Тестирование на проникновение (penetration testing, пентест) — один из ключевых инструментов обеспечения кибербезопасности. Важно помнить: сам процесс поиска уязвимостей — лишь половина работы. Настоящая ценность для заказчика заключается в грамотно оформленном отчете, который объясняет каким уязвимостям подвержен продукт или инфраструктура, насколько они опасны и что нужно сделать для устранения выявленных проблем.
Для начинающих специалистов (аналитиков информационной безопасности и пентестеров) умение составлять отчет по результатам пентеста является обязательным навыком. Данная статья поможет разобраться в структуре, содержании и особенностях подготовки отчетов по результатам исследований.
Зачем нужен отчет о пентесте?
Многие новички совершают типичную ошибку: воспринимают отчет как «обязательную бумажную работу» после проведения исследований. На самом деле отчет — это основной продукт, за который платит заказчик.
Грамотно подготовленный отчет выполняет сразу несколько функций:
для руководства: дает понимание реального уровня защищенности информационных систем, рисков для бизнеса и приоритетов в устранении проблем;
для технических специалистов: предоставляет конкретные данные о найденных уязвимостях, инструкции по эксплуатации и рекомендации по устранению;
для юридической защиты: фиксирует результаты проверки и может использоваться как официальный документ (например, при проверках регуляторов или в случае инцидентов).
Таким образом, отчет является связующим звеном между бизнесом, специалистами по информационной безопасности и техническими командами.
Аудитория отчета. Для кого пишем?
Прежде чем приступить к подготовке отчета, важно понимать: кто будет читать? Как правило, аудитория делится на две группы:
высший менеджмент и руководство компании — нужна краткая, понятная и «безопасная» информация о рисках: что угрожает бизнесу, какие уязвимости наиболее критичны, что нужно исправить в первую очередь;
технические специалисты — нужны детали: конкретные уязвимости, пошаговая эксплуатация, скриншоты, команды, примеры кода и практические рекомендации.
Так и строится структура отчета: «краткая часть» для менеджмента и «техническая часть» для специалистов.
Структура отчета
1. Общие сведения.
В данном разделе описываются:
данные о заказчике и исполнителе (наименования компаний, контакты ответственных лиц);
сроки проведения работ;
основания (договор, внутреннее распоряжение);
объект анализа (сети, IP-адреса, веб-приложения, сервисы, учетные записи и т.д.);
цели и задачи тестирования (например, «проверка защищенности корпоративного портала от внешних атак»).
⚠️Важно: все работы по тестированию на проникновение (или анализу защищенности) информационных систем проводятся строго в рамках договора, технического задания и с согласия заказчика. Наличие заключенного договора защищает как заказчика, так и исполнителя от юридических рисков.
2. Краткая характеристика результатов.
Данный раздел ориентирован на руководство и топ-менеджмент компании заказчика, поэтому старайтесь избегать использования технических терминов, жаргонизмов и сленга, понятного только в кругу пентестеров.
Укажите:
общий уровень защищенности (например, «система имеет средний уровень защищенности, но выявлены критические уязвимости»);
общее количество найденных уязвимостей с разбивкой по уровням риска (критические, высокие, средние, низкие, информационные);
краткое описание наиболее опасных уязвимостей (с наивысшим уровнем риска) и возможных цепочек атак;
возможные последствия (финансовые потери, утечки персональных данных, репутационные риски) эксплуатации уязвимостей злоумышленником;
рекомендации по устранению уязвимостей в формате «что делать в первую очередь».
✅Совет: всегда отмечайте положительные стороны проекта — например, корректные настройки сетевых экранов, наличие системы мониторинга событий, быструю реакцию команды SOC на подозрительную активность в сети. Это укрепляет доверие и показывает, что отчет выполнен качественно и предоставлены объективные оценки уровня информационной безопасности системы заказчика.
3. Методика проведения работ.
