberikan keputusan yang jelas tentang tindakan apa yang harus dilakukan. dilakukan untuk mencegah atau mengurangi risiko, atau apakah mereka menerima risiko atau mengurangi risiko dengan menempatkan kontrol keamanan serta meningkatkan postur keamanan mereka.

Anda mungkin ingin menggabungkan beberapa standar berbeda menjadi satu yang kemudian akan diadopsi sebagai standar dan template organisasi Anda sendiri yang akan diterapkan pada semua tugas proyek pengujian penetrasi. Mulailah membangun satu, dan tingkatkan dari waktu ke waktu. templat adalah aset perusahaan yang dapat digunakan kembali yang akan membantu kami menjaga standar dan mempercepat proses proyek kami dan menghasilkan hasil yang baik.

Bagaiamana perusahaan Anda membuat Laporan Teknis?