Video: Hur kommunicerar du genom skrift? 2024
Du kan behöva organisera din sårbarhetsinformation till ett formellt dokument för hantering eller din kund så att de kan bedöma risken för hacking i sitt eget företag. Det här är inte alltid fallet, men det är ofta det professionella att göra och visar att du tar ditt arbete seriöst. Frigör de kritiska fynden och dokumentera dem så att andra parter kan förstå dem.
Grafer och diagram är ett plus. Skärmdumpar av dina resultat - speciellt när det är svårt att spara data i en fil - kan ge en fin touch till dina rapporter och visa konkreta bevis på att problemet finns.
Dokument sårbarheterna på ett kortfattat, icke-tekniskt sätt. Varje rapport ska innehålla följande information:
-
Datum som testningen utfördes
-
Test som utfördes
-
Sammanfattning av upptäckta sårbarheter
-
Prioriterad lista över sårbarheter som behöver åtgärdas
-
Rekommendationer och specifika steg för hur du kopplar säkerhetshålen som hittades
Om det kommer att lägga till värde för ledningen eller din klient (och det gör det ofta) kan du lägga till en lista över allmänna observationer kring svaga affärsprocesser, ledningens support av IT och säkerhet, och så vidare med rekommendationer för att åtgärda varje problem.
De flesta vill att slutrapporten innehåller en sammanfattning av resultaten - inte allt. Det sista som de flesta vill göra är att sikta genom en 5 tum tjock uppsättning papper som innehåller teknisk jargong som betyder mycket lite för dem. Många konsultföretag har varit kända för att ta upp en arm och ett ben för den här typen av rapport, men det gör det inte rätt sätt att rapportera.
Många chefer och kunder som att ta emot radatrapporter från säkerhetsverktygen. På så sätt kan de hänvisa data senare om de vill, men är inte begåvade på hundratals exemplar av teknisk gobbledygook. Se bara till att du innehåller de råa uppgifterna i bilagan till din rapport eller någon annanstans och hänvisa läsaren till den.
Din lista över åtgärdsposter i rapporten kan innehålla följande:
-
Aktivera Windows-säkerhetsrevision på alla servrar - speciellt för loggar och logouter.
-
Sätt ett säkert lås på serverrummets dörr.
-
Härd operativsystem baserade på starka säkerhetspraxis från databasen National Vulnerabilities och Center for Internet Security Benchmarks / Scoring Tools.
-
Använd en tvärklippare för destruktion av konfidentiell information om kopiering.
-
Kräv starka PIN-koder eller lösenordsfraser på alla mobila enheter och tvinga användarna att ändra dem regelbundet.
-
Installera personlig brandvägg / IPS-programvara på alla bärbara datorer.
-
Validera inmatning i alla webbapplikationer för att eliminera cross-site scripting och SQL-injektion.
-
Applicera de senaste leverantörspatrarna till databasservern.
Som en del av slutrapporten kanske du vill dokumentera de anställdas reaktioner som du observerar när du utför dina etiska hacktest. Till exempel är anställda helt omedvetna eller till och med krigare när du utför en uppenbar socialteknikattack? Missar IT- eller säkerhetspersonalen helt och hållet tekniska tips, såsom prestandan i nätverket som försämras under testning eller olika attacker som visas i systemloggfiler?
Du kan också dokumentera andra säkerhetsproblem som du observerar, till exempel hur snabbt IT-personal eller administratörsleverantörer svarar på dina test eller om de svarar alls.
Bevaka slutrapporten för att hålla den säker från personer som inte är behöriga att se den. En etisk hackingrapport och tillhörande dokumentation och filer i händerna på en konkurrent, hackare eller skadlig insider kan stava problem för organisationen. Här är några sätt att förhindra att detta händer:
-
Leverera rapporten och tillhörande dokumentation och filer endast till de som har ett företag behöver veta.
-
När du skickar slutrapporten krypterar du alla bilagor, till exempel dokumentation och testresultat, med hjälp av PGP, krypterat zip-format eller säkerhetstjänst för fildelning av moln. Självklart är handleverans din säkraste satsning.
-
Lämna de faktiska teststegen som en skadlig person skulle kunna missbruka utifrån rapporten. Besvara eventuella frågor om det ämnet som behövs.