Sigla mică a Companiei

Sigla Companiei care realizează testarea de securitate

Dacă echipa își face o siglă - să o pună

Concluziile raportului de evaluare a securității

Business confidențial

Data:
Cod Intern Proiect:
Versiunea - (Intermediar xx sau Final)

Numele Companiei Pagină 1 De

BUSINESS CONFIDENȚIAL 11
Copyright © ... al cui este conform contractului...
 Sigla

Cuprins
1........

OBS acesta este un raport al RED TEAM.

Raportul blue team cuprinde același nivel de detaliu inclusiv înregistrările complete asupra activității
detectate despre unul sau mai mulți atacatori precum și detalii despre măsurile luate precum și
recomandări privind modificarea politicilor interne de securitate rezultate în urma analizei
respectivelor atacuri
Raportul Blue team nu va cuprinde nimic din aspectele de legalitate contractuală deoarece nu sunt
necesare ei având statuată legalitatea prin contractul cu organizația

Declarație de confidențialitate
Acest document este proprietatea exclusiva a companiei xxx (contractant) și yyy (contractor) . Acest
document conține informații brevetate și confidențiale. Copierea, redistribuirea, sau utilizarea,
integrală sau parțială, în orice formă, necesită consimțământul ambele XXX și YYYY.
YYYY pot partaja acest document cu diverși dar în urma unor acorduri de confidențialitate pentru a
demonstra respectarea cerințelor de testare prin penetrare.

Declinare de responsabilitate
Un test de penetrare este considerat un instantaneu în timp. Constatările și recomandările reflectă
informațiile culese în timpul evaluării și nu toate schimbările sau modificările efectuate în afara acestei
perioade.
Timpul limitat de analiză nu permite o evaluare completă a tuturor comenzilor de securitate. Datorită
timpului limitat YYYY își va concentra evaluarea în special pentru a identifica punctele cele mai slabe de
securitate pe care un atacator
le-ar putea exploata. YYYY recomandă efectuarea de evaluări interne similare pe o bază anuală de către
contractori sau evaluatori din terțe părți pentru a asigura continuarea eficienței acestei analize.

Informații de contact - aici vor fi datele studenților din echipa

albastră și o echipă red dominantă ca relație
Atenție scopul exercițiului din proeictul de semestru este many to many nu unul to unul dar aici este
un model orientativ de raport din lumea reală nu copilării de facultate.

Numele Companiei Pagina 2 Din 11

BUSINESS CONFIDENȚIAL
Copyright © ... al cui este conform contractului...
 Sigla

Nume Titlul Informații de contact

Compania Care realizează testarea - YYYY
Birou: (666) 999-333
Garcea RED Tester de penetrare
E-mail: garcea.red@yyy.com
Birou: (666) 999-333
Garcea RED Tester de penetrare
E-mail: garcea.red@yyy.com
Birou: (666) 999-333
Garcea RED Managerul de Cont
E-mail: garcea.red@yyy.com
Securitate XXX (din compania testată
VP, securitatea informațiilor Birou: (666) 333-999
Garcea Blue
(CISO) E-mail: garcea.blue@xxx.com
Birou: (666) 333-999
Garcea Blue Manager IT
E-mail: garcea.blue@xxx.com
Birou: (666) 333-999
Garcea Blue Inginerul de rețea
E-mail: garcea.blue@xxx.com

Evaluare de ansamblu
În perioada 1 ianuarie 2019 - 1 martie 2020 YYY s-a conectat la sistemele XXX pentru a evalua nivelul de
securitate a infrastructurii acesteia utilizând comparație cu cele mai bune practici de actualitate în
domeniu inclusiv un test de penetrare extern. Toate teste efectuate se bazează pe NIST SP 800-115
și .... urmează referiri la standarde romanești și UE în cazul nostru (le căutați le citiți și vedeți pe care le
referiți - nu mi le puneți din burtă)
Faze de penetrare testarea activități includ următoarele:
Aici îmi descrieți maniera(etapele și detalii generale) în care s-a ales implementare Kill Chain

Componentele de evaluare
Testul de penetrare externă

Un test de penetrare externă simulează rolul unui atacator de a încerca pentru a avea acces la o rețea
internă fără a avea cunoștințe despre resursele interne sau alte informații similare. Un inginer YYY
încearcă să adune informații sensibile prin open-source intelligence (OSINT), inclusiv informații despre
angajat, istoricul de accesări neautorizate, și multe altele care pot fi valorificate în raport cu sisteme
externe pentru a avea acces la rețea internă. Inginerul efectuează și scanarea și inventarierea pentru
identificarea potențialelor vulnerabilități în scopul de exploatare.

