Як читати звіт пентесту: CVSS, ризики та пріоритизація виправлень?
Головна помилка це читати звіт з пентесту як список багів. Насправді це документ управління ризиками.
CVSS показує технічну критичність, але не завжди бізнес-ризик. Наприклад:Medium CVSS може дозволяти витік клієнтських даних;High CVSS іноді майже неексплуатований у реальності.
Правильний підхід:Спочатку читати Executive Summary.Виділити exploitable vulnerabilities.Оцінити вплив на бізнес.Виправляти проблеми, що дають attack chain.
Пріоритезація зазвичай виглядає так:● доступ до даних;● privilege escalation;● authentication bypass;● lateral movement;● інформаційні витоки.
Хороший звіт відповідає на питання: що станеться, якщо цю проблему використають?