Βίντεο: Week 6 2024
Μπορεί να χρειαστεί να οργανώσετε τις πληροφορίες ευπάθειας δοκιμών ασφαλείας σε ένα επίσημο έγγραφο διαχείρισης ή για τον πελάτη σας. Αυτό δεν συμβαίνει πάντα, αλλά είναι συχνά το επαγγελματικό πράγμα που κάνει και δείχνει ότι παίρνετε σοβαρά την δουλειά σας. Ξεφορτωθείτε τα κρίσιμα ευρήματα και τα τεκμηριώστε, ώστε να μπορούν να τα καταλάβουν και άλλα μέρη.
Τα γραφήματα και τα διαγράμματα είναι ένα πλεονέκτημα. Η οθόνη συλλαμβάνει τα ευρήματά σας - ειδικά όταν είναι δύσκολο να αποθηκεύσετε τα δεδομένα σε ένα αρχείο - προσθέστε μια ωραία επαφή στις αναφορές σας και δείξτε απτά στοιχεία ότι το πρόβλημα υπάρχει.
Καταγράψτε τα τρωτά σημεία με συνοπτικό, μη τεχνικό τρόπο. Κάθε αναφορά θα πρέπει να περιέχει τις ακόλουθες πληροφορίες:
-
Ημερομηνία (ες) διεξήχθη η δοκιμή
-
Δοκιμές που εκτελέστηκαν
-
Περίληψη των ευπαθειών που εντοπίστηκαν
-
Προτεινόμενη λίστα ευπαθειών που πρέπει να αντιμετωπιστούν
-
και συγκεκριμένα βήματα σχετικά με τον τρόπο σύνδεσης των τρυπών ασφαλείας που βρέθηκαν
Προσφέρει πάντα αξία εάν μπορείτε να εκτελέσετε μια επιχειρησιακή αξιολόγηση των διαδικασιών IT / ασφάλειας. Προσθέστε μια λίστα γενικών παρατηρήσεων γύρω από τις αδύναμες επιχειρησιακές διαδικασίες, την υποστήριξη της IT και της ασφάλειας της διοίκησης κ.ο.κ. μαζί με τις συστάσεις για την αντιμετώπιση κάθε ζητήματος. Μπορείτε να το δείτε αυτό ως μια ανάλυση μιας αιτίας.
Οι περισσότεροι άνθρωποι θέλουν η τελική έκθεση να περιλαμβάνει μια περίληψη των ευρημάτων - όχι όλα. Το τελευταίο πράγμα που οι περισσότεροι άνθρωποι θέλουν να κάνουν είναι να κοσκινίσουν μέσα από ένα 600 PDF αρχείο PDF που περιέχει τεχνική φρασεολογία που σημαίνει πολύ λίγα για αυτούς. Πολλές εταιρείες συμβούλων γνωρίζουν ότι χρεώνουν megabucks για αυτόν τον τύπο έκθεσης. Και ξεφεύγουν από αυτό. Αλλά αυτό δεν το κάνει σωστό.
Οι διαχειριστές και οι προγραμματιστές χρειάζονται τις αναφορές πρώτων δεδομένων από τα εργαλεία ασφαλείας. Με αυτόν τον τρόπο, μπορούν να παραπέμπουν τα δεδομένα αργότερα όταν πρέπει να δουν συγκεκριμένες αιτήσεις / απαντήσεις HTTP, λεπτομέρειες σχετικά με τα λείπει μπαλώματα κ.ο.κ.
Ως μέρος της τελικής έκθεσης, ίσως θέλετε να τεκμηριώσετε τις συμπεριφορές που παρατηρείτε κατά τη διεξαγωγή των δοκιμών ασφαλείας σας. Παραδείγματος χάριν, οι εργαζόμενοι είναι εντελώς απαρατήρητοι ή ακόμα και πολεμιστές όταν πραγματοποιείτε μια προφανή επίθεση κοινωνικής μηχανικής; Μήπως το προσωπικό πληροφορικής ή ασφάλειας παραλείπει εντελώς τεχνικές συμβουλές, όπως η απόδοση του δικτύου που υποβαθμίζει κατά τη διάρκεια των δοκιμών ή διάφορες επιθέσεις που εμφανίζονται στα αρχεία καταγραφής συστήματος;
Μπορείτε επίσης να τεκμηριώσετε άλλα ζητήματα ασφάλειας που παρατηρείτε, όπως το πόσο γρήγορα το προσωπικό της IT ή οι διαχειριζόμενες υπηρεσίες παροχής υπηρεσιών ανταποκρίνονται στις δοκιμές σας ή αν απαντούν καθόλου. Μετά την προσέγγιση της ανάλυσης των βασικών αιτίων, πρέπει να τεκμηριώνονται όλες οι ελλείπουσες, ελλιπείς ή μη ακολουθούμενες διαδικασίες.
φυλάξτε την τελική έκθεση για να την κρατήσετε ασφαλείς από ανθρώπους που δεν έχουν εξουσιοδοτηθεί να την βλέπουν. Μια έκθεση αξιολόγησης της ασφάλειας και τα σχετικά δεδομένα και τα αρχεία υποστήριξης στα χέρια ενός ανταγωνιστή, ενός χάκερ ή κακόβουλου προσώπου ενδέχεται να προκαλέσουν προβλήματα στον οργανισμό. Εδώ είναι μερικοί τρόποι για να αποφευχθεί αυτό:
-
Παραδώστε την αναφορά και τα σχετικά έγγραφα και αρχεία μόνο σε εκείνους που έχουν μια επιχείρηση να γνωρίζουν.
-
Σε περίπτωση ηλεκτρονικής αποστολής της τελικής έκθεσης, κρυπτογραφείτε όλα τα συνημμένα, όπως τεκμηρίωση και αποτελέσματα δοκιμών, χρησιμοποιώντας κρυπτογραφημένη μορφή Zip ή υπηρεσία κοινής χρήσης αρχείων cloud.