Данный раздел отчета описывает структуру, используемые методологии и этапы тестирования.
Модель тестирования: «черный ящик» (ничего не известно), «серый ящик» (предоставлена частичная информация), «белый ящик» (полный доступ к документации и данным).
Модель нарушителя: описание условного атакующего (например, внешний нарушитель без доступа или внутренний злоумышленник с минимальными правами).
Используемые стандарты: PTES, OWASP Testing Guide, NIST SP 800-115 и другие.
Этапы работ:
разведка и предварительный сбор информации;
поиск и анализ уязвимостей;
эксплуатация уязвимостей;
постэксплуатация (закрепление, повышение привилегий);
анализ рисков и подготовка отчета.
Оценка уровня риска: обычно применяется стандарт CVSS (версии 3.1 или 4.0).
4. Подробное описание результатов.
В данном разделе отчета приводится техническая информация о выявленных уязвимостях:
перечень исследованных ресурсов;
-
описание каждой выявленной уязвимости:
наименование;
уровень риска (с числовой и качественной оценкой по шкале CVSS);
ресурс, где выявлена уязвимость;
подробное описание (причины, параметры, примеры);
возможное негативное воздействие;
порядок эксплуатации уязвимости (пошагово, со скриншотами, участками кода и т.д.);
рекомендации по устранению уязвимости (варианты исправления, закрытия).
⚠️Важно: обязательно скрывайте конфиденциальную информацию (логины, пароли, банковские данные пользователей и т.п.).
⚠️Если проект включал в себя этап проведения разведывательных мероприятий (OSINT), целесообразно включать результаты работ в данный раздел отчета. Например, привести полученную на этапе разведки информацию перед описанием выявленных уязвимостей.
Типовая форма описания уязвимости.
Наименование уязвимости:
Уровень риска: (например: Высокий. CVSS 3.1: 8.3 (AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:H))
Ресурс: (например: api.example.com)
Описание: (как обнаружена, причины, последствия)
Негативное воздействие: (риски для компании, бизнеса)
Эксплуатация: (пошаговые действия)
Рекомендации: (варианты закрытия уязвимости, ссылки на техническую документацию).
Типичные ошибки новичков при составлении отчетов.
❌Слишком много технической информации и деталей в разделе для руководства, описывающим краткие итоги проведения исследования.
❌Отсутствуют четкие рекомендации по устранению уязвимостей («надо исправить» вместо «обновить библиотеку X до версии Y»).
❌Использование профессионального жаргона, терминов, аббревиатур, непонятных заказчику.
❌Пропуск малозначительных уязвимостей. Они тоже важны для оценки результатов проведения работ и состояния защищенности систем.
❌Необъективность. Фокус только на «плохом», без упоминания положительных моментов.
Алгоритм подготовки отчета.
Соберите все находки (уязвимости, скриншоты, результаты сканирования, учетные данные);
Используйте шаблон или форму для описания уязвимостей;
Заполните разделы отчета (общая часть → краткая характеристика результатов → методика → техническая часть);
Проверьте документ. Убедитесь, что не допустили утечки чувствительных данных;
Подготовьте финальную версию.
Заключение
Хорошо составленный отчет по результатам тестирования на проникновение — это не просто список уязвимостей, а дорожная карта по улучшению безопасности компании.
Для начинающего пентестера, а тем более аналитика информационной безопасности, умение подготовить хороший отчет очень важный навык.
Запомните три принципа:
Пишите для разных аудиторий (отделяйте бизнес-часть от технической);
Будьте конкретны (давайте измеримые рекомендации и понятные шаги);
Будьте объективны (фиксируйте как слабые места, так и сильные стороны).
И самое главное: практикуйтесь. Чем больше отчетов подготовите, тем быстрее выработаете собственный стиль и подход.
Желаю удачи!
maedis
Очередная нейро-статейка.
Shaman_RSHU
Странно, что нету ссылки на telegram канал :)