Como criar relatórios de teste de segurança
Você pode precisar para organizar suas informações de vulnerabilidade testes de segurança em um documento formal para gerenciamento ou para o seu cliente. Isso nem sempre é o caso, mas muitas vezes é a coisa profissional para fazer e mostra que você levar o seu trabalho a sério. Desentocar os resultados críticos e documentá-las para que outros partidos podem entendê-los.
Gráficos e tabelas são um plus. capturas de tela de suas descobertas - especialmente quando é difícil para salvar os dados em um arquivo - adicionar um toque agradável a seus relatórios e mostrar prova concreta de que o problema existe.
Documentar as vulnerabilidades de uma maneira concisa, não técnica. Cada relatório deve conter as seguintes informações:
Data (s) do teste foi executado
Testes que foram realizados
Resumo das vulnerabilidades descobertas
lista de prioridades de vulnerabilidades que precisam ser abordadas
Recomendações e medidas concretas sobre a forma de tapar os buracos de segurança encontrados
É sempre agrega valor se você pode realizar uma avaliação operacional dos processos de TI / segurança. Adicionar uma lista de observações gerais em torno de processos de negócios fracos, suporte de TI e segurança da administração, e assim por diante, juntamente com recomendações para abordar cada questão. Você pode olhar para isto como uma espécie de análise de causa raiz.
A maioria das pessoas quer que o relatório final para incluir um resumo dos resultados - não tudo. A última coisa que a maioria das pessoas quer fazer é vasculhar um arquivo PDF de 600 página contendo jargão técnico que significa muito pouco para eles. Muitas empresas de consultoria têm sido conhecida a cobrar megabucks para este mesmo tipo de relatório. E eles fugir com ele. Mas isso não faz direito.
Os administradores e os desenvolvedores precisam os relatórios de dados brutos a partir das ferramentas de segurança. Dessa forma, eles podem referenciar os dados mais tarde, quando eles precisam ver específicas HTTP solicitações / respostas, detalhes sobre os patches ausentes, e assim por diante.
Como parte do relatório final, você pode querer documentar os comportamentos que você observa ao realizar os testes de segurança. Por exemplo, são empregados completamente alheio ou mesmo beligerante quando você realizar um ataque de engenharia social óbvio? Será que a TI ou pessoal de segurança completamente falta de denúncias técnicos, tais como o desempenho do degradante rede durante o teste ou vários ataques que aparecem nos arquivos de log do sistema?
Você também pode documentar outros problemas de segurança que você observa, tais como a rapidez da equipe de TI ou provedores de serviços gerenciados responder às suas provas ou se responder a todos. Após a abordagem de análise de causa raiz, quaisquer procedimentos ausentes, incompletos, seguidas ou não precisam ser documentadas.
Guardar o relatório final para mantê-lo seguro de pessoas que não estão autorizados a vê-lo. Um relatório de avaliação de segurança e os dados associados e arquivos de suporte nas mãos de um concorrente, cabouqueiro, ou insider malicioso poderia causar problemas para a organização. Aqui estão algumas maneiras de evitar que isso aconteça:
Entregar o relatório e documentação e arquivos associados apenas para aqueles que têm uma necessidade comercial de saber.
Se o envio do relatório final eletronicamente, criptografar todos os anexos, tais como documentação e resultados de testes usando um formato Zip criptografados, ou serviço de compartilhamento de arquivos em nuvem segura.