Numele Companiei Pagina 3 Din 11

BUSINESS CONFIDENȚIAL
Copyright © ... al cui este conform contractului...
 Sigla

Clasificarea utilizată în gravitatea vulnerabilităților

Următorul tabel prezintă nivelurile de severitate corespunzătoare și intervalele scorurilor CVSS care
sunt utilizate în document pentru a evalua vulnerabilitatea și riscul de impact.

Gravitatea Gama scorul Definiție

CVSS V3
Exploatarea este simplă și duce de obicei la compromitere la nivel de
Critică 9.0-10.0 sistem. Se recomandă activarea unui plan de acțiune și aducerea
imediată la zi a softurilor cu probleme.

Exploatare este mai dificilă dar poate conduce la creșteri nepermise de

privilegii și o potențială o pierdere de date sau blocare a activității de
Înaltă 7.0-8.9
producție. Se recomandă activarea unui plan de acțiune și aducerea
cât mai curând la zi a softurilor cu probleme

Vulnerabilități există dar nu sunt exploatabile de sau necesită etape

Moderată 4.0-6.9 suplimentare cum ar fi inginerie socială. Se recomandă activarea unui
plan de acțiune după rezolvarea vulnerabilităților anterioare

Vulnerabilități sunt non-exploatabile dar pot permite totuși în timp

probleme de nivel superior. Se recomandă aducerea la zi a tuturor
Scăzută 0.1-3.9
softurilor implicate la următoarea etapă planificată intern pentru acest
proces.

Nici o vulnerabilitate există. Informațiile suplimentare sunt furnizate

Informativ N/A cu privire la rezultatele observațiilor făcute de-a lungul procesului de
auditare.

Numele Companiei Pagina 4 Din 11

BUSINESS CONFIDENȚIAL
Copyright © ... al cui este conform contractului...
 Sigla

Domeniul de aplicare
Evaluare Detalii
192.168.0.0/24, (evident aici veți pune fie enumerarea
IP-urilor sau de ce nu a subsegmentului de rețea
Test de penetrare extern
analizată)
192.168.1.0/24

Metode de testare neacceptate

La cererea clientului nu sunt permise următoarele metode de testare...
- prima
- a doua
- etc
DE ex (nu sunt permise testările de tip DOS sau DDOS)

Suport intern oferit de către client

XXX nu a oferit nici un fel de suport intern pentru această testare

Numele Companiei Pagina 5 Din 11

BUSINESS CONFIDENȚIAL
Copyright © ... al cui este conform contractului...
 Sigla

Rezumat pentru șefi

YYY a realizat analiza de securitate a sistemului informatic al companiei XXX, în perioada xxx-xxxx,
conform condițiilor din contractul nr din încheiat intre XXX și YYY utilizând metode de atac din
exteriorul rețelei. În urma acestui proces s-au detectat o serie de vulnerabilități critice și nu numai. De
asemenea s-au propus o serie de recomandări care este recomandat a fi aplicate conform nivelurilor
de urgentă corespunzătoare fiecăreia.
Rezumatul acțiunilor care au făcut parte din procesul de testare

Următorul tabel descrie pas cu pas modul în care YYYY a dobândit accesul la rețeaua internă a
companiei XXX:
Pas Acțiune Recomandare
Descurajați angajații să utilizeze nume de cont e-mail
S-a avut acces la lista cu încălcările de
1 etc care sunt utilizate în cadrul companiei
securitate la nivel de pagini de login

S-a încercat fără succes un atac de tipul

“credential stuffing” la Outlook Web Access
2 (OWA). Totuși Owa a permis enumerarea Sincronizați conturile valide și invalide
numelor de utilizatori care poate fi dolostă
pentru ulterioare atacuri .

