Hur man skapar säkerhetsprovningsrapporter - dummies

Du kan behöva organisera din säkerhetsprovning sårbarhetsinformation till ett formellt dokument för hantering eller för din klient. Det här är inte alltid fallet, men det är ofta det professionella att göra och visar att du tar ditt arbete seriöst. Frigör de kritiska fynden och dokumentera dem så att andra parter kan förstå dem.

Grafer och diagram är ett plus. Skärmdumpar av dina resultat - speciellt när det är svårt att spara data i en fil - lägg till en snygg kontakt med dina rapporter och visa påtagliga bevis för att problemet finns.

Dokument sårbarheterna på ett kortfattat, icke-tekniskt sätt. Varje rapport ska innehålla följande information:

• Datum som testningen utfördes

• Test som utfördes

• Sammanfattning av upptäckta sårbarheter

• Prioriterad lista över sårbarheter som behöver åtgärdas

• Rekommendationer och specifika steg för hur du kopplar säkerhetshålen som hittades

Det lägger alltid till värde om du kan utföra en operativ bedömning av IT / säkerhetsprocesser. Lägg till en lista över allmänna observationer kring svaga affärsprocesser, ledningens support av IT och säkerhet, och så vidare tillsammans med rekommendationer för att hantera varje problem. Du kan titta på detta som en slags orsaksanalys.

De flesta vill att slutrapporten innehåller en sammanfattning av resultaten - inte allt. Det sista som de flesta vill göra är att sikta genom en 600-sidig PDF-fil som innehåller teknisk jargong som betyder mycket lite för dem. Många konsultföretag har varit kända för att ladda megabucks för denna typ av rapport. Och de kommer undan med det. Men det gör det inte rätt.

Administratörer och utvecklare behöver de råa rapporterna från säkerhetsverktygen. På så sätt kan de referera data senare när de behöver se specifika HTTP-förfrågningar / svar, detaljer om saknade korrigeringar och så vidare.

Som en del av slutrapporten kanske du vill dokumentera beteenden som du observerar när du utför dina säkerhetsprov. Till exempel är anställda helt omedvetna eller till och med krigare när du utför en uppenbar socialteknikattack? Missar IT- eller säkerhetspersonalen helt och hållet tekniska tips, såsom prestandan i nätverket som försämras under testning eller olika attacker som visas i systemloggfiler?

Du kan också dokumentera andra säkerhetsproblem som du observerar, till exempel hur snabbt IT-personal eller hanterade tjänsteleverantörer svarar på dina test eller om de svarar alls. Efter analysen av grundorsaken måste eventuella saknade, ofullständiga eller ej följda förfaranden dokumenteras.

Bevaka slutrapporten för att hålla den säker från personer som inte är behöriga att se den. En säkerhetsbedömningsrapport och tillhörande data och stödjande filer i händerna på en konkurrent, hackare eller skadlig insider kan stava problem för organisationen. Här är några sätt att förhindra att detta händer:

• Leverera rapporten och tillhörande dokumentation och filer endast till de som har ett företag behöver veta.

• Om du skickar slutrapporten elektroniskt, krypterar du alla bilagor, till exempel dokumentation och testresultat med ett krypterat zip-format eller en säker fildelningstjänst.