Como comunicar os resultados da avaliação de segurança

Você pode precisar para organizar suas informações de vulnerabilidade em um documento formal para a gestão ou seu cliente para que eles possam avaliar o risco de cortar na sua própria empresa. Isso nem sempre é o caso, mas muitas vezes é a coisa profissional para fazer e mostra que você levar o seu trabalho a sério. Desentocar os resultados críticos e documentá-las para que outros partidos possam entendê-los.

Gráficos e tabelas são um plus. As capturas de tela de seus resultados - especialmente quando é difícil para salvar os dados para um arquivo - pode adicionar um toque agradável para seus relatórios e mostrar prova concreta de que o problema existe.

Documentar as vulnerabilidades de uma forma concisa e não técnica. Cada relatório deve conter as seguintes informações:

  • Data (s) o teste foi realizado

  • Os testes que foram realizados

  • Resumo das vulnerabilidades descobertas

  • lista de prioridades de vulnerabilidades que precisam ser abordadas

  • Recomendações e medidas concretas sobre a forma de tapar os buracos de segurança encontrados

Se ele irá adicionar valor à gestão ou seu cliente (e muitas vezes o faz), você pode adicionar uma lista de observações gerais em torno de processos de negócios fracos, o apoio de TI e segurança da administração, e assim por diante, juntamente com recomendações para abordar cada questão.

A maioria das pessoas quer que o relatório final para incluir um resumo das conclusões - não tudo. A última coisa que a maioria das pessoas quer fazer é percorrer uma pilha de 5 polegadas de espessura de papéis contendo jargão técnico que significa muito pouco para eles. Muitas empresas de consultoria têm sido conhecida a cobrar um braço e uma perna para este mesmo tipo de relatório, mas isso não significa que seja o caminho certo para relatar.

Muitos gerentes e clientes como a recepção de relatórios de dados brutos a partir das ferramentas de segurança. Dessa forma, eles podem referenciar os dados mais tarde, se quiserem, mas não estão atolados em centenas de páginas em papel de gobbledygook técnico. Apenas certifique-se de incluir os dados brutos no Apêndice de seu relatório ou em outro lugar e remeter o leitor para ele.

Sua lista de itens de ação em seu relatório pode incluir o seguinte:

  • Habilite a auditoria de segurança do Windows em todos os servidores - especialmente para os inícios de sessão e logoffs.

  • Colocar uma trava de segurança na porta da sala do servidor.

  • sistemas operacionais Harden com base em práticas de segurança fortes da Nacional Vulnerabilidades de banco de dados e a Center for Internet Security Benchmarks Ferramentas / scoring.

  • Use uma trituradora de papel de corte transversal para a destruição de informações em papel confidencial.

  • Exigir PINs fortes ou frases secretas em todos os dispositivos móveis e forçar os usuários a mudá-las periodicamente.

  • Instalar software de firewall pessoal / IPS em todos os laptops.

  • Validar a entrada em todas as aplicações web para eliminar cross-site scripting e de injeção de SQL.

  • Aplicar os patches mais recentes do fornecedor para o servidor de banco de dados.

Como parte do relatório final, você pode querer documentar reações de funcionários que você observa ao realizar os testes de hacking ético. Por exemplo, são funcionários completamente alheio ou mesmo beligerante quando você realizar um ataque de engenharia social óbvio? Será que a TI ou pessoal de segurança completamente falta de denúncias técnicos, tais como o desempenho da rede durante degradante teste ou vários ataques que aparecem nos arquivos de log do sistema?

Você também pode documentar outros problemas de segurança que você observa, tais como a rapidez com que os provedores de pessoal de TI ou gerente de serviços de responder aos seus testes ou se responder a todos.

Guardar o relatório final para mantê-lo seguro de pessoas que não estão autorizados a vê-lo. Um relatório de Ethical Hacking e a documentação associada e arquivos nas mãos de um concorrente, cabouqueiro, ou insider malicioso pode significar problemas para a organização. Aqui estão algumas maneiras de evitar que isso aconteça:

  • Entregar o relatório e documentação e arquivos associados apenas para aqueles que têm uma necessidade comercial de saber.

  • Ao enviar o relatório final, criptografar todos os anexos, tais como documentação e resultados de testes, usando PGP, formato Zip criptografado, ou serviço de compartilhamento de arquivos em nuvem segura. Claro, entrega em mão é a sua aposta mais segura.

  • Deixar as etapas de teste real que uma pessoa mal-intencionado pode abusar de fora do relatório. Responder a quaisquer perguntas sobre o assunto, conforme necessário.

menu