Πώς να κοινοποιήσετε τα αποτελέσματα της αξιολόγησης ασφάλειας - ανδρείκελα

Βίντεο: Δημιουργείστε και στείλτε ένα νέο μήνυμα στην ηλεκτρονική διεύθυνση [email protected] με... 2024

Μπορεί να χρειαστεί να οργανώσετε τις πληροφορίες ευπάθειας σας σε ένα επίσημο έγγραφο για τη διαχείριση ή τον πελάτη σας, ώστε να μπορούν να εκτιμήσουν τον κίνδυνο της πειρατείας στη δική τους εταιρεία. Αυτό δεν συμβαίνει πάντα, αλλά είναι συχνά το επαγγελματικό πράγμα που κάνει και δείχνει ότι παίρνετε σοβαρά την δουλειά σας. Ξεφορτωθείτε τα κρίσιμα ευρήματα και τα τεκμηριώστε, ώστε να μπορούν να τα καταλάβουν και άλλα μέρη.

Τα γραφήματα και τα διαγράμματα είναι ένα πλεονέκτημα. Η οθόνη συλλαμβάνει τα ευρήματά σας - ειδικά όταν είναι δύσκολο να αποθηκεύσετε τα δεδομένα σε ένα αρχείο - μπορεί να προσθέσει ωραία επαφή στις αναφορές σας και να δείξει απτά στοιχεία ότι το πρόβλημα υπάρχει.

Καταγράψτε τα τρωτά σημεία με συνοπτικό, μη τεχνικό τρόπο. Κάθε αναφορά θα πρέπει να περιέχει τις ακόλουθες πληροφορίες:

Ημερομηνία (ες) διεξήχθη η δοκιμή
Δοκιμές που εκτελέστηκαν
Περίληψη των ευπαθειών που εντοπίστηκαν
Προτεινόμενη λίστα ευπαθειών που πρέπει να αντιμετωπιστούν
και συγκεκριμένα βήματα σχετικά με τον τρόπο σύνδεσης των τρυπών ασφαλείας που βρέθηκαν

Οι περισσότεροι άνθρωποι θέλουν η τελική έκθεση να περιλαμβάνει μια περίληψη

των ευρημάτων - όχι όλα. Το τελευταίο πράγμα που οι περισσότεροι άνθρωποι θέλουν να κάνουν είναι να κοσκινίσουν μέσα από ένα πάσσαλο πάχους 5 ιντσών χαρτιά που περιέχουν τεχνική ορολογία που σημαίνει ελάχιστα γι 'αυτούς. Πολλές εταιρείες παροχής συμβουλών γνωρίζουν ότι χρεώνουν ένα χέρι και ένα πόδι γι 'αυτό το είδος της έκθεσης, αλλά αυτό δεν κάνει τον σωστό τρόπο αναφοράς.

Πολλοί διαχειριστές και πελάτες, όπως η λήψη αναφορών ανεπεξέργαστων δεδομένων από τα εργαλεία ασφαλείας. Με αυτόν τον τρόπο, μπορούν να αναφέρουν τα δεδομένα αργότερα αν θέλουν, αλλά δεν έχουν βυθιστεί σε εκατοντάδες σελίδες σκληρού αντιγράφου τεχνικών gobbledygook. Απλά βεβαιωθείτε ότι έχετε συμπεριλάβει τα ακατέργαστα δεδομένα στο Παράρτημα της έκθεσής σας ή αλλού και παραπέμψτε τον αναγνώστη σε αυτό.

Η λίστα των αντικειμένων ενέργειας στην αναφορά σας μπορεί να περιλαμβάνει τα ακόλουθα:

Ενεργοποιήστε τον έλεγχο ασφαλείας των Windows σε όλους τους διακομιστές - ειδικά για συνδέσεις και logffs.

Τοποθετήστε μια ασφαλή κλειδαριά στην πόρτα του server room.
Λειτουργικά συστήματα Harden που βασίζονται σε ισχυρές πρακτικές ασφαλείας από την Εθνική Βάση Δεδομένων Ευπάθειας και το Κέντρο για τα Benchmarking / Εργαλεία βαθμολόγησης για το Internet Security.
Χρησιμοποιήστε έναν τεμαχιστή διατομής χαρτιού για την καταστροφή εμπιστευτικών πληροφοριών αντιγράφου.
Απαιτούνται ισχυρά PIN ή φράσεις πρόσβασης σε όλες τις κινητές συσκευές και αναγκάζουν τους χρήστες να τις αλλάζουν περιοδικά.
Εγκαταστήστε το προσωπικό λογισμικό τείχους προστασίας / IPS σε όλους τους φορητούς υπολογιστές.
Επικυρώστε την εισαγωγή σε όλες τις εφαρμογές ιστού για να εξαλείψετε τη δέσμη ενεργειών cross-site και την ένεση SQL.
Εφαρμόστε τις πιο πρόσφατες ενημερώσεις κώδικα προμηθευτών στον διακομιστή βάσης δεδομένων.
Ως μέρος της τελικής έκθεσης, ίσως θέλετε να τεκμηριώσετε τις αντιδράσεις των υπαλλήλων που παρατηρείτε κατά τη διεξαγωγή των δοκιμών δεοντολογίας σας. Παραδείγματος χάριν, οι εργαζόμενοι είναι εντελώς απαρατήρητοι ή ακόμα και πολεμιστές όταν πραγματοποιείτε μια προφανή επίθεση κοινωνικής μηχανικής; Μήπως το προσωπικό πληροφορικής ή ασφάλειας παραλείπει εντελώς τεχνικές συμβουλές, όπως η απόδοση του δικτύου που υποβαθμίζει κατά τη διάρκεια των δοκιμών ή διάφορες επιθέσεις που εμφανίζονται στα αρχεία καταγραφής συστήματος;

Μπορείτε επίσης να τεκμηριώσετε άλλα ζητήματα ασφαλείας που παρατηρείτε, όπως το πόσο γρήγορα οι υπεύθυνοι υπηρεσιών IT ή οι διαχειριστές υπηρεσιών διαχειριστή απαντούν στις δοκιμές σας ή αν απαντούν καθόλου.

φυλάξτε την τελική έκθεση για να την κρατήσετε ασφαλείς από ανθρώπους που δεν έχουν εξουσιοδοτηθεί να την βλέπουν. Μια ηθική έκθεση hacking και η σχετική τεκμηρίωση και τα αρχεία στα χέρια ενός ανταγωνιστή, ενός χάκερ ή κακόβουλης εμπιστοσύνης θα μπορούσαν να δημιουργήσουν προβλήματα στον οργανισμό. Εδώ είναι μερικοί τρόποι για να αποφευχθεί αυτό:

Παραδώστε την αναφορά και τα σχετικά έγγραφα και αρχεία μόνο σε εκείνους που έχουν μια επιχείρηση να γνωρίζουν.

Όταν στέλνετε την τελική αναφορά, κρυπτογραφείτε όλα τα συνημμένα, όπως την τεκμηρίωση και τα αποτελέσματα των δοκιμών, χρησιμοποιώντας PGP, κρυπτογραφημένη μορφή Zip ή υπηρεσία κοινής χρήσης αρχείων cloud. Φυσικά, η παράδοση με το χέρι είναι το ασφαλέστερο στοίχημά σας.
Αφήστε τα πραγματικά βήματα δοκιμής που μπορεί να κακοποιήσει ένα κακόβουλο άτομο από την αναφορά. Απαντήστε οποιεσδήποτε ερωτήσεις σχετικά με αυτό το θέμα, όπως απαιτείται.