mogelijk moet u uw kwetsbaarheidsinformatie indelen in een formeel document voor het management of uw klant, zodat zij het risico van hacking in hun eigen bedrijf kunnen inschatten. Dit is niet altijd het geval, maar het is vaak het professionele ding om te doen en laat zien dat je je werk serieus neemt. Breng de kritische bevindingen in kaart en documenteer ze zodat andere partijen ze kunnen begrijpen.
Grafieken en diagrammen zijn een pluspunt. Schermopnames van uw bevindingen - vooral als het moeilijk is om de gegevens in een bestand op te slaan - kunnen een mooi tintje geven aan uw rapporten en tastbaar bewijs tonen dat het probleem bestaat.
Documenteer de kwetsbaarheden op een beknopte, niet-technische manier. Elk rapport moet de volgende informatie bevatten:
-
Datum (en) waarop het onderzoek is uitgevoerd
-
Tests die zijn uitgevoerd
-
Samenvatting van de gevonden kwetsbaarheden
-
Prioritaire lijst met kwetsbaarheden die moeten worden geadresseerd
-
Aanbevelingen en specifieke stappen voor het aansluiten van de gevonden beveiligingslekken
Als het waarde toevoegt aan het beheer of uw klant (en dat gebeurt vaak), kunt u een lijst met algemene opmerkingen toevoegen over zwakke bedrijfsprocessen, ondersteuning van IT door het management en beveiliging, enzovoort, samen met aanbevelingen voor het aanpakken van elk probleem.
De meeste mensen willen dat het eindrapport een samenvatting van de bevindingen bevat - niet alles. Het laatste wat de meeste mensen willen doen, is door een 5-inch dikke stapel papier met technisch jargon schuiven die heel weinig voor hen betekent. Het is bekend dat veel adviesbureaus een arm en een been belasten voor dit soort rapporten, maar dat maakt het nog niet de juiste manier om te rapporteren.
Veel managers en klanten ontvangen graag onbewerkte gegevensrapporten van de beveiligingshulpmiddelen. Op die manier kunnen ze de gegevens later raadplegen als ze dat willen, maar zijn ze niet vastgebonden in honderden afgedrukte pagina's met technisch gobbledygook. Zorg ervoor dat u de onbewerkte gegevens opneemt in de appendix van uw rapport of elders en verwijs de lezer ernaar.
Uw lijst met actie-items in uw rapport kan het volgende bevatten:
-
Schakel beveiligingsaudits van Windows op alle servers in, vooral voor aanmeldingen en afmeldingen.
-
Zet een veilige vergrendeling op de deur van de serverruimte.
-
Harden besturingssystemen gebaseerd op krachtige beveiligingspraktijken uit de nationale kwetsbaarheidsdatabase en het Center for Internet Security Benchmarks / Scoring Tools.
-
Gebruik een papiervernietiger voor het snijden van vertrouwelijke papieren informatie.
-
Vereis sterke pincodes of wachtzinnen op alle mobiele apparaten en dwing gebruikers om deze periodiek te wijzigen.
-
Installeer persoonlijke firewall / IPS-software op alle laptops.
-
Valideer invoer in alle webtoepassingen om cross-site scripting en SQL-injectie te elimineren.
-
Pas de laatste leverancierpatches op de databaseserver toe.
Als onderdeel van het eindrapport wilt u mogelijk werknemersreacties documenteren die u opmerkt bij het uitvoeren van uw ethische hacktests. Zijn werknemers bijvoorbeeld volledig onbewust of zelfs oorlogszuchtig wanneer u een duidelijke social engineering-aanval uitvoert? Haalt het IT- of beveiligingspersoneel technische tips volledig mis, zoals de achteruitgang van het netwerk tijdens tests of verschillende aanvallen in systeemlogbestanden?
U kunt ook andere beveiligingsproblemen die u waarneemt, documenteren, zoals hoe snel IT-personeel of manager-serviceproviders reageren op uw tests of helemaal niet.
Bewaak het eindrapport om het te beveiligen tegen mensen die niet gemachtigd zijn om het te zien. Een ethisch hackingrapport en de bijbehorende documentatie en bestanden in handen van een concurrent, hacker of kwaadwillende insider kunnen problemen opleveren voor de organisatie. Hier zijn enkele manieren om dit te voorkomen:
-
Lever het rapport en de bijbehorende documentatie en bestanden alleen aan mensen die een zakelijke behoefte hebben om te weten.
-
Codeer bij het verzenden van het definitieve rapport alle bijlagen, zoals documentatie en testresultaten, met behulp van PGP, gecodeerde Zip-indeling of beveiligde cloudservice voor het delen van bestanden. Natuurlijk is handlevering uw veiligste gok.
-
Verlaat de daadwerkelijke teststappen die een kwaadwillende persoon uit het rapport kan misbruiken. Beantwoord eventuele vragen over dat onderwerp als dat nodig is.