3 Lista continuă  ...

Punctele forte de securitate

Răspunsul la alerte de vulnerabilitate ale SIEM din cadrul XXX
În timpul evaluării, echipa de securitatea YYY a alertat inginerii XXX care au detectat scanarea de
vulnerabilități împotriva sistemele lor. Aceștia au fost capabili să identifice în câteva minute IP-ul
atacatorului și să îl izoleze pentru a nu mai putea efectua astfel de activități.

Slăbiciunile de securitate
Lipsește Autentificarea de tip multifactor
Echipa a reușit mai multe atacuri împotriva formularelor de intrare cu ajutorul unor date aflate
utilizând tehnici de tip OSINT. Aceste accesări au inclus conturi e-mail angajați prin Outlook Web
Access și mai grav acces direct la rețeaua internă prin Active Directory cu accesare VPN. Utilizarea
autentificării multifactor ar fi împiedicat atacurile de acest tip.

Numele Companiei Pagina 6 Din 11

BUSINESS CONFIDENȚIAL
Copyright © ... al cui este conform contractului...
 Sigla

Politică ineficientă de gestionare a parolelor angajaților

Tehnicile automatizate de atac au avut succes de unde rezultă clar faptul că organizația nu are o
politică coerentă de impunere explicită a unor parole tari angajaților.
Fără restricții la numărul de încercări de accesări ale sistemului

Succesul anterior s-a datorat și faptului că angajații nu au prevăzut limitarea numărului de accesări
pentru intrarea într-un cont anume ceea ce a permis abordarea de tip forță brută

Gruparea vulnerabilităților găsite

Următoarea diagramă ilustrează clasificarea după nivelul de importanță a tuturor vulnerabilităților
găsite.

Numele Companiei Pagina 7 Din 11

BUSINESS CONFIDENȚIAL
Copyright © ... al cui este conform contractului...
 Sigla

Rezultatele testelor de penetrarea externă

Politica de blocare insuficientă - Outlook Web App (critică)
Descriere: XXX acceptă un număr nelimitat de tentative de logon în serviciile de tip Outlook
Web App (OWA). Această configurație a permis atacul prin forță brută pentru
ghicirea parolelor angajaților.
Șoc: Critică
Sistem: 192.168.3.7
Referințe: NIST SP800-53r4 AC-17 - Acces de la distanță
NIST SP800-53r4 AC-7(1) - Tentative nereușite de logon | blocare automată de
cont

Validarea rezultatelor de testare a securității

În urma acestor atacuri s-au găsit 500 de parole (lista completă se află în fișierul atașat parole.xlsx) din
care prezentăm pe cele ale indivizilor cu nivel maxim de acces în organizație.

Figura 1: Proba nr.1 listă a incalcării regulamentului informații de intrare pentru utilizator

Lista continuă cu următoarele dovezi concrete despre cele susținute anterior:

Numele Companiei Pagina 8 Din 11

BUSINESS CONFIDENȚIAL
Copyright © ... al cui este conform contractului...
 Sigla

Remedierea problemelor
Cine: Echipa IT
Vector: De la distanță
Acțiune: Proba nr. 1: login-ul de tip VPN și OWA nu necesită autentificare Multi-Factor
(AMF). YYYY recomandă XXX să-și pună MFA la toate servicii de login cu acces
exterior.

Proba nr.2.
....
În plus, YYYY recomandă ca XXXX:
 Să instruiască angajații cum s-ar crea o parolă corectă
 Reverificarea solidității tuturor parolelor angajaților
 Descurajați angajații să utilizeze nume de cont e-mail etc care sunt utilizate
în cadrul companiei

Numele Companiei Pagina 9 Din 11

BUSINESS CONFIDENȚIAL
Copyright © ... al cui este conform contractului...
 Sigla

Rapoarte suplimentare și rezultate scanare

Raportul YYYY oferă clienților toate informațiile culese în timpul testării. Aceasta include
vulnerabilitatățile, rezultatele scanării și informații detaliate în următoarele fișiere Excel. Pentru mai
multe informații, vă rugăm să consultați următoarele documente:

 parole.xslx completă
 ....

Numele Companiei Pagina 10 Din 11

BUSINESS CONFIDENȚIAL
Copyright © ... al cui este conform contractului...
 Sigla

Sigla mare a companiei care realizează auditul

Ultima pagină

Numele Companiei Pagina 11 Din 11

BUSINESS CONFIDENȚIAL
Copyright © ... al cui este conform contractului...