Como criar relatórios de teste de segurança

Você pode precisar para organizar suas informações de vulnerabilidade testes de segurança em um documento formal para gerenciamento ou para o seu cliente. Isso nem sempre é o caso, mas muitas vezes é a coisa profissional para fazer e mostra que você levar o seu trabalho a sério. Desentocar os resultados críticos e documentá-las para que outros partidos podem entendê-los.

Gráficos e tabelas são um plus. capturas de tela de suas descobertas - especialmente quando é difícil para salvar os dados em um arquivo - adicionar um toque agradável a seus relatórios e mostrar prova concreta de que o problema existe.

Documentar as vulnerabilidades de uma maneira concisa, não técnica. Cada relatório deve conter as seguintes informações:

  • Data (s) do teste foi executado

  • Testes que foram realizados

  • Resumo das vulnerabilidades descobertas

  • lista de prioridades de vulnerabilidades que precisam ser abordadas

  • Recomendações e medidas concretas sobre a forma de tapar os buracos de segurança encontrados



É sempre agrega valor se você pode realizar uma avaliação operacional dos processos de TI / segurança. Adicionar uma lista de observações gerais em torno de processos de negócios fracos, suporte de TI e segurança da administração, e assim por diante, juntamente com recomendações para abordar cada questão. Você pode olhar para isto como uma espécie de análise de causa raiz.

A maioria das pessoas quer que o relatório final para incluir um resumo dos resultados - não tudo. A última coisa que a maioria das pessoas quer fazer é vasculhar um arquivo PDF de 600 página contendo jargão técnico que significa muito pouco para eles. Muitas empresas de consultoria têm sido conhecida a cobrar megabucks para este mesmo tipo de relatório. E eles fugir com ele. Mas isso não faz direito.

Os administradores e os desenvolvedores precisam os relatórios de dados brutos a partir das ferramentas de segurança. Dessa forma, eles podem referenciar os dados mais tarde, quando eles precisam ver específicas HTTP solicitações / respostas, detalhes sobre os patches ausentes, e assim por diante.

Como parte do relatório final, você pode querer documentar os comportamentos que você observa ao realizar os testes de segurança. Por exemplo, são empregados completamente alheio ou mesmo beligerante quando você realizar um ataque de engenharia social óbvio? Será que a TI ou pessoal de segurança completamente falta de denúncias técnicos, tais como o desempenho do degradante rede durante o teste ou vários ataques que aparecem nos arquivos de log do sistema?

Você também pode documentar outros problemas de segurança que você observa, tais como a rapidez da equipe de TI ou provedores de serviços gerenciados responder às suas provas ou se responder a todos. Após a abordagem de análise de causa raiz, quaisquer procedimentos ausentes, incompletos, seguidas ou não precisam ser documentadas.

Guardar o relatório final para mantê-lo seguro de pessoas que não estão autorizados a vê-lo. Um relatório de avaliação de segurança e os dados associados e arquivos de suporte nas mãos de um concorrente, cabouqueiro, ou insider malicioso poderia causar problemas para a organização. Aqui estão algumas maneiras de evitar que isso aconteça:

  • Entregar o relatório e documentação e arquivos associados apenas para aqueles que têm uma necessidade comercial de saber.

  • Se o envio do relatório final eletronicamente, criptografar todos os anexos, tais como documentação e resultados de testes usando um formato Zip criptografados, ou serviço de compartilhamento de arquivos em nuvem segura.


Publicações relacionadas
Elevar o perfil da saúde e segurança
O envio de relatórios de salários como parte do empregado de fim de ano de relatórios
Linux: 2 partes de auditorias de segurança de computador
Linux: a implementação de uma metodologia de teste de segurança
Vulnerabilidades de segurança baseadas em cliente
Vulnerabilidades de segurança baseadas em servidor
Avaliar a sua infra-estrutura de segurança para evitar hacks
Trazendo sua ti avaliações de segurança círculo completo
Criar padrões de teste para seus hacks éticos
Execução dos vários testes que segurança em seu próprio ambiente
Sistemas de endurecer contra vulnerabilidades de segurança
Como comunicar os resultados da avaliação de segurança
Como a puxar os resultados dos testes de segurança em conjunto para relatar
A seleção de ferramentas para o trabalho de hackers
Definir o cenário para testes de segurança
Dez erros fatais para evitar quando você cortar o seu negócio
O processo de hacking ético
Dicas para avaliações de segurança bem sucedido
Avaliar as vulnerabilidades com hacks éticos
Executar scans autenticadas contra sistemas windows