Como comunicar os resultados da avaliação de segurança
Video: |Acidente de Trabalho| Visão Prevenciosa e Legal. Part II
Conteúdo
Você pode precisar para organizar suas informações de vulnerabilidade em um documento formal para a gestão ou seu cliente para que eles possam avaliar o risco de hackers em sua própria empresa. Isso nem sempre é o caso, mas muitas vezes é a coisa profissional para fazer e mostra que você levar o seu trabalho a sério. Desentocar os resultados críticos e documentá-las para que outros partidos podem entendê-los.
Gráficos e tabelas são um plus. capturas de tela de suas descobertas - especialmente quando é difícil para salvar os dados em um arquivo - pode adicionar um toque agradável para seus relatórios e mostrar prova concreta de que o problema existe.
Documentar as vulnerabilidades de uma maneira concisa, não técnica. Cada relatório deve conter as seguintes informações:
Data (s) do teste foi executado
Testes que foram realizados
Resumo das vulnerabilidades descobertas
lista de prioridades de vulnerabilidades que precisam ser abordadas
Video: Musculação 1 - Amplitude funcional - Resultado, segurança, flexibilidade - aula - Trust Sports
Recomendações e medidas concretas sobre a forma de tapar os buracos de segurança encontrados
Se ele irá adicionar valor à gestão ou seu cliente (e muitas vezes o faz), você pode adicionar uma lista de observações gerais em torno de processos de negócios fracos, suporte de TI e segurança da administração, e assim por diante, juntamente com recomendações para abordar cada questão.
A maioria das pessoas quer que o relatório final para incluir um resumo dos resultados - não tudo. A última coisa que a maioria das pessoas quer fazer é vasculhar uma pilha de 5 polegadas de espessura de papéis contendo jargão técnico que significa muito pouco para eles. Muitas empresas de consultoria têm sido conhecida a cobrar um braço e uma perna, por isso mesmo tipo de relatório, mas isso não significa que seja o caminho certo para relatar.
Muitos gerentes e clientes como receber relatórios de dados brutos a partir das ferramentas de segurança. Dessa forma, eles podem referenciar os dados mais tarde, se quiserem, mas não estão atolados em centenas de páginas em papel de gobbledygook técnico. Apenas certifique-se de incluir os dados brutos no Apêndice de seu relatório ou em outro lugar e remeter o leitor para ele.
Sua lista de itens de ação em seu relatório pode incluir o seguinte:
Habilite a auditoria de segurança do Windows em todos os servidores - especialmente para logons e logoffs.
Coloque um bloqueio seguro na porta da sala do servidor.
sistemas operacionais Harden com base em práticas de segurança fortes da Nacional Vulnerabilidades de banco de dados e a Center for Internet Security Benchmarks Ferramentas / Scoring.
Use uma trituradora de papel de corte transversal para a destruição de informações em papel confidencial.
Exigir PINs fortes ou frases secretas em todos os dispositivos móveis e forçar os usuários a mudá-las periodicamente.
Instale software de firewall pessoal / IPS em todos os laptops.
Validar a entrada em todas as aplicações web para eliminar cross-site scripting e injeção SQL.
Aplicar os patches mais recentes do fabricante para o servidor de banco de dados.
Como parte do relatório final, você pode querer documentar reações de funcionários que você observa ao realizar os testes de hacking ético. Por exemplo, são empregados completamente alheio ou mesmo beligerante quando você realizar um ataque de engenharia social óbvio? Será que a TI ou pessoal de segurança completamente falta de denúncias técnicos, tais como o desempenho do degradante rede durante o teste ou vários ataques que aparecem nos arquivos de log do sistema?
Você também pode documentar outros problemas de segurança que você observa, tais como a rapidez com que os prestadores de equipe de TI ou gerente de serviços de responder às suas provas ou se responder a todos.
Guardar o relatório final para mantê-lo seguro de pessoas que não estão autorizados a vê-lo. Um relatório de Ethical Hacking e da documentação associada e arquivos nas mãos de um concorrente, cabouqueiro, ou insider malicioso poderia causar problemas para a organização. Aqui estão algumas maneiras de evitar que isso aconteça:
Entregar o relatório e documentação e arquivos associados apenas para aqueles que têm uma necessidade comercial de saber.
Ao enviar o relatório final, criptografar todos os anexos, tais como documentação e resultados de testes, usando PGP, formato Zip criptografado, ou serviço de compartilhamento de arquivos em nuvem segura. Claro, entrega em mão é a sua aposta mais segura.
Deixar as etapas de teste real que uma pessoa mal intencionada poderia abusam de fora do relatório. Responder a quaisquer perguntas sobre o assunto, conforme necessário.