Video: Ludacris - You's A Hoe 2024
Mogelijk moet u de beveiligingsinformatie voor beveiligingstests organiseren in een formeel document voor het management of voor uw klant. Dit is niet altijd het geval, maar het is vaak het professionele ding om te doen en laat zien dat je je werk serieus neemt. Breng de kritische bevindingen in kaart en documenteer ze zodat andere partijen ze kunnen begrijpen.
Grafieken en diagrammen zijn een pluspunt. Schermafbeeldingen van uw bevindingen - vooral wanneer het moeilijk is om de gegevens in een bestand op te slaan - voegen een mooi tintje toe aan uw rapporten en tonen tastbaar bewijs dat het probleem bestaat.
Documenteer de kwetsbaarheden op een beknopte, niet-technische manier. Elk rapport moet de volgende informatie bevatten:
-
Datum (s) waarop het onderzoek is uitgevoerd
-
Tests die zijn uitgevoerd
-
Samenvatting van de gevonden kwetsbaarheden
-
Prioritaire lijst met kwetsbaarheden die moeten worden geadresseerd
-
Aanbevelingen en specifieke stappen voor het aansluiten van de gevonden beveiligingslekken
Het voegt altijd meerwaarde toe als u een operationele beoordeling van IT / beveiligingsprocessen kunt uitvoeren. Voeg een lijst met algemene opmerkingen toe over zwakke bedrijfsprocessen, ondersteuning door het management van IT en beveiliging, enzovoort, samen met aanbevelingen voor het aanpakken van elk probleem. Je kunt dit zien als een soort van oorzaakanalyse.
De meeste mensen willen dat het eindrapport een samenvatting van de bevindingen bevat - niet alles. Het laatste wat de meeste mensen willen doen, is een PDF-bestand van 600 pagina's doorzoeken dat technisch jargon bevat dat heel weinig voor hen betekent. Van veel advieskantoren is bekend dat ze megabucks in rekening brengen voor dit soort rapporten. En ze komen ermee weg. Maar dat maakt het niet goed.
Beheerders en ontwikkelaars hebben de onbewerkte gegevensrapporten van de beveiligingshulpmiddelen nodig. Op die manier kunnen ze later naar de gegevens verwijzen wanneer ze specifieke HTTP-verzoeken / antwoorden moeten zien, details over ontbrekende patches, enzovoort.
Als onderdeel van het eindrapport wilt u misschien gedragingen documenteren die u waarneemt bij het uitvoeren van uw beveiligingstests. Zijn werknemers bijvoorbeeld volledig onbewust of zelfs oorlogszuchtig wanneer u een duidelijke social engineering-aanval uitvoert? Haalt het IT- of beveiligingspersoneel technische tips volledig mis, zoals de achteruitgang van het netwerk tijdens tests of verschillende aanvallen in systeemlogbestanden?
U kunt ook andere beveiligingsproblemen documenteren die u waarneemt, zoals hoe snel IT-personeel of managed service providers op uw tests reageren of helemaal reageren. Volgens de aanpak van de oorzakenanalyse moeten ontbrekende, onvolledige of niet-uitgevoerde procedures worden gedocumenteerd.
Bewaak het eindrapport om het te beveiligen tegen mensen die niet gemachtigd zijn om het te zien. Een beveiligingsbeoordelingsrapport en de bijbehorende gegevens en ondersteunende bestanden in de handen van een concurrent, hacker of kwaadwillende insider kunnen problemen opleveren voor de organisatie. Hier zijn enkele manieren om dit te voorkomen:
-
Lever het rapport en de bijbehorende documentatie en bestanden alleen aan mensen die een zakelijke behoefte hebben om te weten.
-
Codeer bij het verzenden van het eindrapport elektronisch alle bijlagen, zoals documentatie en testresultaten met een versleuteld zip-formaat, of beveiligde cloudservice voor het delen van bestanden.